Planen der Zielzonen-NetzwerksegmentierungPlan for landing zone network segmentation

In diesem Abschnitt werden wichtige Empfehlungen für die Bereitstellung höchst sicherer interner Netzwerksegmentierung innerhalb einer Zielzone erläutert, mit denen eine Netzwerk-Zero-Trust-Implementierung gefördert wird.This section explores key recommendations to deliver highly secure internal network segmentation within a landing zone to drive a network zero-trust implementation.

Überlegungen zum Entwurf:Design considerations:

  • Das Zero-Trust-Modell geht davon aus, dass ein Verstoß vorliegt, und jede Anforderung wird so verifiziert, als ob sie aus einem nicht kontrollierten Netzwerk stammen würde.The zero-trust model assumes a breached state and verifies each request as though it originates from an uncontrolled network.

  • Eine erweiterte Implementierung eines Zero-Trust-Netzwerks umfasst vollständig verteilte Mikroparameter für eingehenden/ausgehenden Clouddatenverkehr und tiefere Mikrosegmentierung.An advanced zero-trust network implementation employs fully distributed ingress/egress cloud micro-perimeters and deeper micro-segmentation.

  • Netzwerksicherheitsgruppen können Azure-Diensttags verwenden, um die Konnektivität mit Azure PaaS-Diensten zu ermöglichen.Network security groups can use Azure service tags to facilitate connectivity to Azure PaaS services.

  • Anwendungssicherheitsgruppen sind nicht netzwerkübergreifend und bieten auch keinen Schutz für mehrere virtuelle Netzwerke.Application security groups don't span or provide protection across virtual networks.

  • NSG-Datenflussprotokolle werden nun durch Azure Resource Manager-Vorlagen unterstützt.NSG flow logs are now supported through Azure Resource Manager templates.

Entwurfsempfehlungen:Design recommendations:

  • Delegieren Sie die Subnetzerstellung an den Zielzonenbesitzer.Delegate subnet creation to the landing zone owner. Dadurch kann dieser festlegen, wie Workloads über Subnetze segmentiert werden (z. B. ein einziges großes Subnetz, mehrschichtige Anwendung oder in das Netzwerk integrierte Anwendung).This will enable them to define how to segment workloads across subnets (for example, a single large subnet, multitier application, or network-injected application). Das Plattformteam kann mithilfe von Azure Policy sicherstellen, dass Subnetzen mit Richtlinien vom Typ „Immer verweigern“ immer ein NSG mit bestimmten Regeln (z. B. eingehenden SSH oder RDP aus dem Internet verweigern oder Datenverkehr zwischen Zielzonen zulassen/blockieren) zugeordnet ist.The platform team can use Azure Policy to ensure that an NSG with specific rules (such as deny inbound SSH or RDP from internet, or allow/block traffic across landing zones) is always associated with subnets that have deny-only policies.

  • Verwenden Sie NSGs, um den subnetzübergreifenden Datenverkehr sowie den plattformübergreifenden Ost-West-Datenverkehr (Datenverkehr zwischen Zielzonen) zu schützen.Use NSGs to help protect traffic across subnets, as well as east/west traffic across the platform (traffic between landing zones).

  • Das Anwendungsteam sollte mithilfe von Anwendungssicherheitsgruppen für die NSGs auf Subnetzebene mehrschichtige VMs in der Zielzone schützen.The application team should use application security groups at the subnet-level NSGs to help protect multitier VMs within the landing zone.

  • Verwenden Sie NSGs und Anwendungssicherheitsgruppen zum Mikrosegmentieren von Datenverkehr in der Zielzone, und filtern Sie Datenverkehr nach Möglichkeit nicht mit einem zentralen NVA.Use NSGs and application security groups to micro-segment traffic within the landing zone and avoid using a central NVA to filter traffic flows.

  • Aktivieren Sie NSG-Datenflussprotokolle und speisen Sie diese in Traffic Analytics ein, um Erkenntnisse zu internen und externen Datenverkehrsflüssen zu gewinnen.Enable NSG flow logs and feed them into Traffic Analytics to gain insights into internal and external traffic flows.

  • Verwenden Sie NSGs, um die Konnektivität zwischen Zielzonen selektiv zuzulassen.Use NSGs to selectively allow connectivity between landing zones.

  • Leiten Sie bei Virtual WAN-Topologien Datenverkehr über Zielzonen hinweg per Azure Firewall weiter, wenn Ihre Organisation Filter- und Protokollierungsfunktionen für Datenverkehr benötigt, der zwischen Zielzonen fließt.For Virtual WAN topologies, route traffic across landing zones via Azure Firewall if your organization requires filtering and logging capabilities for traffic flowing across landing zones.