Applicazione della rete virtuale con regole di amministratore della sicurezza in Azure Rete virtuale Manager
In questo articolo si apprenderà come le regole degli amministratori della sicurezza forniscono un'applicazione flessibile e scalabile dei criteri di sicurezza tramite strumenti come i gruppi di sicurezza di rete. In primo luogo, si apprenderà i diversi modelli di applicazione della rete virtuale. Si apprenderà quindi i passaggi generali per applicare la sicurezza con le regole di amministrazione della sicurezza.
Importante
Azure Rete virtuale Manager è disponibile a livello generale per configurazioni di connettività hub-spoke e configurazioni di sicurezza con regole di amministratore della sicurezza. Le configurazioni di connettività mesh rimangono in anteprima.
Questa versione di anteprima viene fornita senza contratto di servizio, pertanto se ne sconsiglia l’uso per i carichi di lavoro in ambienti di produzione. Alcune funzionalità potrebbero non essere supportate o potrebbero presentare funzionalità limitate. Per altre informazioni, vedere le Condizioni supplementari per l'uso delle anteprime di Microsoft Azure.
Imposizione della rete virtuale
Con i gruppi di sicurezza di rete (NSG) da soli, l'applicazione diffusa nelle reti virtuali in diverse applicazioni, team o persino intere organizzazioni può essere difficile. Spesso esiste un equilibrio tra i tentativi di applicazione centralizzata in un'organizzazione e il controllo granulare e flessibile ai team.
Le regole di amministrazione della sicurezza hanno lo scopo di eliminare completamente questa scala scorrevole tra imposizione e flessibilità consolidando i vantaggi di ognuno di questi modelli riducendo al contempo i svantaggi di ognuno di essi. I team di governance centrale definiscono le guide di protezione tramite le regole di amministrazione della sicurezza, lasciando comunque spazio per i singoli team per individuare in modo flessibile la sicurezza in base alle esigenze tramite le regole del gruppo di sicurezza di rete. Le regole di amministrazione della sicurezza non devono eseguire l'override delle regole del gruppo di sicurezza di rete. Funzionano invece con le regole del gruppo di sicurezza di rete per offrire applicazione e flessibilità all'interno dell'organizzazione.
Modelli di imposizione
Verranno ora esaminati alcuni modelli comuni di gestione della sicurezza senza regole di amministrazione della sicurezza e i relativi vantaggi e svantaggi:
Modello 1 - Gestione centrale del team di governance con gruppi di sicurezza di rete
In questo modello, un team di governance centrale all'interno di un'organizzazione gestisce tutti i gruppi di sicurezza di rete.
| Vantaggi | Svantaggi |
|---|---|
| Il team di governance centrale può applicare importanti regole di sicurezza. | Il sovraccarico operativo è elevato perché gli amministratori devono gestire ogni gruppo di sicurezza di rete, man mano che aumenta il numero di gruppi di sicurezza di rete, aumenta il carico di lavoro. |
Modello 2 - Gestione di singoli team con gruppi di sicurezza di rete
In questo modello, i singoli team all'interno di un'organizzazione senza un team di governance centralizzato gestiscono i propri gruppi di sicurezza di rete.
| Vantaggi | Svantaggi |
|---|---|
| Il singolo team ha un controllo flessibile per personalizzare le regole di sicurezza in base ai requisiti di servizio. | Il team di governance centrale non può applicare regole di sicurezza critiche, ad esempio il blocco delle porte rischiose. Il singolo team potrebbe anche non configurare correttamente o dimenticare di collegare gruppi di sicurezza di rete, causando esposizione alle vulnerabilità. |
Modello 3: i gruppi di sicurezza di rete vengono creati tramite Criteri di Azure e gestiti da singoli team.
In questo modello i singoli team gestiscono ancora i gruppi di sicurezza di rete. La differenza è che i gruppi di sicurezza di rete vengono creati usando Criteri di Azure per impostare le regole standard. La modifica di queste regole attiverebbe le notifiche di controllo.
| Vantaggi | Svantaggi |
|---|---|
| Il singolo team ha un controllo flessibile nelle regole di sicurezza personalizzate. Il team di governance centrale può creare regole di sicurezza standard e ricevere notifiche se le regole vengono modificate. |
Il team di governance centrale non può ancora applicare le regole di sicurezza standard, perché i proprietari dei gruppi di sicurezza di rete nei team possono comunque modificarli. Le notifiche sarebbero anche travolgenti da gestire. |
Imposizione del traffico di rete ed eccezioni con regole di amministratore della sicurezza
Verranno ora applicati i concetti illustrati finora a uno scenario di esempio. Un amministratore di rete aziendale vuole applicare una regola di sicurezza per bloccare il traffico SSH in ingresso per l'intera azienda. L'applicazione di questo tipo di regola di sicurezza era difficile senza una regola di amministrazione della sicurezza. Se l'amministratore gestisce tutti i gruppi di sicurezza di rete, il sovraccarico di gestione è elevato e l'amministratore non può rispondere rapidamente alle esigenze dei team dei prodotti per modificare le regole del gruppo di sicurezza di rete. D'altra parte, se i team del prodotto gestiscono i propri gruppi di sicurezza di rete senza regole di amministrazione della sicurezza, l'amministratore non può applicare regole di sicurezza critiche, lasciando aperti potenziali rischi per la sicurezza. L'uso delle regole di amministrazione della sicurezza e dei gruppi di sicurezza di rete può risolvere questo dilemma.
In questo caso, l'amministratore può creare una regola di amministrazione della sicurezza per bloccare il traffico SSH in ingresso per tutte le reti virtuali dell'azienda. L'amministratore può anche creare una regola di amministrazione della sicurezza per consentire il traffico SSH in ingresso per reti virtuali specifiche che richiedono un'eccezione. La regola di amministrazione della sicurezza viene applicata in tutta l'azienda e l'amministratore può comunque consentire eccezioni per reti virtuali specifiche. Questa operazione viene eseguita tramite l'uso dell'ordine di priorità per ogni regola.
Il diagramma mostra come l'amministratore può raggiungere gli obiettivi seguenti:
- Applicare le regole di amministratore della sicurezza all'interno dell'organizzazione.
- Consentire al team dell'applicazione di gestire il traffico SSH.
Passaggio 1: Creare un'istanza di Gestione rete
L'amministratore aziendale può creare un gestore di rete con il gruppo di gestione radice dell'azienda come ambito di questa istanza di Network Manager.
Passaggio 2: Creare gruppi di rete per le reti virtuali
L'amministratore crea due gruppi di rete: tutti i gruppi di rete costituiti da tutte le reti virtuali nell'organizzazione e il gruppo di rete app costituito da reti virtuali per l'applicazione che richiede un'eccezione. TUTTI i gruppi di rete nel diagramma precedente sono costituiti dalla rete virtuale 1 alla rete virtuale 5 e il gruppo di rete app ha la rete virtuale 4 e la rete virtuale 5. Gli utenti possono definire facilmente entrambi i gruppi di rete usando l'appartenenza dinamica.
Passaggio 3: Creare una configurazione di amministratore della sicurezza
In questo passaggio vengono definite due regole di amministratore della sicurezza con la configurazione dell'amministratore della sicurezza seguente:
- una regola di amministratore della sicurezza per bloccare il traffico SSH in ingresso per tutti i gruppi di rete con priorità inferiore di 100.
- una regola di amministrazione della sicurezza per consentire il traffico SSH in ingresso per il gruppo di rete app con priorità più alta di 10.
Passaggio 4: Distribuire la configurazione dell'amministratore della sicurezza
Dopo la distribuzione della configurazione dell'amministratore della sicurezza, tutte le reti virtuali dell'azienda hanno la regola di traffico SSH in ingresso negata applicata dalla regola di amministrazione della sicurezza. Nessun singolo team può modificare la regola di negazione, ma solo l'amministratore aziendale definito può. Le reti virtuali dell'app hanno sia una regola di traffico SSH in ingresso che una regola di traffico SSH in ingresso (ereditata da Tutte le regole del gruppo di rete). Con un numero di priorità inferiore nella regola di traffico SSH in ingresso per il gruppo di rete app, la regola viene valutata per prima. Quando il traffico SSH in ingresso arriva a una rete virtuale dell'app, la regola di amministrazione della sicurezza con priorità più alta consente il traffico. Supponendo che siano presenti gruppi di sicurezza di rete nelle subnet delle reti virtuali dell'app, questo traffico SSH in ingresso viene valutato successivamente in base ai gruppi di sicurezza di rete impostati dal team dell'applicazione. La metodologia delle regole di amministrazione della sicurezza descritta qui consente all'amministratore aziendale di applicare in modo efficace i criteri aziendali e creare guide di protezione della sicurezza flessibili in un'organizzazione che collabora con i gruppi di sicurezza di rete.