Verkkopalvelut (pilvipalveluun)– Yhden arkkitehdin näkökulma

Artikkeli
07/16/2023

Tässä artikkelissa Microsoftin tietoturva-& yhteensopivuusarkkitehti Ed Fisher kuvailee, miten voit optimoida verkkosi pilviyhteyttä varten välttämällä yleisimmät sudenkuopat.

Tietoja tekijästä

Näyttökuva Ed Fisherin valokuvasta.

Olen tällä hetkellä vähittäiskaupan ja kuluttajatuotteiden tiimimme tekninen pääasiantuntija, ja keskityn tietoturvan & vaatimustenmukaisuuteen. Olen työskennellyt asiakkaiden kanssa, jotka muuttavat Office 365 viimeiset kymmenen vuotta. Olen työskennellyt pienempien kauppojen kanssa, joissa on kourallinen paikkoja valtion virastoille ja yrityksille, joissa on miljoonia käyttäjiä ympäri maailmaa, ja monia muita asiakkaita niiden välillä, suurimmalla osalla on kymmeniä tuhansia käyttäjiä, useita paikkoja eri puolilla maailmaa, tarve korkeampaan suojaukseen ja lukuisat yhteensopivuusvaatimukset. Olen auttanut satoja yrityksiä ja miljoonia käyttäjiä siirtymään pilvipalveluun turvallisesti ja turvallisesti.

Viimeisten 25 vuoden aikana minulla on ollut tausta, joka sisältää suojauksen, infrastruktuurin ja verkkotekniikan, ja siirrettyäni kaksi aiempaa työnantajaani Office 365 ennen Microsoftille tulemista, olen ollut puolellasi taulukossa monta kertaa ja muistan, millaista se on. Vaikka mikään kahdesta asiakkaasta ei ole koskaan sama, useimmilla on samanlaiset tarpeet, ja käyttäessäsi standardoitua palvelua, kuten mitä tahansa SaaS- tai PaaS-ympäristöä, parhaat lähestymistavat ovat yleensä samat.

Se ei ole verkko – se on se, miten käytät (väärin) sitä!

Riippumatta siitä, kuinka monta kertaa se tapahtuu, minua hämmästyttää aina, kuinka luovat suojaustiimit ja verkkotiimit yrittävät saada tietoa siitä, miten heidän mielestään heidän pitäisi muodostaa yhteys Microsoftin pilvipalveluihin. Aina on olemassa jokin suojauskäytäntö, yhteensopivuusstandardi tai parempi tapa, jolla he vaativat käyttöä, ilman että he ovat halukkaita keskustelemaan siitä, mitä he yrittävät tehdä tai miten on olemassa parempia, helpompia, kustannustehokkaampia ja tehokkaampia tapoja tehdä niin.

Kun tällainen asia eskaloituu minulle, olen yleensä valmis ottamaan haasteen vastaan ja kävelemään heidät läpi kuinka ja miksi ja saada heidät sinne, missä heidän on oltava. Mutta jos olen täysin rehellinen, minun on jaettava se, että joskus haluan vain antaa heidän tehdä mitä haluavat, ja palata sanomaan, että kerroin sinulle, joten kun he vihdoin myöntävät, että se ei toimi. Ehkä haluan tehdä niin joskus, mutta en halua. Yritän selittää, mitä aion sisällyttää tähän viestiin. Roolistasi riippumatta, jos organisaatiosi haluaa käyttää Microsoftin pilvipalveluja, seuraavassa on todennäköisesti jonkin verran viisautta, joka voi auttaa sinua.

Pääperiaatteet

Aloitetaan perussäännöillä siitä, mitä teemme täällä. Käsittelemme sitä, miten voit turvallisesti muodostaa yhteyden pilvipalveluihin, jotta voidaan varmistaa mahdollisimman pieni monimutkaisuus ja maksimaalinen suorituskyky säilyttäen samalla todellinen suojaus. Mikään seuraavista ei ole ristiriidassa minkään tämän kanssa, vaikka sinä tai asiakkaasi et saisikaan käyttää suosikkivälityspalvelintasi kaikkeen.

Vaikka voitkin, se ei tarkoita, että sinun pitäisi: Tai muotoilla tohtori Ian Malcolm Jurassic Park -elokuvasta "... Niin, mutta turvatiimisi oli niin kiinnostunut siitä, voisivatko he pysähtyä miettimään, pitäisikö heidän.
Suojaus ei tarkoita monimutkaisuutta: Et ole turvallisempi vain siksi, että käytät enemmän rahaa, reitität useamman laitteen läpi tai napsautat useampia painikkeita.
Office 365 käytetään Internetin kautta: Se ei kuitenkaan ole sama asia kuin Office 365 internet. Se on SaaS-palvelu, jota Microsoft hallinnoi ja jota hallinnoit itse. Toisin kuin Internetissä vierailemallasi sivustoissa, pääset itse asiassa kurkistamaan verhon taakse ja voit soveltaa ohjausobjekteja, joita tarvitset täyttääksesi käytäntösi ja vaatimustenmukaisuusstandardisi, kunhan ymmärrät, että vaikka voit saavuttaa tavoitteesi, saatat joutua tekemään ne eri tavalla.
Kuristuspisteet ovat huonoja, lokalisoidut erot ovat hyviä: Kaikki haluavat aina peruuttaa kaiken Internet-liikenteen kaikille käyttäjilleen johonkin keskeiseen kohtaan, yleensä siksi, että he voivat valvoa sitä ja valvoa käytäntöä, mutta usein siksi, että se on joko halvempaa kuin Internet-yhteyden valmisteleminen kaikissa sijainneissaan, tai se on vain heidän tapaansa tehdä se. Mutta nuo kuristuspisteet ovat juuri sellaisia... osoittaa, missä liikenne tukehtuu. Ei ole mitään väärää estää käyttäjiä selaamasta Instagramiin tai suoratoistamasta kissavideoita, mutta älä käsittele toiminnan kannalta kriittistä yrityssovellusliikennettä samalla tavalla.
Jos DNS ei ole tyytyväinen, ei ole mitään iloa: Huono DNS voi rajoittaa parhaiten suunniteltua verkkoa, olipa kyse sitten pyyntöjen toistamisesta muiden maailman alueiden palvelimille tai IsP:n DNS-palvelimien tai muiden julkisten DNS-palvelimien käyttämisestä DNS-ratkaisutietojen välimuistiin tallentamisessa.
Vaikka teit sen niin ennen, se ei tarkoita, että sinun pitäisi tehdä se nyt näin: Teknologia muuttuu jatkuvasti ja Office 365 ei ole poikkeus. Sellaisten suojaustoimenpiteiden käyttöönotto, jotka on kehitetty ja otettu käyttöön paikallisissa palveluissa tai verkkosurffauksen hallinnassa, ei tarjoa samaa turvallisuustakuuta, ja sillä voi olla merkittävä negatiivinen vaikutus suorituskykyyn.
Office 365 rakennettiin käytettäväksi Internetin kautta: Siinä kaikki pähkinänkuoressa. Riippumatta siitä, mitä haluat tehdä käyttäjiesi ja särmäsi välillä, liikenne kulkee Internetin kautta, kun se poistuu verkostasi ja ennen kuin se pääsee omallemme. Vaikka käyttäisit Azure ExpressRoutea reitittääksesi viiveherkän liikenteen verkostasi suoraan microsoftille, Internet-yhteys on ehdottomasti pakollinen. Hyväksy se. Älä yliaseta sitä.

Jos usein tehdään huonoja valintoja

Vaikka on paljon paikkoja, joissa tehdään huonoja päätöksiä turvallisuuden nimissä, nämä ovat niitä, joita kohtaan useimmiten asiakkaiden kanssa. Monet asiakaskeskustelut sisältävät kaikki nämä kerralla.

Resurssit eivät riitä reunalla

Hyvin harvat asiakkaat ottavat käyttöön greenfield-ympäristöjä, ja heillä on vuosien kokemus siitä, miten heidän käyttäjänsä toimivat ja millaista heidän Internet-lähtevän liikenteen on. Riippumatta siitä, onko asiakkailla välityspalvelimia tai sallitaanko suora yhteys ja yksinkertaisesti NAT:n lähtevä liikenne, he ovat tehneet sitä jo vuosia, eivätkä he mieti, kuinka paljon enemmän he alkavat pumpata reunansa läpi, kun he siirtävät perinteisesti sisäisiä sovelluksia pilveen.

Kaistanleveys on aina huolenaihe, mutta NAT-laitteissa ei välttämättä ole tarpeeksi hevosvoimaa lisääntyneen kuormituksen käsittelyyn ja ne saattavat aloittaa ennenaikaisesti yhteyksien sulkemisen resurssien vapauttamiseksi. Suurin osa asiakasohjelmistosta, joka muodostaa yhteyden Office 365 odottaa pysyviä yhteyksiä ja käyttäjä, joka käyttää Office 365 voi olla vähintään 32 samanaikaista yhteyttä. Jos NAT-laite pudottaa ne ennenaikaisesti, kyseiset sovellukset saattavat latautua, kun ne yrittävät käyttää yhteyksiä, joita ei enää ole. Kun he luovuttuvat ja yrittävät muodostaa uusia yhteyksiä, ne lataavat verkkolaitteitasi entistä enemmän.

Lokalisoitu katkaisukohta

Kaikki muu tässä luettelossa riippuu yhdestä asiasta – verkosta poistumisesta ja meidän verkoistamme mahdollisimman nopeasti. Käyttäjien liikenteen vieminen keskitettyyn lähtemispisteeseen, erityisesti silloin, kun tämä lähtevä piste on toisella alueella kuin käyttäjät ovat, aiheuttaa tarpeetonta viivettä ja vaikuttaa sekä asiakaskokemukseen että latausnopeuksiin. Microsoftilla on läsnäolopisteet kaikkialla maailmassa, ja edustat ovat kaikkien palveluidemme ja vertaisverkkomme käytössä käytännössä kaikkien suurten Internet-palveluntarjoajaiden kanssa, joten käyttäjien liikenteen reitittäminen paikallisesti varmistaa, että se pääsee verkkoomme nopeasti mahdollisimman pienellä viiveellä.

DNS-ratkaisuliikenteen tulee seurata Internetin lähtevän liikenteen polkua

Jotta asiakas voi löytää minkä tahansa päätepisteen, sen on tietenkin käytettävä DNS:ää. Microsoftin DNS-palvelimet arvioivat DNS-pyyntöjen lähteen varmistaakseen, että palautamme vastauksen, joka on Internet-termein lähimpänä pyynnön lähdettä. Varmista, että DNS on määritetty niin, että nimien ratkaisupyynnöt lähtevät samalle polulle kuin käyttäjien liikenne, jotta et antaisi heille paikallista uloskäyntiä vaan päätepistettä toisella alueella. Tämä tarkoittaa sitä, että paikalliset DNS-palvelimet voivat siirtyä pääpalvelimiin sen sijaan, että ne välitysisi DNS-palvelimille etätietokeskuksissa. Varo myös julkisia ja yksityisiä DNS-palveluita, jotka voivat tallentaa välimuistiin tuloksia yhdestä maailman osasta ja tarjota niitä muiden maailman osien pyynnöille.

Välityspalvelimelle tai ei välityspalvelimelle, se on kysymys

Yksi ensimmäisistä huomioitavoista on, välitetäänkö käyttäjien yhteydet Office 365. Se on helppoa. älä välityspalvelinta. Office 365 käytetään Internetin kautta, mutta se ei ole Internet. Se on ydinpalveluidesi laajennus, ja sitä tulisi käsitellä sellaisena. Kaikki, mitä haluat välityspalvelimen tekevän, kuten DLP tai haittaohjelmien tai sisällön tarkastus, on jo käytettävissä palvelussa, ja sitä voidaan käyttää mittakaavassa ja ilman, että TLS-salattuja yhteyksiä tarvitsee murtaa. Mutta jos todella haluat välityspalvelinliikennettä, jota et voi muuten hallita, kiinnitä huomiota ohjeiimme https://aka.ms/pnc ja liikenneluokkiin osoitteessa https://aka.ms/ipaddrs. Meillä on kolme liikenneluokkaa Office 365 varten. Optimointi- ja Salli-toiminnossa pitäisi mennä suoraan ja ohittaa välityspalvelin. Oletusarvo voidaan määrittää. Tiedot löytyvät noista ohjeista... lue ne.

Useimmat asiakkaat, jotka vaativat välityspalvelimen käyttöä, kun he todella katsovat, mitä he tekevät, ymmärtävät, että kun asiakas tekee HTTP CONNECT -pyynnön välityspalvelimelle, välityspalvelin on nyt vain kallis ylimääräinen reititin. Käytössä olevat protokollat, kuten MAPI ja RTC, eivät ole edes protokollia, joita verkkovälityspalvelimet ymmärtävät, joten vaikka TLS-suojaus murtuu, et oikeastaan saa ylimääräistä suojausta. Saat lisää viivettä. Lisätietoja https://aka.ms/pnc tästä on artikkelissa Optimoi-, Salli- ja Oletusluokat Microsoft 365 -liikenteelle.

Ota lopuksi huomioon kokonaisvaikutus välityspalvelimeen ja sitä vastaava vastaus, jotta voit käsitellä tätä vaikutusta. Koska välityspalvelimen kautta muodostetaan yhä enemmän yhteyksiä, se voi pienentää TCP-skaalauskerrointa niin, että sen ei tarvitse puskuroida niin paljon liikennettä. Olen nähnyt asiakkaita, joiden välitysasiakkaat olivat niin ylikuormitettuja, että he käyttivät mittakaavakerrointa 0. Koska mittakaavakerroin on eksponentiaalinen arvo ja haluamme käyttää arvoa 8, skaalauskertoimen arvon laskulla on valtava negatiivinen vaikutus siirtomäärään.

TLS-tarkastus tarkoittaa suojausta! Mutta ei oikeasti! Monet asiakkaat, joilla on välitysasiakkaita, haluavat käyttää niitä kaiken liikenteen tarkastamiseen, mikä tarkoittaa TLS:n "break and inspect" -toimintoa. Kun teet niin https-yhteyden kautta käytettävässä sivustossa (tietosuojasta huolimatta), välityspalvelimesi saattaa joutua tekemään sen 10 tai jopa 20 samanaikaisen suoratoiston ajan muutaman sadan millisekunnin ajan. Jos kyseessä on suuri lataus tai video, yksi tai useampi näistä yhteyksistä voi kestää paljon kauemmin, mutta kokonaisuutena suurin osa yhteyksistä muodostaa, siirtää ja sulkee hyvin nopeasti. Keskeytys ja tarkistus tarkoittaa, että välityspalvelimen on tehtävä kaksinkertainen työ. Välityspalvelimen on muodostettava erillinen yhteys päätepisteeseen kutakin välityspalvelinyhteyttä kohden. Joten 1:stä tulee 2, 2:sta tulee 4, 32:sta tulee 64...katso minne olen menossa? Sovitat todennäköisesti välityspalvelinratkaisusi hyvin tyypilliseen verkkosurffaukseen, mutta kun yrität tehdä saman asia asiakasyhteyksille Office 365, samanaikaisten, pitkäikäisten yhteyksien määrä voi olla suuruusluokkaa suurempi kuin mitä sovit.

Suoratoisto ei ole tärkeää, paitsi että se on

UDP:Office 365 ainoat palvelut ovat Skype (poistetaan pian käytöstä) ja Microsoft Teams. Teams käyttää UDP:tä suoratoistoliikenteeseen, kuten äänen, videon ja esityksen jakamiseen. Suoratoistoliikenne on reaaliaikaista, esimerkiksi silloin, kun sinulla on online-kokous ääni-, video- ja esityspajoilla tai esittelyjä. Nämä käyttävät UDP:tä, koska jos paketit pudotetaan tai ne saapuvat epäkunnossa, käyttäjä ei käytännössä huomaa sitä, ja virta voi vain jatkaa.

Kun et salli lähtevää UDP-liikennettä asiakkaista palveluun, he voivat palata käyttämään TCP:tä. Mutta jos TCP-paketti pudotetaan, kaikki pysähtyy , kunnes Retransmission Timeout (RTO) vanhentuu ja puuttuva paketti voidaan lähettää uudelleen. Jos paketti saapuu epäkunnossa, kaikki pysähtyy, kunnes muut paketit saapuvat, ja ne voidaan koota uudelleen järjestyksessä. Sekä johtavat äänen havaittamattomiin häiriöihin (muista max Headroom?) että videoon (napsautitko jotain... oh, siinä se on) ja johtaa heikkoon suorituskykyyn ja huonoon käyttökokemukseen. Muistatko, mitä esitin välityspakoista? Kun pakotat Teams-asiakkaan käyttämään välityspalvelinta, pakotat sen käyttämään TCP:tä. Nyt siis aiheutat negatiivisia suorituskykyvaikutuksia kahdesti.

Halkaistu tunnelointi voi tuntua pelottavalta

Mutta ei ole. Kaikki yhteydet Office 365 ovat TLS-salauksen kautta. Olemme tarjonneet TLS 1.2: ta jo jonkin aikaa ja poistamme pian vanhemmat versiot käytöstä, koska vanhat asiakkaat käyttävät niitä edelleen, ja se on riski.

TLS-yhteyden tai 32:n pakottaminen käyttämään VPN:ää ennen palveluun kirjautumista ei lisää suojausta. Se lisää viivettä ja vähentää yleistä siirtomäärää. Joissakin VPN-ratkaisuissa se jopa pakottaa UDP:n tunneloimaan TCP:n läpi, mikä taas vaikuttaa erittäin kielteisesti suoratoistoliikenteeseen. Ja ellet tee TLS-tarkastusta, siinä ei ole mitään ylösalaisin. Asiakkaiden keskuudessa yleinen teema nyt, kun suurin osa heidän työntekijöistään on etätyövoimaa, on se, että he näkevät merkittäviä kaistanleveyden ja suorituskyvyn vaikutuksia, jotka vaikuttavat siihen, että kaikki käyttäjät muodostavat yhteyden VPN-yhteyden avulla sen sijaan, että määrittävät jaetun tunneloinnin luokan Office 365 päätepisteiden optimointia varten.

Se on helppo korjaus halkaistuun tunnelointiin, ja se sinun pitäisi tehdä. Saat lisätietoja artikkelista Optimoi Office 365 liitettävyys etäkäyttäjille VPN-tunneloinnin avulla.

Menneisyyden synnit

Usein huonojen valintojen syynä on se, että (1) ei tiedä, miten palvelu toimii, (2) yrittää noudattaa ennen pilvipalvelun käyttöönottoa kirjoitettuja yrityskäytäntöjä ja (3) tietoturvatiimit, jotka eivät välttämättä ole helposti vakuuttuneita siitä, että on olemassa useampi kuin yksi tapa saavuttaa tavoitteensa. Toivottavasti yllä oleva ja alla olevat linkit auttavat ensimmäisen kanssa. Toisen sponsoroinnin ohittaminen saattaa vaatia yrityssponsorointia. Suojauskäytäntöjen tavoitteiden ratkaiseminen menetelmien sijaan auttaa kolmannen kanssa. Ehdollisista käyttöoikeuksista sisällön valvontaan, DLP:stä tietojen suojaamiseen, päätepisteen vahvistus nollapäivän uhkiin – mikä tahansa päätetavoite, joka kohtuullisella suojauskäytännöllä voi olla, voidaan toteuttaa käyttämällä sitä, mitä on saatavilla Office 365 ja ilman minkäänlaista riippuvuutta paikallisiin verkkolaitteisiin, pakotettuihin VPN-tunneleihin ja TLS-keskeytyksiin ja tarkastuksiin.

Toisinaan laitteistoa, jonka koko oli ja ostettiin ennen kuin organisaatio alkoi siirtyä pilvipalveluun, ei yksinkertaisesti voida skaalata ylöspäin käsittelemään uusia liikennemalleja ja kuormituksia. Jos sinun todella täytyy reitittää kaikki liikenne yhden lähtevän pisteen ja/tai välityspalvelimen kautta, ole valmis päivittämään verkkolaitteita ja kaistanleveyttä vastaavasti. Seuraa molempien käyttöä huolellisesti, sillä käyttökokemus ei vähene hitaasti, kun enemmän käyttäjiä on aluksella. Kaikki on kunnossa, kunnes tippipiste saavutetaan, niin kaikki kärsivät.

Poikkeukset sääntöihin

Jos organisaatiosi edellyttää vuokraajarajoituksia, sinun on käytettävä välityspalvelinta, jossa on TLS-katkaisu, ja tarkistettava, että pakotat jonkin verran liikennettä välityspalvelimen läpi, mutta sinun ei tarvitse pakottaa kaikkea liikennettä sen läpi. Se ei ole kaikki tai ei mitään -ehdotus, joten kiinnitä huomiota siihen, mitä on muokattava välityspalvelimessa.

Jos aiot sallia jaetun tunneloinnin mutta käyttää myös välityspalvelinta yleiselle verkkoliikenteelle, varmista, että PAC-tiedostosi määrittää, mitä on mentävä suoraan ja miten määrität mielenkiintoisen liikenteen VPN-tunnelin läpi menevälle asialle. Tarjoamme PAC-mallitiedostoja, https://aka.ms/ipaddrs joiden hallinta on helpompaa.

Päätelmä

Kymmenettuhannet organisaatiot, mukaan lukien lähes kaikki Fortune 500-organisaatiot, käyttävät joka päivä Office 365 toiminnan kannalta kriittisiin toimintoihinsa. He tekevät sen turvallisesti, ja he tekevät sen Internetissä.

Riippumatta siitä, mitä suojaustavoitteita sinulla on pelissä, on olemassa tapoja saavuttaa ne, jotka eivät edellytä VPN-yhteyksiä, välityspalvelimia, TLS:n katkaisua ja tarkastamista tai keskitettyä Internet-uloskäyntiä, jotta käyttäjät voivat siirtyä verkostasi ja omille käyttäjillemme mahdollisimman nopeasti, mikä tarjoaa parhaan mahdollisen suorituskyvyn, oli verkkosi yrityksen pääkonttori, etätoimistossa tai kyseisellä käyttäjällä, joka työskentelee kotona. Ohjeistuksemme perustuu siihen, miten Office 365 palvelut luodaan, sekä turvallisen ja suorituskykyisen käyttökokemuksen varmistamiseen.