Sichern und Steuern von Workloads mit Segmentierung auf Netzwerkebene

Firewall
Monitor
SQL-Datenbank
Virtual Network

Als Segmentierung wird ein Modell bezeichnet, in dem Sie mithilfe der Tools von Microsoft Azure softwaredefinierte Umfelder für das Netzwerk erstellen. Anschließend legen Sie Regeln für den Datenverkehr von bzw. zu diese(n) Umfeld(ern) fest, sodass Sie für verschiedene Teile des Netzwerks unterschiedliche Sicherheitsstatus festlegen können. Wenn Sie unterschiedliche Anwendungen (oder Teile einer bestimmten Anwendung) in diese Umfelder aufnehmen, können Sie die Kommunikation zwischen diesen segmentierten Entitäten steuern. Wenn ein Teil des Anwendungsstapels gefährdet ist, können Sie die Auswirkungen dieser Sicherheitsverletzung besser eindämmen und ihre seitliche Ausbreitung im Rest des Netzwerks verhindern. Diese Fähigkeit ist ein wichtiges Prinzip des Zero Trust-Modells von Microsoft, das Ihrer Organisation ein erstklassiges Sicherheitskonzept bietet.

Segmentierungsmuster

Wenn Sie in Azure arbeiten, verfügen Sie über zahlreiche und vielfältige Segmentierungsoptionen, die Ihnen helfen, geschützt zu bleiben.

Ressourcenflussdiagramm

  1. Abonnement: Abonnements sind ein allgemeines Konstrukt, das die plattformgestützte Trennung zwischen Entitäten ermöglicht. Es ist dazu gedacht, die Grenzen zwischen großen Organisationen innerhalb eines Unternehmens zu ziehen. Die Kommunikation zwischen Ressourcen in verschiedenen Abonnements muss explizit bereitgestellt werden.

  2. Virtual Network: Virtuelle Netzwerke werden innerhalb eines Abonnements in privaten Adressräumen erstellt. Die Netzwerke bieten die Kapselung von Ressourcen auf Netzwerkebene, wobei standardmäßig kein Datenverkehr zwischen zwei virtuellen Netzwerken zulässig ist. Die Kommunikation zwischen virtuellen Netzwerken muss wie bei Abonnements explizit bereitgestellt werden.

  3. Netzwerksicherheitsgruppen (NSG): NSGs sind Zugriffssteuerungsmechanismen zum Steuern des Datenverkehrs zwischen Ressourcen innerhalb eines virtuellen Netzwerks. Eine NSG steuert auch den Datenverkehr mit externen Netzwerken wie dem Internet, anderen virtuellen Netzwerken usw. In NSGs kann die Segmentierungsstrategie durch das Erstellen von Umfeldern für ein Subnetz, eine Gruppe von VMs oder sogar eine einzelne VM differenzierter angewendet werden.

  4. Anwendungssicherheitsgruppen (ASGs):: ASGs bieten ähnliche Steuerungsmechanismen wie NSGs, jedoch für einen Anwendungskontext. Mit einer ASG können Sie eine Gruppe von VMs unter einem Anwendungstag gruppieren. Es kann Datenverkehrsregeln definieren, die dann auf die einzelnen zugrunde liegenden VMs angewendet werden.

  5. Azure Firewall: Azure Firewall ist eine cloudnative zustandsbasierte Firewall als Dienst. Diese Firewall kann in Ihren virtuellen Netzwerken oder in Azure Virtual WAN Hub-Bereitstellungen eingesetzt werden, um den Datenverkehr zu filtern, der zwischen Cloud-Ressourcen, dem Internet und vor Ort fließt. Sie erstellen Regeln oder Richtlinien (mithilfe von Azure Firewall oder Azure Firewall Manager), wobei Sie mit Layer-3- bis Layer-7-Steuerungen Datenverkehr zulassen/verweigern. Sie können Datenverkehr, der in das Internet fließt, auch mithilfe von Azure Firewall und Drittanbietern filtern. Leiten Sie für erweiterte Filterung und Benutzerschutz einen Teil oder den gesamten Datenverkehr über Sicherheitsanbieter von Drittanbietern weiter.

Die folgenden drei Muster sind üblich, wenn es darum geht, Workloads in Azure im Hinblick auf Netzwerke zu organisieren. Jedes dieser Muster bietet eine andere Art von Isolation und Konnektivität. Die beste Lösung für Ihre Organisation sollten Sie auf Grundlage der Anforderungen Ihrer Organisation treffen. Für jedes dieser Modelle wird beschrieben, wie die Segmentierung mithilfe der oben genannten Azure-Netzwerkdienste durchgeführt werden kann.

Es ist auch möglich, dass sich das richtige Design für Ihre Organisation von den hier aufgeführten Designs unterscheidet. Und dieses Ergebnis ist zu erwarten, denn es gibt nicht die eine (oder drei) Größe(n), die allen passt. Möglicherweise verwenden Sie am Ende Prinzipien aus allen diesen Mustern, um zu erreichen, was für Ihre Organisation am besten ist. Die Azure-Plattform bietet die Flexibilität und die Tools, die Sie benötigen.

Muster 1: Einzelnes virtuelles Netzwerk

In diesem Muster befinden sich alle Komponenten der Workloads oder in einigen Fällen alle Komponenten der IT in einem einzelnen virtuellen Netzwerk. Dieses Muster ist möglich, wenn Sie nur in einer einzelnen Region arbeiten, da sich ein virtuelles Netzwerk nicht über mehrere Regionen erstrecken kann.

Die Entitäten, die Sie wahrscheinlich zum Erstellen von Segmenten in diesem virtuellen Netzwerk verwenden, sind entweder NSGs oder ASGs. Die Wahl hängt davon ab, ob Sie auf die Segmente als Subnetze des Netzwerks oder als Anwendungsgruppen verweisen möchten. In der folgenden Abbildung ist ein Beispiel für ein segmentiertes virtuelles Netzwerk dargestellt.

Einzelnes virtuelles Netzwerk

In dieser Einstellung sind in Subnet1 die Datenbankworkloads und in Subnet2 die Webworkloads angeordnet. Sie können NSGs beispielsweise so platzieren, dass Subnet1 nur mit Subnet2 kommunizieren kann und dass Subnet2 mit dem Internet kommunizieren kann. Sie können dieses Konzept auch weiter nutzen, wenn viele Workloads vorhanden sind. Zuordnen von Subnetzen, die z. B. nicht zulassen, dass eine Workload mit dem Back-End einer anderen Workload kommuniziert.

Wir haben die Steuerung des Subnetzdatenverkehrs anhand von NSGs veranschaulicht. Sie können diese Segmentierung jedoch auch mit einer virtualisierten Netzwerkappliance aus Azure Marketplace oder Azure Firewall erzwingen.

Muster 2: Mehrere virtuelle Netzwerke mit Peering zwischen den Netzwerken

Dieses Muster ist eine Erweiterung des vorherigen Musters, die mehrere virtuelle Netzwerke mit potenziellen Peeringverbindungen umfasst. Möglicherweise wählen Sie dieses Muster, um Anwendungen in jeweils eigenen virtuellen Netzwerken zu gruppieren, oder Sie müssen in mehreren Azure-Regionen präsent sein. Sie erhalten eine integrierte Segmentierung über virtuelle Netzwerke, da Sie explizit ein Peering eines virtuellen Netzwerks mit einem anderen Netzwerk erstellen müssen, damit diese kommunizieren können. (Beachten Sie, dass die Konnektivität des Peerings virtueller Netzwerke nicht transitiv ist.) Verwenden Sie NSGs/ASGs in den virtuellen Netzwerken, um innerhalb eines virtuellen Netzwerks auf ähnliche Weise wie in Muster 1 segmentieren zu können.

Mehrere virtuelle Netzwerke

Muster 3: Mehrere virtuelle Netzwerke in einem Hub-and-Spoke-Modell

Bei diesem Muster handelt es sich um eine erweiterte Organisation virtueller Netzwerke, in der Sie ein virtuelles Netzwerk in einer bestimmten Region als Hub für alle anderen virtuellen Netzwerke in dieser Region festlegen. Die Konnektivität zwischen dem virtuellen Hubnetzwerk und den zugehörigen virtuellen Spokenetzwerken erfolgt durch Peering in virtuellen Azure-Netzwerken. Der gesamte Datenverkehr durchläuft das virtuelle Hubnetzwerk, und dieses kann als Gateway für andere Hubs in verschiedenen Regionen fungieren. Sie richten den Sicherheitsstatus auf den Hubs ein, damit diese den Datenverkehr zwischen den virtuellen Netzwerken auf skalierbare Weise segmentieren und steuern können. Ein Vorteil dieses Musters besteht darin, dass mit zunehmender Größe der Netzwerktopologie der Aufwand für den Sicherheitsstatus nicht zunimmt (sofern Sie nicht in neue Regionen expandieren).

Hub-and-Spoke-Modell

Die empfohlene native Azure-Segmentierungssteuerung ist Azure Firewall. Azure Firewall funktioniert sowohl in virtuellen Netzwerken als auch in Abonnements, um Datenverkehrsflüsse mithilfe von Layer 3- bis Layer 7-Kontrollen zu steuern. Sie können Kommunikationsregeln definieren (z. B. die Kommunikation des virtuellen Netzwerks X mit dem virtuellen Netzwerk Y unterbinden, die Kommunikation mit dem virtuellen Netzwerk Z jedoch zulassen, Internetzugriff für das virtuelle Netzwerk X unterbinden, mit Ausnahme des Zugriffs auf *.github.com usw.) und konsistent anwenden. Mit der Vorschauversion von Azure Firewall Manager können Sie Richtlinien für mehrere Azure Firewalls zentral verwalten und DevOps-Teams die weitere Anpassung der lokalen Richtlinien ermöglichen.

Die folgende Tabelle enthält eine Gegenüberstellung der drei Mustertopologien:

Muster 1 Muster 2 Muster 3
Konnektivität/Routing: Art der Kommunikation zwischen den Segmenten Systemrouting bietet Standardkonnektivität mit jeder Workload in jedem Subnetz. Wie Muster 1 Keine Standardkonnektivität zwischen virtuellen Spokenetzwerken. Zum Aktivieren der Konnektivität ist ein Layer-3-Router, z. B. Azure Firewall im virtuellen Hubnetzwerk, erforderlich.
Filterung des Datenverkehrs auf Netzwerkebene Datenverkehr wird standardmäßig zugelassen. Zum Filtern dieses Musters können NSGs/ASGs verwendet werden. Wie Muster 1 Der Datenverkehr zwischen den virtuellen Spokenetzwerken wird standardmäßig verweigert. Die Azure Firewall-Konfiguration kann ausgewählten Datenverkehr aktivieren, z. B. windowsupdate.com.
Zentralisierte Protokollierung NSG-/ASG-Protokolle für das virtuelle Netzwerk Aggregieren von NSG-/ASG-Protokollen in allen virtuellen Netzwerken Azure Firewall protokolliert in Azure Monitor sämtlichen akzeptierten/verweigerten Datenverkehr, der über einen Hub gesendet wird.
Unbeabsichtigt geöffnete öffentliche Endpunkte Ein öffentlicher Endpunkt kann aufgrund falscher NSG-/ASG-Regeln versehentlich durch DevOps geöffnet werden. Wie Muster 1 Versehentlich geöffneter öffentlicher Endpunkt in einem virtuellen Spoke-Netzwerk aktiviert den Zugriff nicht. Das Rückgabepaket wird über eine zustandsbehaftete Firewall (asymmetrisches Routing) abgelegt.
Schutz auf Anwendungsebene NSGs/ASGs bieten nur Unterstützung auf Netzwerkebene. Wie Muster 1 Azure Firewall unterstützt FQDN-Filterung für HTTP/S und MSSQL für ausgehenden Datenverkehr und zwischen virtuellen Netzwerken.

Nächste Schritte

Erfahren Sie mehr über die Komponententechnologien:

Erkunden Sie die verwandten Architekturen: