Sichern und Steuern von Workloads mit Segmentierung auf Netzwerkebene

Azure
Firewall
Monitor
GitHub
Windows

Als Segmentierung wird ein Modell bezeichnet, in dem Sie mithilfe der Tools von Azure softwaredefinierte Perimeter für das Netzwerk erstellen.Segmentation is a model in which you take your networking footprint and create software defined perimeters using the different tools available as part of Azure's offerings. Anschließend legen Sie Regeln für den Datenverkehr von bzw. zu diese(n) Perimeter(n) fest, sodass Sie für verschiedene Teile des Netzwerks unterschiedliche Sicherheitsstatus festlegen können.You then set rules that govern the traffic from/to these perimeters so that you can have different security postures for various parts your network. Dies ist hilfreich, wenn Sie unterschiedliche Anwendungen (oder Teile einer bestimmten Anwendung) in diese Perimeter aufnehmen, um die Kommunikation zwischen diesen segmentierten Entitäten zu steuern.Where this becomes useful is when you place different applications (or parts of a given application) into these perimeters so that you govern the communication between these segmented entities. Dieses Modell bietet einen weiteren Vorteil: Wenn ein Teil des Anwendungsstapels gefährdet ist, können Sie die Auswirkungen dieser Sicherheitsverletzung besser eindämmen und ihre seitliche Ausbreitung im Rest des Netzwerks verhindern.Another advantage of this model is that if a part of your application stack is compromised, you will be able to better contain the impact of this security breach and prevent it from laterally spreading through the rest of your network. Dies ist ein wichtiges Prinzip des Zero Trust-Modells von Microsoft, das Ihrer Organisation ein erstklassiges Sicherheitskonzept bietet.This is a key principle associated with the Zero Trust model published by Microsoft that aims to bring world class security thinking to your organization

SegmentierungsmusterSegmentation Patterns

Wenn Sie in Azure arbeiten, verfügen Sie über zahlreiche und vielfältige Segmentierungsoptionen, die Ihnen helfen, geschützt zu bleiben.When you operate on Azure, you have a wide and diverse set of segmentation options available to help you be protected.

Ressourcenflussdiagramm

  1. Abonnement: Abonnements sind ein allgemeines Konstrukt, das die plattformgestützte Trennung zwischen Entitäten ermöglicht.Subscription : Subscriptions are a high-level construct, which provides platform powered separation between entities. Es soll Grenzen zwischen großen Organisationen innerhalb eines Unternehmens abstecken, und die Kommunikation zwischen Ressourcen in unterschiedlichen Abonnements muss explizit bereitgestellt werden.It is intended to carve out boundaries between large organizations within a company and communication between resources in different subscriptions needs to be explicitly provisioned.

  2. Virtuelles Netzwerk: Virtuelle Netzwerke werden innerhalb eines Abonnements in privaten Adressräumen erstellt und bieten die Kapselung von Ressourcen auf Netzwerkebene. Dabei ist standardmäßig kein Datenverkehr zwischen zwei virtuellen Netzwerken zulässig.Virtual Network : Virtual networks are created within a subscription in private address spaces and provide network level containment of resources with no traffic allowed by default between any two virtual networks. Die Kommunikation zwischen virtuellen Netzwerken muss wie bei Abonnements explizit bereitgestellt werden.Like subscriptions, any communication between virtual networks needs to be explicitly provisioned.

  3. Netzwerksicherheitsgruppen (NSGs): NSGs sind Zugriffssteuerungsmechanismen zum Steuern des Datenverkehrs zwischen Ressourcen in einem virtuellen Netzwerk und mit externen Netzwerken (z. B. mit dem Internet, anderen virtuellen Netzwerken usw.).Network Security Groups (NSG) : NSGs are access control mechanisms for controlling traffic between resources within a virtual network and also with external networks (for example, the internet, other virtual networks etc.). In NSGs kann die Segmentierungsstrategie durch das Erstellen von Perimetern für ein Subnetz, eine Gruppe von VMs oder sogar eine einzelne VM differenzierter angewendet werden.NSGs can take your segmentation strategy to a granular level by creating perimeters for a subnet, group of VMs or even a single virtual machine.

  4. Anwendungssicherheitsgruppen (ASGs):: ASGs bieten ähnliche Steuerungsmechanismen wie NSGs, jedoch für einen Anwendungskontext.Application Security Groups (ASGs): ASGs provide control mechanisms similar to NSGs but are referenced with an application context. Sie können mit ihnen eine Gruppe von VMs unter einem Anwendungstag gruppieren und Datenverkehrsregeln definieren, die dann auf die einzelnen zugrunde liegenden VMs angewendet werden.It allows you to group a set of VMs under an application tag and define traffic rules that are then applied to each of the underlying VMs.

  5. Azure Firewall: Azure Firewall ist eine zustandsbehaftete Firewall als Dienst in der Cloud, die in virtuellen Netzwerken oder in Bereitstellungen von Azure Virtual WAN-Hubs eingesetzt werden kann, um den Datenverkehr zwischen Cloudressourcen, dem Internet und lokalen Umgebungen zu filtern.Azure Firewall: Azure Firewall is a cloud native stateful Firewall as a service, which can be deployed in your virtual networks or in Azure Virtual WAN hub deployments for filtering traffic flowing between cloud resources, the Internet, and on-premise. Sie erstellen Regeln oder Richtlinien (mithilfe von Azure Firewall oder Azure Firewall Manager), wobei Sie mit Layer-3- bis Layer-7-Steuerungen Datenverkehr zulassen/verweigern.You create rules or policies (using Azure Firewall or Azure Firewall Manager) specifying allow/deny traffic using layer 3 to layer 7 controls. Sie können zum Verbessern der Filterung und des Benutzerschutzes auch den Datenverkehr aus dem Internet mithilfe von Azure Firewall und Drittanbietern filtern, indem Sie den gesamten Datenverkehr oder einen Teil davon über externe Sicherheitsanbieter leiten.You can also filter traffic going to the internet using both Azure Firewall and third parties by directing some or all traffic through third-party security providers for advanced filtering & user protection.

Nachfolgend finden Sie drei häufig von unseren Kunden verwendete Muster zum Organisieren der Workloads in Azure im Hinblick auf Netzwerke.Below are three common patterns we see amongst our customers when it comes to organizing your workload in Azure from a networking perspective. Jedes dieser Muster bietet eine andere Art von Isolation und Konnektivität.Each of these patterns provides a different type of isolation and connectivity. Sie müssen die beste Lösung für Ihre Organisation auf Grundlage der Anforderungen Ihrer Organisation treffen.As to which one works best for your organization is a decision you have to make based on your organization's needs. Für jedes dieser Modelle wird beschrieben, wie die Segmentierung mithilfe der oben genannten Azure-Netzwerkdienste durchgeführt werden kann.With each of these models, we describe how segmentation can be done using the above-mentioned Azure Networking services.

Es ist auch sehr gut möglich, dass sich das richtige Design für Ihre Organisation von den hier aufgeführten Designs unterscheidet.It is also very much possible that the right design for your organization is something other than the ones we list here. Da es keine Universallösung für diese Strategie gibt, müssen Sie möglicherweise letztendlich mithilfe von Prinzipien aus den unten aufgeführten Mustern die optimale Lösung für Ihre Organisation erstellen.And that is expected since there is no one (or three) size(s) that fits everyone and you might end up using principles from across these patterns listed below to create what's best for your organization. Die Azure-Plattform zeichnet sich dadurch aus, dass sie die Flexibilität und Tools bietet, die Sie für diese Lösung benötigen.The beauty of the Azure platform is that it provides the flexibility and tooling you need to build that.

Muster 1: Einzelnes virtuelles NetzwerkPattern 1: Single Virtual Network

In diesem Muster befinden sich alle Komponenten der Workloads oder in einigen Fällen alle Komponenten der IT in einem einzelnen virtuellen Netzwerk.In this pattern, all the components of your workload or, in some cases, your entire IT footprint is put inside a single virtual network. Dieses Muster ist möglich, wenn Sie nur in einer einzelnen Region arbeiten, da sich ein virtuelles Netzwerk nicht über mehrere Regionen erstrecken kann.This pattern is possible if you are operating solely in a single region since a virtual network cannot span multiple regions.

Die Entitäten, die Sie wahrscheinlich zum Erstellen von Segmenten in diesem virtuellen Netzwerk verwenden, sind entweder NSGs oder ASGs.The entities you would most likely use for creating segments inside this virtual network are either NSGs or ASGs. Die Wahl hängt davon ab, ob Sie auf die Segmente als Subnetze des Netzwerks oder als Anwendungsgruppen verweisen möchten.The choice of which depends on whether you want to refer to your segments as network subnets or application groups. In der folgenden Abbildung ist ein Beispiel für ein segmentiertes virtuelles Netzwerk dargestellt.The image below is an example of how such a segmented virtual network would look like.

Einzelnes virtuelles Netzwerk

In der Abbildung sind in Subnet1 die Datenbankworkloads und in Subnet2 die Webworkloads angeordnet.In this you have Subnet1 where you placed your database workloads and another one, Subnet2, where you have placed your web workloads. Sie können NSGs beispielsweise so platzieren, dass Subnet1 nur mit Subnet2 kommunizieren kann und dass Subnet2 mit dem Internet kommunizieren kann.You can put NSGs that say that the Subnet1 can talk only with Subnet2 and that the Subnet2 can talk to the Internet. Wenn mehrere Workloads vorhanden sind, können Sie dieses Konzept vertiefen, indem Sie Subnetze aufteilen. Diese verhindern dann beispielsweise die Kommunikation einer Workload mit dem Back-End einer anderen Workload.You can also take this concept further in the presence of multiple workloads by carving out subnets, which for example will not allow one workload to communicate to the backend of another workload.

Wir haben die Steuerung des Subnetzdatenverkehrs anhand von NSGs veranschaulicht. Sie können diese Segmentierung jedoch auch mit einer virtualisierten Netzwerkappliance aus Azure Marketplace oder Azure Firewall erzwingen.Although we used NSGs to illustrate how subnet traffic can be governed, you can also use a Network Virtualized Appliance from Azure Marketplace or Azure Firewall to enforce this segmentation

Muster 2: Mehrere virtuelle Netzwerke mit Peering zwischen den NetzwerkenPattern 2: Multiple Virtual Networks with peering in between them

Dieses Muster ist eine Erweiterung des vorherigen Musters, die mehrere virtuelle Netzwerke mit potenziellen Peeringverbindungen umfasst.This pattern is the extension of the previous pattern where you have multiple virtual networks with potential peering connections. Möglicherweise wählen Sie dieses Muster, um Anwendungen in jeweils eigenen virtuellen Netzwerken zu gruppieren, oder Sie müssen in mehreren Azure-Regionen präsent sein.You might be opting this pattern for grouping applications into separate virtual networks or you might be needing presence in multiple Azure regions. Ein wichtiger Vorteil dieses Musters ist die integrierte Segmentierung durch virtuelle Netzwerke, da Sie für die Kommunikation zwischen virtuellen Netzwerken diese explizit per Peering verknüpfen müssen (beachten Sie, dass Konnektivität mittels Peering in virtuellen Netzwerken nicht transitiv ist).One key benefit you get here is the built-in segmentation by way of virtual networks since you have to explicitly peer a virtual network to another one for them to communicate (keep in mind that virtual network peering connectivity is not transitive). Sie können ein virtuelles Netzwerk auf ähnliche Weise wie in Muster 1 weiter segmentieren, indem Sie in den virtuellen Netzwerken NSGs/ASGs verwenden.You can further segment within a virtual network in a manner similar to patter #1 by using NSGs/ASGs in the virtual networks.

Mehrere virtuelle Netzwerke

Muster 3: Mehrere virtuelle Netzwerke in einem Hub-and-Spoke-ModellPattern 3: Multiple Virtual Networks in a hub & spoke model

Bei diesem Muster handelt es sich um eine erweiterte Organisation virtueller Netzwerke, in der Sie ein virtuelles Netzwerk in einer bestimmten Region als Hub für alle anderen virtuellen Netzwerke in dieser Region festlegen.This pattern is a more advanced virtual network organization where you designate a virtual network in a given region as the hub for all the other virtual networks in that region. Die Konnektivität zwischen dem virtuellen Hubnetzwerk und den zugehörigen virtuellen Spokenetzwerken erfolgt durch Peering in virtuellen Azure-Netzwerken.The connectivity between the hub virtual network and its spoke virtual networks is achieved by using Azure virtual network peering. Der gesamte Datenverkehr durchläuft das virtuelle Hubnetzwerk, und dieses kann als Gateway für andere Hubs in verschiedenen Regionen fungieren.All traffic passes through the hub virtual network and it can act as a gateway to other hubs in different regions. In diesem Modell richten Sie den Sicherheitsstatus auf den Hubs ein, damit diese den Datenverkehr zwischen den virtuellen Netzwerken auf skalierbare Weise segmentieren und steuern können.In this model, you set up your security posture at the hubs so that they get to segment and govern the traffic in between the virtual networks in a scalable way. Ein Vorteil dieses Musters besteht darin, dassOne benefit of this pattern is that. mit zunehmender Größe der Netzwerktopologie der Aufwand für den Sicherheitsstatus nicht zunimmt (sofern Sie nicht in neue Regionen expandieren).as your network topology grows, the security posture overhead does not grow (except when you expand to new regions).

Hub-and-Spoke-Modell

Die hierfür empfohlene cloudnative Azure-Segmentierungssteuerung ist Azure Firewall. Diese Komponente steuert den Datenverkehr zwischen virtuellen Netzwerken und Abonnements mithilfe von Layer-3- bis Layer-7-Steuerungen.The recommended Azure cloud native segmentation control here is Azure Firewall, which works across both Virtual Networks and subscriptions to govern traffic flows using layer 3 to layer 7 controls. Sie können Kommunikationsregeln definieren (z. B. die Kommunikation des virtuellen Netzwerks X mit dem virtuellen Netzwerk Y unterbinden, die Kommunikation mit dem virtuellen Netzwerk Z jedoch zulassen, Internetzugriff für das virtuelle Netzwerk X unterbinden, mit Ausnahme des Zugriffs auf „*.github.com“ usw.) und konsistent anwenden.You get to define how your communication rules look like (for example, virtual network X cannot talk with virtual network Y, but it can talk with virtual network Z, no Internet for Virtual network X except access to *.github.com etc.) and apply it consistently. Mit der Vorschauversion von Azure Firewall Manager können Sie Richtlinien für mehrere Azure Firewalls zentral verwalten und DevOps-Teams die weitere Anpassung der lokalen Richtlinien ermöglichen.With Azure Firewall Manager preview, you can centrally manage policies across multiple Azure Firewalls and enable DevOps teams to further customize local policies.

Nachdem wir nun die Topologien der drei Muster und die Segmentierungsentitäten definiert haben, vergleichen wir die einzelnen Muster in Bezug auf die unten aufgeführten Funktionen.Now that we have defined the three patterns' topologies and the segmentation entities, let's see how each of them compares when it comes to the capabilities listed below.

Muster 1Pattern 1 Muster 2Pattern 2 Muster 3Pattern 3
Konnektivität/Routing: Art der Kommunikation zwischen den SegmentenConnectivity/Routing: how each segment communicates to each other Systemrouting bietet Standardkonnektivität mit jeder Workload in jedem Subnetz.System routing provides default connectivity to any workload in any subnet Wie Muster 1Same as a pattern 1 Keine Standardkonnektivität zwischen virtuellen Spokenetzwerken.No default connectivity between spoke virtual networks. Zum Aktivieren der Konnektivität ist ein Layer-3-Router, z. B. Azure Firewall im virtuellen Hubnetzwerk, erforderlich.A layer 3 router such as the Azure Firewall in the hub virtual network is required to enable connectivity.
Filterung des Datenverkehrs auf NetzwerkebeneNetwork level traffic filtering Datenverkehr wird standardmäßig zugelassen.Traffic is allowed by default. Zum Filtern dieses Musters können NSGs/ASGs verwendet werden.NSG/ASG can be used for filtering this pattern. Wie Muster 1Same as a pattern 1 Der Datenverkehr zwischen den virtuellen Spokenetzwerken wird standardmäßig verweigert.Traffic between spoke virtual networks is denied by default. Die Azure Firewall-Konfiguration kann ausgewählten Datenverkehr, z. B. von „windowsupdate.com“, ermöglichen.Azure Firewall configuration can enable selected traffic for example, windowsupdate.com
Zentralisierte ProtokollierungCentralized logging NSG-/ASG-Protokolle für das virtuelle NetzwerkNSG/ASG logs for the virtual network Aggregieren von NSG-/ASG-Protokollen in allen virtuellen NetzwerkenAggregate NSG/ASG logs across all virtual networks Azure Firewall protokolliert in Azure Monitor sämtlichen akzeptierten/verweigerten Datenverkehr, der über einen Hub gesendet wird.Azure Firewall logs to Azure Monitor all accepted/denied traffic that is sent via a hub
Unbeabsichtigt geöffnete öffentliche EndpunkteUnintended open public endpoints Ein öffentlicher Endpunkt kann aufgrund falscher NSG-/ASG-Regeln versehentlich durch DevOps geöffnet werden.DevOps can accidentally open a public endpoint via incorrect NSG/ASG rules. Wie Muster 1Same as a pattern 1 Durch einen versehentlich geöffneten öffentlichen Endpunkt in einem virtuellen Spokenetzwerk wird kein Zugriff aktiviert, da das Rückgabepaket über eine zustandsbehaftete Firewall (d. h. asymmetrisches Routing) gelöscht wird.Accidentally opened public endpoint in a spoke virtual network will not enable access as the return packet will be dropped via stateful firewall (that is, asymmetric routing)
Schutz auf AnwendungsebeneApplication level protection NSGs/ASGs bieten nur Unterstützung auf Netzwerkebene.NSG/ASG provides network layer support only. Wie Muster 1Same as a pattern 1 Azure Firewall unterstützt FQDN-Filterung für HTTP/S und MSSQL für ausgehenden Datenverkehr und zwischen virtuellen Netzwerken.Azure Firewall supports FQDN filtering for HTTP/S and MSSQL for outbound traffic and across virtual networks.