Síťové připojení (do cloudu) – pohled jednoho architekta

Článek
01/10/2024

V tomto článku Ed Fisher, architekt zabezpečení & dodržování předpisů v Microsoftu, popisuje, jak optimalizovat síť pro připojení ke cloudu tím, že se vyhnete nejběžnějším nástrahám.

O autorovi

Snímek obrazovky s fotkou Eda Fishera

V současné době jsem hlavním technickým specialistou v našem týmu pro maloobchod a spotřební zboží, který se zaměřuje na zabezpečení & dodržování předpisů. Posledních deset let jsem pracoval se zákazníky, kteří se přesouvají do Office 365. Pracoval(a) jsem s menšími obchody s několika místy pro státní úřady a podniky s miliony uživatelů rozmístěnými po celém světě a s mnoha dalšími zákazníky mezi sebou, přičemž většina má desítky tisíc uživatelů, několik míst v různých částech světa, potřebu vyššího stupně zabezpečení a velké množství požadavků na dodržování předpisů. Pomohl jsem stovkám podniků a milionům uživatelů bezpečně přejít do cloudu.

Díky zkušenosti z posledních 25 let, které zahrnují zabezpečení, infrastrukturu a síťové inženýrství, a po přesunutí dvou předchozích zaměstnanců do Office 365 před nástupem do Microsoftu jsem byl na vaší straně tabulky mnohokrát a pamatuji si, jak to vypadá. I když žádní dva zákazníci nejsou nikdy stejní, většina z nich má podobné potřeby a při používání standardizované služby, jako je jakákoli platforma SaaS nebo PaaS, bývají nejlepší přístupy stejné.

Není to síť – je to způsob, jakým ji (špatně) používáte!

Bez ohledu na to, kolikrát se to stane, mě nikdy nepřekvapí, jak kreativní týmy zabezpečení a síťové týmy se snaží dosáhnout toho, jak si myslí, že by se měly připojit ke cloudovým službám Microsoftu. Vždy existuje nějaká zásada zabezpečení, standard dodržování předpisů nebo lepší způsob, jak trvat na použití, aniž by byli ochotni se zapojit do konverzace o tom, čeho se snaží dosáhnout, nebo jak existují lepší, jednodušší, nákladově efektivnější a výkonnější způsoby, jak to udělat.

Když se mi tato věc eskaluje, jsem obvykle ochotný přijmout výzvu a projít je postupy a důvody a dostat je tam, kde potřebují být. Ale pokud jsem úplně upřímný, musím říct, že někdy chci prostě nechat je dělat, co chtějí, a vrátit se říct, že jsem vám řekl, že když konečně připustí, že to nefunguje. Možná bych to někdy chtěl udělat, ale ne. Co dělám, je snažit se vysvětlit vše, co budu zahrnovat v tomto příspěvku. Bez ohledu na vaši roli, pokud vaše organizace chce používat cloudové služby Microsoftu, pravděpodobně existuje určitá moudrost v tom, co následuje, která vám může pomoct.

Hlavní principy

Začněme několika základními pravidly kolem toho, co tady děláme. Probíráme, jak se bezpečně připojit ke cloudovým službám, abyste zajistili minimální složitost a maximální výkon při zachování skutečného zabezpečení. Nic z následujícího není v rozporu s žádnou z těchto možností, i když vy nebo váš zákazník nebudete moct používat svůj oblíbený proxy server pro všechno.

Jen proto, že můžete, neznamená, že byste měli: Nebo parafrázovat Dr. Ian Malcolm z filmu Jurassic Park "... Ano, ano, ale váš bezpečnostní tým byl tak zabraný tím, jestli mohl, nebo ne, že nepřestal přemýšlet, jestli by měl."
Zabezpečení neznamená složitost: Nejste bezpečnější jenom proto, že utrácíte více peněz, procházíte více zařízeními nebo klikáte na více tlačítek.
Office 365 se přistupuje přes internet: Ale to není totéž, co Office 365 je internet. Je to služba SaaS, kterou spravuje Microsoft a kterou spravujete vy. Na rozdíl od webů, které navštívíte na internetu, se ve skutečnosti dostanete k nahlédnutí za oponu a můžete použít ovládací prvky, které potřebujete ke splnění svých zásad a standardů dodržování předpisů, pokud chápete, že můžete splnit své cíle, ale možná je budete muset udělat jiným způsobem.
Chokepointy jsou špatné, lokalizované breakouty jsou dobré: Každý vždy chce vrátit veškerý svůj internetový provoz pro všechny své uživatele do nějakého centrálního bodu, obvykle proto, aby ho mohli monitorovat a vynucovat zásady, ale často proto, že je to buď levnější než zřízení přístupu k internetu ve všech jejich umístěních, nebo je to jen tak, jak to dělají. Ale ty chokepointy jsou přesně takové... v bodech, kde se provoz tluče. Není nic špatného na tom, abyste uživatelům zabránili v procházení Instagramu nebo streamování videí s kočkami, ale nezacházejte s provozem důležitých obchodních aplikací stejným způsobem.
Pokud dns není šťastný, není nic šťastného: Nejlepší navrženou síť může být zmást špatným DNS, ať už se jedná o opakované žádosti na servery v jiných oblastech světa nebo použití serverů DNS poskytovatele internetových služeb nebo jiných veřejných serverů DNS, které ukládají informace o překladu DNS do mezipaměti.
To, že jste to dělali dřív, neznamená to, že byste to měli udělat teď: Technologie se neustále mění a Office 365 není výjimkou. Použití bezpečnostních opatření, která byla vyvinuta a nasazena pro místní služby nebo pro kontrolu procházení webu, neposkytne stejnou úroveň zabezpečení a může mít významný negativní dopad na výkon.
Office 365 byl vytvořen pro přístup přes internet: To je v kostce. Bez ohledu na to, co chcete dělat mezi svými uživateli a vašimi hraničními zařízeními, provoz stále prochází přes internet, jakmile opustí vaši síť a než se dostane do naší. I když používáte Azure ExpressRoute ke směrování provozu citlivého na latenci z vaší sítě přímo do naší, připojení k internetu je naprosto nezbytné. Přijměte ho. Nepřemýšlejte nad tím.

Kde se často provádějí špatné volby

I když existuje spousta míst, kde se ve jménu zabezpečení dělají špatná rozhodnutí, jedná se o ty, se kterými se u zákazníků setkávám nejčastěji. Mnoho konverzací se zákazníky zahrnuje všechny najednou.

Nedostatek prostředků na hraničních zařízeních

Velmi málo zákazníků nasazuje prostředí na zelené louce a mají roky zkušeností s tím, jak jejich uživatelé pracují a jaký je výchozí přenos dat z internetu. Zákazníci bez ohledu na to, jestli mají proxy servery nebo umožňují přímý přístup a jednoduše překlad adres (NAT) odchozí provoz, dělají to už roky a nepřemýšlí nad tím, o kolik víc začnou využívat své hraniční zařízení, protože tradičně přesouvají interní aplikace do cloudu.

Šířka pásma se vždy týká, ale zařízení NAT nemusí mít dostatek koňských sil, aby zvládla zvýšené zatížení, a proto se může začít předčasně ukončovat připojení, aby se uvolnily prostředky. Většina klientského softwaru, který se připojuje k Office 365 očekává trvalá připojení a uživatel plně využívající Office 365 může mít 32 nebo více souběžných připojení. Pokud je zařízení NAT předčasně vyřazovat, můžou tyto aplikace přestat reagovat při pokusu o použití připojení, která už neexistují. Když to vzdají a pokusí se navázat nová připojení, zatěžují ještě větší zatížení vašeho síťového vybavení.

Lokalizovaný breakout

Všechno ostatní v tomto seznamu spočívá v jediné věci – co nejrychleji se dostat z vaší sítě a připojit se k naší. Backhauing provozu uživatelů do centrálního výchozího bodu, zejména pokud je tento výchozí bod v jiné oblasti, než ve které jsou vaši uživatelé, přináší zbytečnou latenci a má vliv jak na prostředí klienta, tak na rychlost stahování. Microsoft má body přítomnosti po celém světě s front-endy pro všechny naše služby a peering vytvořený prakticky s každým hlavním isp, takže směrování provozu uživatelů místně zajišťuje, že se do naší sítě dostane rychle s minimální latencí.

Provoz překladu DNS by měl sledovat cestu odchozího přenosu dat z internetu.

Aby klient našel jakýkoli koncový bod, musí samozřejmě použít DNS. Servery DNS společnosti Microsoft vyhodnocují zdroj požadavků DNS, aby se zajistilo, že vrátíme odpověď, která je z internetového hlediska nejblíže zdroji požadavku. Ujistěte se, že je váš DNS nakonfigurovaný tak, aby žádosti o překlad IP adres odcházely stejnou cestu jako provoz uživatelů, abyste jim nesdělili místní výchozí přenos dat, ale do koncového bodu v jiné oblasti. To znamená, že necháte místní servery DNS "přejít do kořenového adresáře", a ne předávat je serverům DNS ve vzdálených datacentrech. A watch pro veřejné a privátní služby DNS, které mohou ukládat výsledky z jedné části světa do mezipaměti a obsluhovat je pro žádosti z jiných částí světa.

Pro proxy nebo ne proxy, to je otázka

Jednou z prvních věcí, které je třeba zvážit, je to, jestli proxy připojení uživatelů k Office 365. To je snadné. nepoužujte proxy. Office 365 se přistupuje přes internet, ale není to internet. Jedná se o rozšíření vašich základních služeb a mělo by se s ním zacházet. Vše, co můžete chtít, aby proxy server dělal, například ochrana před únikem informací, antimalware nebo kontrola obsahu, už máte ve službě k dispozici a můžete ho používat ve velkém měřítku a bez nutnosti prolomit připojení šifrovaná protokolem TLS. Pokud ale opravdu chcete proxy provoz, který jinak nemůžete řídit, věnujte pozornost našim pokynům na adrese https://aka.ms/pnc a kategoriím provozu na https://aka.ms/ipaddrsadrese . Pro Office 365 máme tři kategorie provozu. Optimalizace a povolit by opravdu měly jít přímo a obejít proxy. Výchozí nastavení může být proxied. Podrobnosti najdete v těchto dokumentech... přečtěte si je.

Většina zákazníků, kteří trvají na použití proxy serveru, když se skutečně dívají na to, co dělají, zjistí, že když klient odešle požadavek HTTP CONNECT na proxy server, proxy server je teď jen nákladný směrovač navíc. Protokoly, které se používají, jako je MAPI a RTC, nejsou ani protokoly, kterým webové proxy servery rozumí, takže ani při prolomení protokolu TLS nemáte ve skutečnosti žádné další zabezpečení. Dostáváte navíc latenci. Další informace https://aka.ms/pnc najdete v kategoriích Optimalizovat, Povolit a Výchozí pro provoz Microsoftu 365.

Nakonec zvažte celkový dopad na proxy server a jeho odpovídající reakci, abyste se s tímto dopadem vypořádali. Vzhledem k tomu, že se prostřednictvím proxy serveru vytváří stále více připojení, může se snížit faktor škálování protokolu TCP, aby nemusel ukládat tolik přenosů do vyrovnávací paměti. Viděl jsem zákazníky, u kterých byly jejich proxy servery tak přetížené, že používali koeficient 0. Vzhledem k tomu, že škálovací faktor je exponenciální hodnota a rádi používáme hodnotu 8, má každé snížení hodnoty koeficientu obrovský negativní dopad na propustnost.

Kontrola protokolu TLS znamená ZABEZPEČENÍ! Ale ne ve skutečnosti! Mnoho zákazníků s proxy servery je chce použít ke kontrole veškerého provozu, což znamená, že protokol TLS "přerušíte a zkontrolujete". Když to uděláte u webu, ke kterému přistupujete přes HTTPS (bez ohledu na to, co se týká ochrany osobních údajů), váš proxy server to může udělat pro 10 nebo dokonce 20 souběžných streamů po dobu několika stovek milisekund. Pokud je k dispozici velké stahování nebo možná video, může jedno nebo více z těchto připojení trvat mnohem déle, ale celkově většina těchto připojení naváže, přenese a zavře velmi rychle. Když provedete přerušení a kontrolu, musí proxy provést dvojnásobek práce. Pro každé připojení z klienta k proxy musí proxy server také vytvořit samostatné připojení zpět ke koncovému bodu. Takže 1 se stane 2, 2 se stane 4, 32 se stane 64...vidíte, kam jdu? Velikost řešení proxy serveru je pravděpodobně v pořádku pro typické procházení webu, ale když se pokusíte udělat to samé pro připojení klientů k Office 365, může být počet souběžných dlouhodobých připojení řádově větší, než pro kterou jste nastavte velikost.

Streamování není důležité, ale je

Jediné služby v Office 365, které používají PROTOKOL UDP, jsou Skype (brzy budou vyřazeny) a Microsoft Teams. Aplikace Teams používá protokol UDP ke streamování provozu, včetně sdílení zvuku, videa a prezentací. Streamované přenosy jsou živé, například když máte online schůzku s hlasem, videem a prezentujícími prezentacemi nebo předvádíte ukázky. Tyto protokoly používají UDP, protože pokud se pakety zahodí nebo dorazí mimo pořadí, je to prakticky nepovšimnutelné uživatelem a stream může pokračovat.

Pokud nepovolíte odchozí provoz UDP z klientů do služby, můžou se vrátit k používání protokolu TCP. Pokud se ale paket TCP zahodí, všechno se zastaví , dokud nevyprší vypršení časového limitu přenosu (RTO) a chybějící paket bude možné znovu přepojit. Pokud paket přijde mimo pořadí, vše se zastaví, dokud nedorazí ostatní pakety a bude možné je znovu sestavit v pořadí. Oba vedou ke znatelným závadám ve zvuku (pamatujete si Max Headroom?) a videu (klikli jste na něco... Oh, tam je) a vede k nízkému výkonu a špatnému uživatelskému prostředí. A pamatuješ si, co jsem dal výše o proxy? Když klienta Teams vynutíte, aby používal proxy server, vynutíte ho, aby používal TCP. Takže teď máte negativní dopad na výkon dvakrát.

Rozdělené tunelování se může zdát děsivé

Ale není to tak. Všechna připojení k Office 365 jsou přes protokol TLS. Tls 1.2 už nějakou dobu nabízíme a brzy budeme zakazovat starší verze, protože starší klienti je stále používají, a to je riziko.

Vynucení připojení TLS nebo 32 z nich, aby přešlo přes SÍŤ VPN, než se pak dostanou ke službě, nepřidá zabezpečení. Přidává latenci a snižuje celkovou propustnost. V některých řešeních VPN dokonce nutí protokol UDP tunelovat přes protokol TCP, což bude mít opět velmi negativní dopad na streamované přenosy. A pokud neprovádíte kontrolu protokolu TLS, není tu žádná zvrácená, všechna nevýhoda. Velmi častým tématem mezi zákazníky, když je většina jejich pracovníků vzdálená, je, že vidí významné dopady na šířku pásma a výkon v důsledku toho, že se všichni uživatelé připojují pomocí sítě VPN, místo aby konfigurovali rozdělené tunelování pro přístup k optimalizaci kategorií Office 365 koncových bodů.

Je to jednoduchá oprava rozděleného tunelování a je to jedna z nich, kterou byste měli udělat. Další informace najdete v tématu Optimalizace Office 365 připojení pro vzdálené uživatele pomocí rozděleného tunelového propojení VPN.

Hříchy minulosti

Příčinou špatných rozhodnutí je často kombinace (1) neví, jak služba funguje, (2) snaží se dodržovat zásady společnosti napsané před přechodem na cloud, a (3) bezpečnostní týmy, které nemusí být snadno přesvědčené, že existuje více než jeden způsob, jak dosáhnout svých cílů. Doufejme, že výše uvedené odkazy a odkazy níže pomohou s prvním. K tomu, abyste se dostali přes sekundu, může být vyžadováno sponzorství pro vedoucí pracovníky. Třetí možnost pomáhá řešit cíle zásad zabezpečení, a ne jejich metody. Od podmíněného přístupu přes moderování obsahu, ochrany před únikem informací až po ochranu informací, ověření koncového bodu až po hrozby nula dne – jakýkoli koncový cíl, který může mít přiměřené zásady zabezpečení, lze dosáhnout s tím, co je k dispozici v Office 365, a bez jakékoli závislosti na místním síťovém zařízení, vynucených tunelech VPN a přerušení a kontrole protokolu TLS.

Jindy hardware, který byl dimenzován a zakoupen před tím, než se organizace začala přesouvat do cloudu, jednoduše nejde vertikálně navýšit kapacitu tak, aby zvládl nové vzorce provozu a zatížení. Pokud skutečně musíte směrovat veškerý provoz přes jeden výchozí bod a/nebo ho zprostředkovat, připravte se odpovídajícím způsobem na upgrade síťového vybavení a šířky pásma. Pečlivě sledujte využití na obou zařízeních, protože s tím, jak se nasadí více uživatelů, se prostředí nezmenší pomalu. Všechno je v pořádku, dokud se nedosáhne bodu zvratu, pak všichni trpí.

Výjimky z pravidel

Pokud vaše organizace vyžaduje omezení tenanta, budete muset použít proxy server s přerušením protokolu TLS a zkontrolovat, abyste vynutili provoz přes proxy server, ale nemusíte ho vynutit. Nejedná se o návrh vše nebo nic, takže věnujte pozornost tomu, co musí proxy upravit.

Pokud chcete povolit rozdělené tunelové propojení, ale také používat proxy server pro obecný webový provoz, ujistěte se, že váš soubor PAC definuje, co musí jít přímo, a jak definujete zajímavý provoz pro to, co prochází tunelem VPN. Na webu https://aka.ms/ipaddrs nabízíme ukázkové soubory PAC, které usnadňují správu.

Závěr

Desítky tisíc organizací, včetně téměř všech organizací z žebříčku Fortune 500, používají Office 365 každý den pro své klíčové funkce. Dělají to bezpečně a dělají to přes internet.

Bez ohledu na to, jaké cíle zabezpečení máte ve hře, existují způsoby, jak je dosáhnout, které nevyžadují připojení VPN, proxy servery, přerušení a kontrolu protokolu TLS nebo centralizované výchozí přenosy dat z internetu, aby se provoz uživatelů dostal z vaší sítě a k naší co nejrychleji, což poskytuje nejlepší výkon bez ohledu na to, jestli je vaše síť sídlem společnosti. vzdálená kancelář nebo uživatel pracující doma. Naše doprovodné materiály vycházejí z toho, jak jsou služby Office 365 sestaveny, a k zajištění bezpečného a výkonného uživatelského prostředí.