Hálózatbiztonság és -elkülönítés

A hálózati biztonság a vállalati biztonsági törekvések hagyományos lynchpinje. A felhőalapú számítástechnika azonban megnövelte annak követelményét, hogy a hálózati szegélyhálózatok porózusabbak legyenek, és sok támadó elsajátította az identitásrendszer elemeire irányuló támadások művészetét (amelyek szinte mindig megkerülik a hálózati vezérlőket). Ezek a tényezők megnövelték annak szükségességét, hogy elsősorban az identitásalapú hozzáférés-vezérlőkre összpontosítsanak az erőforrások védelme érdekében, nem pedig a hálózati hozzáférés-vezérlésre.

Ezek csökkentik a hálózati biztonsági vezérlők szerepét, de nem szüntetik meg teljesen. Bár a hálózati biztonság már nem a felhőalapú eszközök védelmének elsődleges szempontja, továbbra is az örökölt objektumok nagy portfóliója esetében az elsődleges prioritás (amely abból a feltételezésből lett kialakítva, hogy a hálózati tűzfalon alapuló szegélyhálózat van érvényben). Sok támadó továbbra is használ vizsgálati és biztonsági módszereket a nyilvános felhőszolgáltató IP-címtartományai között, és sikeresen áthatol a védelemen azok számára, akik nem követik az alapvető hálózati biztonsági higiéniát. A hálózati biztonsági vezérlők emellett részletes védelmi elemet is biztosítanak a stratégiához, amely segít megvédeni, észlelni, tartalmazni és kibocsátani azokat a támadókat, akik a felhőbeli üzemelő példányokba kerülnek.

A hálózati biztonság és -elszigetelés kategóriájában az alábbi ajánlott eljárásokat javasoljuk:

  • A hálózati szegmentálás igazítása az általános stratégiához

  • Hálózatkezelés és biztonság központosítása

  • Hálózati elszigetelési stratégia létrehozása

  • Internet peremhálózati stratégia meghatározása

Hálózatkezelés és biztonság központosítása

Központosítsa az alapvető hálózatkezelési funkciók, például a létesítmények közötti kapcsolatok, a virtuális hálózatok, az alhálózatok és az IP-címrendszerek felügyeletéért és biztonságáért felelős szervezeti felelősséget, valamint a hálózati biztonsági elemeket, például a virtuális hálózati berendezéseket, a felhőalapú virtuális hálózati tevékenységek titkosítását és a létesítmények közötti forgalmat, a hálózatalapú hozzáférés-vezérlést és más hagyományos hálózati biztonsági összetevőket.

Ha központosítja a hálózatkezelést és a biztonságot, csökkenti az inkonzisztens stratégiák lehetőségét, amelyek potenciális támadók által kihasználható biztonsági kockázatokat okozhatnak. Mivel az informatikai és fejlesztési szervezetek minden részlege nem rendelkezik azonos szintű hálózatkezelési és biztonsági ismeretekkel és kifinomultságsal, a szervezetek kihasználják a központosított hálózati csapat szakértelmét és eszközeit.

A Microsoft Defender for Cloud segítségével központosíthatja a hálózati biztonság kezelését.

Hálózati szegmentálás vállalati szegmentálási stratégiához igazítása

A hálózati szegmentálási modell igazítása a vállalat vállalati szegmentálási modelljéhez (az Irányítás, a Kockázat és a Megfelelőség szakaszban van meghatározva).

Ez csökkenti a félreértéseket és az ebből eredő kihívásokat a különböző technikai csapatokkal (hálózatkezelés, identitás, alkalmazások stb.), amelyek mindegyike saját szegmentálási és delegálási modelleket fejleszt, amelyek nem összhangban vannak egymással. Ez egy egyszerű és egységes biztonsági stratégiát eredményez, amely segít csökkenteni az emberi hibákból eredő hibák számát, és nem lehet növelni a megbízhatóságot az automatizálással.

Hasonlítsa össze a hálózati biztonság és az elszigetelés rendszerképét.

image showing hybrid cloud infrastructure-network architecture

A hálózati vezérlőkön túli biztonság fejlesztése

Győződjön meg arról, hogy a műszaki vezérlők hatékonyan képesek megakadályozni, észlelni és reagálni a fenyegetésekre az Ön által vezérelt hálózatokon kívül.

Ahogy a szervezetek a modern architektúrákra váltanak, az alkalmazásokhoz szükséges számos szolgáltatást és összetevőt az interneten vagy a felhőszolgáltató hálózatokon keresztül érhetnek el, gyakran a hálózaton kívüli mobileszközök és más eszközök. A "megbízható intranet" megközelítésen alapuló hagyományos hálózati vezérlők nem fognak tudni hatékonyan biztonsági biztosítékokat biztosítani ezekhez az alkalmazásokhoz. Ezt a változó tájat jól megragadják a Jericho Fórum és a "Nulla bizalom" megközelítés által dokumentált elvek.

A kockázatelszigetelési stratégia a hálózati vezérlők, az alkalmazás, az identitás és más vezérlőtípusok kombinációján alapul.

  • Győződjön meg arról, hogy az erőforrás-csoportosítás és a felügyeleti jogosultságok igazodnak a szegmentálási modellhez (lásd a XXXX. ábrát)

  • Győződjön meg arról, hogy olyan biztonsági vezérlőket tervez, amelyek azonosítják és engedélyezik a várható forgalmat, a hozzáférési kérelmeket és a szegmensek közötti egyéb alkalmazáskommunikációt. Figyelheti a szegmensek közötti kommunikációt, és azonosíthatja a váratlan kommunikációkat, így megvizsgálhatja, hogy beállít-e riasztásokat vagy blokkolja-e a forgalmat a szegmentálási határokat átlépő támadók kockázatának csökkentése érdekében.

Biztonsági elszigetelési stratégia létrehozása

Hozzon létre egy kockázatelszigetelési stratégiát, amely ötvözi a bevált megközelítéseket, például:

  • Meglévő hálózati biztonsági vezérlők és eljárások

  • Natív biztonsági vezérlők érhetők el az Azure-ban

  • A megbízhatósági zéró megközelítések

A környezeten belüli támadási vektorok elszigetelése kritikus fontosságú. A felhőalapú környezetekben azonban a hagyományos megközelítések elégtelennek bizonyulhatnak, és a biztonsági szervezeteknek fejleszteniük kell a módszereiket.

  • A helyszíni és a felhőinfrastruktúra vezérlőinek konzisztenciája fontos, de a védelem hatékonyabb és kezelhetőbb a felhőszolgáltató natív képességeinek, a dinamikus igény szerinti (JIT) megközelítéseknek, valamint az integrált identitás- és jelszóvezérlőknek, például a megbízható/folyamatos ellenőrzési megközelítések által ajánlottaknak.

  • A hálózati biztonság ajánlott eljárása annak ellenőrzése, hogy vannak-e hálózati hozzáférés-vezérlések a hálózati szerkezetek között. Ezek a szerkezetek virtuális hálózatokat vagy alhálózatokat jelölhetnek ezeken a virtuális hálózatokon belül. Ez East-West forgalom védelmére és kezelésére használható a felhőalapú hálózati infrastruktúrán belül.

  • A hálózatbiztonsági tervezés fontos döntése a gazdagépalapú tűzfalak használata. A gazdagépalapú tűzfalak átfogó védelmi stratégiát támogatnak. A legtöbb használathoz azonban jelentős felügyeleti többletterhelésre van szükség. Ha szervezete hatékonynak találta őket a korábbi fenyegetések védelmében és felderítésében, érdemes lehet használni őket a felhőalapú eszközökhöz. Ha azt tapasztalja, hogy nem adtak jelentős értéket, szüntesse meg a használatukat, és fedezze fel a felhőszolgáltató platformján a hasonló értéket nyújtó natív megoldásokat.

Egy folyamatosan fejlődő ajánlott eljárás az, hogy felhasználói, eszköz- és alkalmazásidentitásokon alapuló, zéró megbízhatósági stratégiát fogadjon el. A hálózati hozzáférés-vezérléssel ellentétben, amelyek olyan elemeken alapulnak, mint a forrás- és cél IP-cím, a protokollok és a portszámok, a zéró megbízhatóság kényszeríti és ellenőrzi a hozzáférés-vezérlést a "hozzáférési időpontban". Így nem kell előrejelzési játékot játszania egy teljes üzemelő példányhoz, hálózathoz vagy alhálózathoz – csak a célerőforrásnak kell biztosítania a szükséges hozzáférés-vezérlést.

  • Az Azure Hálózati biztonsági csoportok az Azure-beli virtuális hálózatok, alhálózataik és az internet közötti alapvető 3.4 & . rétegbeli hozzáférés-vezérléshez használhatók.

  • Az Azure Web Application Firewall és az Azure Firewall speciálisabb, alkalmazásréteg-támogatást igénylő hálózati hozzáférés-vezérlésekhez használható.

  • A helyi rendszergazdai jelszómegoldás (LAPS) vagy egy külső emelt szintű hozzáférés-kezelés erős helyi rendszergazdai jelszavakat állíthat be, és csak időben férhet hozzájuk

Emellett harmadik felek mikroszegmentálási megközelítéseket is kínálnak, amelyek javíthatják a hálózati vezérlőket azáltal, hogy zéró megbízhatósági elveket alkalmaznak azokra a hálózatokra, amelyeket a régi eszközökkel felügyel.

Internet peremhálózati stratégia meghatározása

Válassza ki, hogy natív felhőszolgáltatói vezérlőket vagy virtuális hálózati berendezéseket használjon-e az internet peremhálózati biztonságához.

Az internetes peremhálózati forgalom (más néven "észak-déli" forgalom) a felhőben lévő eszközök és az internet közötti hálózati kapcsolatot jelöli. Az örökölt számítási feladatoknak védelmet kell biztosítaniuk az internetes végpontokkal szemben, mivel azzal a feltételezéssel készültek, hogy egy internetes tűzfal védi őket ezektől a támadásoktól. Az internet peremhálózati stratégiája arra szolgál, hogy a lehető legtöbb internetes támadást mérsékelje, ami ésszerű a támadások észleléséhez vagy letiltásához.

Az internet peremhálózatának biztonsági vezérlői és monitorozása két elsődleges lehetőség közül választhat:

  • Natív felhőszolgáltatói vezérlők (Azure Firewall + [Webalkalmazási tűzfal (WAF)]/azure/application-gateway/waf-overview))

  • Partner virtuális hálózati berendezések (az Azure Marketplace-en elérhető tűzfal- és WAF-szállítók)

  • A felhőszolgáltató natív vezérlői általában olyan alapvető biztonságot nyújtanak, amely elég jó a gyakori támadásokhoz, például az OWASP Top 10-hez.

  • Ezzel szemben a felhőszolgáltató partneri képességei gyakran sokkal fejlettebb funkciókat biztosítanak, amelyek védelmet nyújtanak a kifinomult (de gyakran ritka) támadások ellen. A partnermegoldások következetesen többe kerülnek, mint a natív vezérlők. Emellett a partnermegoldások konfigurálása nagyon összetett és törékenyebb lehet, mint a natív vezérlők, mivel nem integrálhatók a felhő hálóvezérlőivel.

A natív és a partnervezérlők használatára vonatkozó döntésnek a szervezet tapasztalatain és követelményein kell alapulnia. Ha a fejlett tűzfalmegoldások funkciói nem biztosítanak elegendő megtérülést a befektetéshez, érdemes lehet a natív képességeket használni, amelyek egyszerűen konfigurálhatók és méretezhetők.

Régi hálózati biztonsági technológia megszüntetése

Szüntesse meg az aláírásalapú hálózati behatolásészlelés/hálózatbetörés-megelőzés (NIDS/NIPS) rendszerek és a hálózati adatszivárgás/veszteségmegelőzés (DLP) használatát.

A fő felhőszolgáltatók már szűrnek a helytelen formátumú csomagokra és a gyakori hálózati rétegbeli támadásokra, így nincs szükség NIDS-/NIPS-megoldásra ezek észleléséhez. Emellett a hagyományos NIDS-/NIPS-megoldásokat általában aláírásalapú megközelítések vezérlik (amelyeket elavultnak tekintenek), és könnyen megkerülik a támadók, és általában nagy arányú téves pozitív eredményt adnak.

A hálózatalapú DLP csökkenő hatékonyan azonosítja a véletlen és a szándékos adatvesztést is. Ennek az az oka, hogy a legtöbb modern protokoll és támadó hálózati szintű titkosítást használ a bejövő és kimenő kommunikációhoz. Ehhez az egyetlen működőképes áthidaló megoldás az "SSL-áthidalás", amely egy "középen lévő engedélyezett embert" biztosít, amely leállítja, majd újraalkotja a titkosított hálózati kapcsolatokat. Az SSL-áthidaló megközelítés kiesett a szívességből, mivel a megoldást futtató partner és a használt technológiák megbízhatósági szintje szükséges.

Ezen indok alapján teljes körű javaslatot teszünk arra, hogy szüntesse meg ezeknek az örökölt hálózati biztonsági technológiáknak a használatát. Ha azonban a céges tapasztalata az, hogy ezek a technológiák észrevehető hatással voltak a valós támadások megelőzésére és észlelésére, érdemes lehet áthordani őket a felhőkörnyezetbe.

Virtuális hálózati alhálózat biztonságának megtervezése

Virtuális hálózatok és alhálózatok tervezése a növekedéshez.

A legtöbb szervezet végül több erőforrást ad hozzá a hálózatához, mint amennyit eredetileg terveztek. Ebben az esetben az IP-címzési és alhálózati sémákat újra kell bontani a további erőforrások kezeléséhez. Ez egy munkaigényes folyamat. Korlátozott biztonsági érték van abban az esetben, ha nagyon sok kis alhálózatot hoz létre, majd megpróbálja mindegyikhez hozzárendelni a hálózati hozzáférés-vezérlést (például biztonsági csoportokat).

Javasoljuk, hogy az alhálózatokat olyan gyakori szerepkörök és függvények alapján tervezze meg, amelyek közös protokollokat használnak ezekhez a szerepkörökhöz és függvényekhez. Ez lehetővé teszi, hogy erőforrásokat adjon hozzá az alhálózathoz anélkül, hogy módosítania kellene a hálózati szintű hozzáférés-vezérlést kényszerítő biztonsági csoportokat.

Ne használjon "minden nyitott" szabályt az alhálózatok bejövő és kimenő forgalmához. Használjon "legkevésbé jogosultsági" hálózati megközelítést, és csak a megfelelő protokollokat engedélyezze. Ez csökkenti az alhálózat általános hálózati támadási felületét.

Minden nyitott szabály (amely engedélyezi a bejövő/kimenő forgalmat a 0.0.0.0-255.255.255.255.255-ös számtól) hamis biztonsági érzetet biztosít, mivel egy ilyen szabály egyáltalán nem követeli meg a biztonságot.

Ez alól azonban kivételt képez, ha csak a hálózati naplózáshoz szeretne biztonsági csoportokat használni. Ezt nem javasoljuk, de ez egy lehetőség, ha egy másik hálózati hozzáférés-vezérlési megoldás van érvényben.

Az Azure Virtual Network-alhálózatok így tervezhetők.

DDoS-támadások elhárítása

Engedélyezze az elosztott szolgáltatásmegtagadási (DDoS) megoldásokat az összes üzleti szempontból kritikus webalkalmazáshoz és szolgáltatáshoz.

A DDoS-támadások elterjedtek, és könnyen végrehajthatók a kifinomult támadók. A sötét hálón még a "DDoS mint szolgáltatás" lehetőség is elérhető. A DDoS-támadások nagyon lebénítóak lehetnek, és teljesen blokkolhatják a szolgáltatásokhoz való hozzáférést, és akár le is vehetik a szolgáltatásokat a DDoS-támadás típusától függően.

A főbb felhőszolgáltatók különböző hatékonyságú és kapacitású szolgáltatások DDoS-védelmét kínálják. A felhőszolgáltatók általában két DDoS-védelmi lehetőséget biztosítanak:

  • DDoS-védelem a felhőhálózati háló szintjén – a felhőszolgáltató minden ügyfele élvezheti ezeket a védelmet. A védelem általában a hálózat (3. réteg) szintjén van összpontosítva.

  • DDoS-védelem magasabb szinteken, amelyek profilt nyújtanak a szolgáltatásokról – ez a fajta védelem alapkonfigurációt nyújt az üzemelő példányokhoz, majd gépi tanulási technikákkal észleli a rendellenes forgalmat, és proaktív védelmet nyújt a szolgáltatások romlása előtti védelem alapján

Javasoljuk, hogy alkalmazza az előzetes védelmet minden olyan szolgáltatás esetében, ahol az állásidő negatív hatással lesz a vállalkozásra.

A fejlett DDoS-védelemre példa az Azure DDoS Protection szolgáltatás.

Internetes bejövő/kimenő forgalom szabályzatának meghatározása

Dönthet úgy, hogy az internet felé irányuló forgalmat helyszíni biztonsági eszközökön keresztül irányítja át, vagy engedélyezi az internetkapcsolatot felhőalapú hálózati biztonsági eszközökön keresztül.

Az internetes forgalom helyszíni hálózati biztonsági eszközökön keresztüli irányítását "kényszerített bújtatásnak" is nevezik. Kényszerített bújtatási forgatókönyv esetén az internethez való összes kapcsolat egy helyszíni WAN-kapcsolaton keresztül kerül vissza a helyszíni hálózati biztonsági eszközökre. A cél az, hogy a hálózati biztonsági csapatok nagyobb biztonságot és láthatóságot biztosítsanak az internetes forgalom számára. A rendszer akkor is kényszeríti a válaszokat, ha a felhőben lévő erőforrások megpróbálnak válaszolni az internetről érkező bejövő kérésekre, a válaszok a helyszíni hálózati biztonsági eszközökön keresztül lesznek kényszerítve.

Alternatív megoldásként a kényszerített bújtatás megfelel az "adatközpont-bővítés" paradigmának, és jól használható a gyors megvalósíthatósági vizsgálathoz, de a megnövekedett forgalomterhelés, késés és költség miatt rosszul méretezhető.

A vállalati éles környezetben ajánlott módszer, hogy a felhőbeli erőforrások közvetlenül az internet peremhálózati stratégiája által meghatározott felhőhálózati biztonsági eszközökön keresztül kezdeményezhessenek és válaszolhassanak az internetes kérelmekre.

A közvetlen internetes megközelítés megfelel az Nth adatközpont paradigmának (például az Azure-adatközpontok a vállalatom természetes részét képezik). Ez a megközelítés sokkal jobban méretezhető a vállalati üzemelő példányok esetében, mivel eltávolítja azokat az ugrásokat, amelyek terhelést, késést és költségeket eredményeznek.

Javasoljuk, hogy a fent említett okokból kerülje a kényszerített bújtatást .

Továbbfejlesztett hálózati láthatóság engedélyezése

A hálózati naplók biztonsági információkba és eseménykezelésbe (SIEM), például a Microsoft Sentinelbe vagy egy harmadik partnermegoldásba, például a Splunkba, a QRadarba vagy az ArcSight ESM-be való integrálásával kell engedélyeznie a jobb hálózati láthatóságot.

A hálózati eszközök naplóinak integrálása, sőt maga a nyers hálózati forgalom is nagyobb átláthatóságot biztosít a vezetéken keresztül áramló potenciális biztonsági fenyegetésekről. Ezek a naplóadatok integrálhatók fejlett SIEM-megoldásokba vagy más elemzési platformokba. A modern gépi tanulási alapú elemzési platformok támogatják a rendkívül nagy mennyiségű információ betöltését, és nagyon gyorsan elemezhetik a nagy adathalmazokat. Emellett ezek a megoldások hangolhatók a téves riasztások jelentős csökkentése érdekében.

A láthatóságot biztosító hálózati naplók például a következők:

Következő lépések

A Microsoft további biztonsági útmutatóiért tekintse meg a Microsoft biztonsági dokumentációját.