Zabezpečení sítí pomocí nulová důvěra (Zero Trust)

Velké objemy dat představují nové příležitosti, jak získat nové poznatky a získat konkurenční výhodu. Odcházíme od doby, kdy byly sítě jasně definované a obvykle specifické pro určité místo. Cloud, mobilní zařízení a další koncové body rozšiřují hranice a mění paradigma. K zabezpečení teď nemusí nutně existovat obsažená/definovaná síť. Místo toho existuje rozsáhlé portfolio zařízení a sítí, které jsou propojeny cloudem.

Místo toho, aby bylo všechno za podnikovou bránou firewall v bezpečí, ucelená nulová důvěra (Zero Trust) strategie předpokládá, že porušení zabezpečení je nevyhnutelné. To znamená, že musíte ověřit každý požadavek, jako by pocházel z nekontrolované sítě – správa identit v tom hraje zásadní roli.

V modelu nulová důvěra (Zero Trust) existují tři klíčové cíle, pokud jde o zabezpečení vašich sítí:

  • Buďte připraveni zvládnout útoky dříve, než k nim dojde.

  • Minimalizujte rozsah poškození a rychlost, jak rychle se šíří.

  • Zvětšete potíže s ohrožením cloudové stopy.

Abychom to mohli udělat, dodržujeme tři nulová důvěra (Zero Trust) principy:

  • Ověřte to explicitně. Vždy ověřovat a autorizovat na základě všech dostupných datových bodů, včetně identity uživatele, umístění, stavu zařízení, služby nebo úlohy, klasifikace dat a anomálií.

  • Použijte přístup s nejnižšími oprávněními. Omezte přístup uživatelů pomocí funkcí Just-In-Time a Just-Enough-Access (JIT/JEA), adaptivních zásad založených na rizicích a ochrany dat, abyste ochránili data i produktivitu.

  • Předpokládejte porušení zabezpečení. Minimalizujte poloměr výbuchu pro porušení zabezpečení a zabraňte laterálnímu pohybu segmentováním přístupu podle sítě, uživatelů, zařízení a povědomí o aplikacích. Ověřte, že jsou všechny relace zašifrované od začátku do konce. Pomocí analýzy můžete získat přehled, řídit detekci hrozeb a zlepšit ochranu.

Cíle nasazení nulová důvěra (Zero Trust) sítě

Než většina organizací zahájí nulová důvěra (Zero Trust) cestu, mají zabezpečení sítě, které se vyznačuje následujícími vlastnostmi:

  • Několik perimetrů zabezpečení sítě a otevřených plochých sítí.

  • Minimální ochrana před hrozbami a filtrování statického provozu

  • Nešifrovaný interní provoz.

Při implementaci kompletní nulová důvěra (Zero Trust) architektury pro zabezpečení sítí doporučujeme, abyste se nejprve zaměřili na tyto cíle počátečního nasazení:

List icon with one checkmark.

Segmentace I.Network: Mnoho mikro perimetrů příchozího/výchozího přenosu dat cloudu s určitou mikro segmentací.

II.Ochrana před hrozbami: Nativní filtrování a ochrana známých hrozeb v cloudu.

III.Šifrování: Interní provoz mezi uživateli a aplikací je šifrovaný.

Po dokončení se zaměřte na tyto další cíle nasazení:

List icon with two checkmarks.

IV.Segmentace sítě: Plně distribuovaný příchozí/výchozí cloudový mikromechnik a hlubší mikro segmentace.

Ochrana předhrozbami V.Threat: Ochrana před hrozbami na základě strojového učení a filtrování s využitím kontextových signálů.

VI.Šifrování: Veškerý provoz je šifrovaný.

Průvodce nasazením síťových nulová důvěra (Zero Trust)

Tato příručka vás provede kroky potřebnými k zabezpečení vašich sítí podle principů nulová důvěra (Zero Trust) architektury zabezpečení.




Checklist icon with one checkmark.

Cíle počátečního nasazení

I. Segmentace sítě: Mnoho mikro perimetrů příchozího a výstupního cloudu s určitou mikro segmentací

Organizace by neměly mít jenom jeden velký kanál v síti a mimo síť. V nulová důvěra (Zero Trust) přístupu se sítě místo toho segmentují do menších ostrovů, kde jsou obsaženy konkrétní úlohy. Každý segment má vlastní ovládací prvky příchozího a výstupního přenosu dat, aby se minimalizoval "poloměr výbuchu" neoprávněného přístupu k datům. Implementací softwarově definovaných hraničních zařízení s podrobnými ovládacími prvky zvýšíte potíže s šířením neoprávněných aktérů v síti, a tím snížíte laterální pohyb hrozeb.

Neexistuje žádný návrh architektury, který by vyhovoval potřebám všech organizací. Máte možnost mezi několika běžnými vzory návrhu pro segmentaci sítě podle modelu nulová důvěra (Zero Trust).

V tomto průvodci nasazením vás provedeme kroky k dosažení jednoho z těchto návrhů: mikro segmentace.

Díky mikro segmentaci můžou organizace přejít nad rámec jednoduchých centralizovaných hraničních sítí k komplexní a distribuované segmentaci pomocí softwarově definovaných mikrometrů.

Aplikace jsou rozdělené do různých virtuálních sítí Azure a jsou připojené pomocí hvězdicového modelu.

Diagram of two virtual networks connected in a hub-and-spoke model.

Postupujte:

  1. Vytvořte vyhrazené virtuální sítě pro různé aplikace nebo komponenty aplikací.

  2. Vytvořte centrální virtuální síť, která nastaví stav zabezpečení pro připojení mezi aplikacemi a připojí virtuální sítě aplikace v hvězdicové architektuře.

  3. Nasaďte Azure Firewall ve virtuální síti centra, abyste mohli kontrolovat a řídit provoz mezi virtuálními sítěmi.

II. Ochrana před hrozbami: Nativní filtrování a ochrana známých hrozeb v cloudu

Cloudové aplikace, které otevřely koncové body pro externí prostředí, jako je internet nebo místní stopa, jsou ohroženy útoky pocházejícími z těchto prostředí. Proto je nezbytné, abyste v provozu hledali škodlivé datové části nebo logiku.

Tyto typy hrozeb spadají do dvou širokých kategorií:

  • Známé útoky. Hrozby, které objevil váš poskytovatel softwaru nebo větší komunita. V takových případech je podpis útoku k dispozici a musíte zajistit, aby se u těchto podpisů zkontrolovala každá žádost. Klíčem je schopnost rychle aktualizovat detekční modul o nově zjištěné útoky.

  • Neznámé útoky. Jedná se o hrozby, které se neshodují s žádným známým podpisem. Mezi tyto typy hrozeb patří nulová ohrožení zabezpečení a neobvyklé vzory v provozu požadavků. Schopnost detekovat takové útoky závisí na tom, jak dobře vaše obrana ví, co je normální a co ne. Vaše obrana by se měla neustále učit a aktualizovat takové vzory, jak se vaše firma (a přidružený provoz) vyvíjí.

Pokud chcete chránit před známými hrozbami, postupujte takto:

  1. U koncových bodů s provozem HTTP/S chraňte pomocí Azure Web Application Firewall (WAF) takto:

    1. Zapnutí výchozí sady pravidel nebo 10 hlavních sad pravidel ochrany OWASP pro ochranu před známými útoky na webové vrstvy

    2. Zapnutím sady pravidel ochrany robota zabráníte škodlivým robotům v scrapování informací, prováděním nákrmů přihlašovacích údajů atd.

    3. Přidání vlastních pravidel pro ochranu před hrozbami specifickými pro vaši firmu

    Můžete použít jednu ze dvou možností:

  2. U všech koncových bodů (http nebo ne) front s Azure Firewall pro filtrování na základě analýzy hrozeb ve vrstvě 4:

    1. Nasaďte a nakonfigurujte Azure Firewall pomocí Azure Portal.

    2. Povolte filtrování provozu na základě analýzy hrozeb .

III. Šifrování: Interní provoz mezi uživateli a aplikací je šifrovaný.

Třetím počátečním cílem, na který se zaměřit, je přidání šifrování, aby se zajistilo šifrování interního provozu mezi uživateli a aplikacemi.

Postupujte:

  1. Vynuťte komunikaci jenom přes HTTPS pro internetové webové aplikace přesměrováním provozu HTTP na HTTPS pomocí služby Azure Front Door.

  2. Připojení vzdáleným zaměstnancům nebo partnerům Microsoft Azure pomocí VPN Gateway Azure.

    1. Zapněte šifrování veškerého provozu typu point-to-site ve službě Azure VPN Gateway.
  3. Zabezpečený přístup k virtuálním počítačům Azure pomocí šifrované komunikace přes Azure Bastion

    1. Připojení k virtuálnímu počítači s Linuxem pomocí SSH.

    2. Připojení pomocí protokolu RDP k virtuálnímu počítači Windows.




Checklist icon with two checkmarks.

Další cíle nasazení

IV. Segmentace sítě: Plně distribuovaný příchozí/výchozí cloudový mikromechnik a hlubší mikro segmentace

Jakmile dosáhnete svých počátečních tří cílů, dalším krokem je další segmentace sítě.

Rozdělení komponent aplikace do různých podsítí

Diagram of a virtual network of servers in the Azure region.

Postupujte:

  1. V rámci virtuální sítě přidejte podsítě virtuální sítě , aby samostatné komponenty aplikace mohly mít vlastní hraniční sítě.

  2. Použijte pravidla skupiny zabezpečení sítě , která povolí provoz pouze z podsítí, které mají dílčí součást aplikace identifikovanou jako legitimní komunikační protějšek.

Segmentace a vynucení externích hranic

Diagram of a servers and devices with connections across boundaries.

V závislosti na typu hranice postupujte následovně:

Hranice internetu
  1. Pokud je pro vaši aplikaci vyžadováno připojení k internetu, které je potřeba směrovat přes virtuální síť centra, aktualizujte pravidla skupiny zabezpečení sítě ve virtuální síti centra tak, aby umožňovala připojení k internetu.

  2. Zapněte službu Azure DDoS Protection Standard , abyste virtuální síť centra ochránili před útoky na multilicenční síťové vrstvy.

  3. Pokud vaše aplikace používá protokoly HTTP/S, zapněte Azure Web Application Firewall a chraňte ji před hrozbami vrstvy 7.

Místní hranice
  1. Pokud vaše aplikace potřebuje připojení k místnímu datovému centru, použijte Azure ExpressRoute sítě Azure VPN k připojení k virtuální síti centra.

  2. Nakonfigurujte Azure Firewall ve virtuální síti centra tak, aby kontrolují a řídí provoz.

Hranice služeb PaaS
  • Při použití služeb PaaS poskytovaných Azure (např. Azure Storage, Azure Cosmos DB nebo Azure Web App použijte možnost připojení PrivateLink k zajištění, aby všechny výměny dat byly přes privátní IP prostor a provoz nikdy neopustí síť Microsoftu.

V. Ochrana před hrozbami: Ochrana před internetovými útoky na základě strojového učení a filtrování s využitím kontextových signálů

Pokud chcete další ochranu před hrozbami, zapněte službu Azure DDoS Protection Standard, abyste mohli nepřetržitě monitorovat provoz aplikací hostovaných v Azure, používat architektury založené na ML k základním hodnotám a detekovat povodně objemového provozu a používat automatické zmírnění rizik.

Postupujte:

  1. Konfigurace a správa Azure DDoS Protection Standard.

  2. Nakonfigurujte upozornění pro metriky ochrany před únikem informací.

VI. Šifrování: Veškerý provoz je šifrovaný.

Nakonec dokončete ochranu sítě tím, že zajistíte šifrování veškerého provozu.

Postupujte:

  1. Šifrování back-endového provozu aplikace mezi virtuálními sítěmi

  2. Šifrování provozu mezi místním prostředím a cloudem:

    1. Nakonfigurujte vpn typu site-to-site přes partnerský vztah Microsoftu ExpressRoute.

    2. Nakonfigurujte režim přenosu IPsec pro privátní partnerský vztah ExpressRoute.

Produkty zahrnuté v této příručce

Microsoft Azure

Sítě Azure

Virtuální sítě a podsítě

Skupiny zabezpečení sítě a skupiny zabezpečení aplikací

Azure Firewall

Azure DDoS Protection

Azure Web Application Firewall

Azure VPN Gateway

Azure ExpressRoute

Azure Network Watcher

Závěr

Zabezpečení sítí je základem úspěšné strategie nulová důvěra (Zero Trust). Pokud potřebujete další informace nebo pomoc s implementací, obraťte se na tým pro úspěch zákazníka nebo si přečtěte další kapitoly této příručky, které zahrnují všechny nulová důvěra (Zero Trust) pilíře.



Série průvodce nasazením nulová důvěra (Zero Trust)

Icon for the introduction

Icon for identity

Icon for endpoints

Icon for applications

Icon for data

Icon for infrastructure

Icon for networks

Icon for visibility, automation, orchestration