Beveiliging van verkeersstromen in Azure

  • Artikel
  • 3 minuten om te lezen

Bescherm gegevens overal en overal, inclusief cloudservices, mobiele apparaten, werkstations of samenwerkingsplatforms. Naast het gebruik van mechanismen voor toegangsbeheer en versleuteling, moet u krachtige netwerkbesturingselementen toepassen die aanvallen detecteren, bewaken en bevatten.

Belangrijkste punten

  • Beheer het netwerkverkeer tussen subnetten (oost-west) en toepassingslagen (noord-zuid).
  • Pas een gelaagde diepgaande verdedigingsbenadering toe die begint met Zero-Trust beleidsregels.
  • Gebruik een CLOUD Application Security Broker (CASB).

Oost-west- en noord-zuidverkeer

Bij het analyseren van de netwerkstroom van een workload moet u onderscheid maken tussen oost-westverkeer en noord-zuidverkeer. De meeste cloudarchitecten gebruiken een combinatie van beide typen.

Wordt het verkeer tussen subnetten, Azure-onderdelen en lagen van de workload beheerd en beveiligd?

  • Verkeer noord-zuid

    Noord-zuid verwijst naar het verkeer dat in en uit een datacenter stroomt. Bijvoorbeeld verkeer van een toepassing naar een back-endservice. Dit type verkeer is een typisch doel voor aanvalsvectoren omdat het via het openbare internet stroomt. Er moeten de juiste netwerkbesturingselementen zijn, zodat de query's van en naar een datacenter veilig zijn.

    Overweeg een typische stroom in een Azure Kubernetes Service (AKS)-cluster. Het cluster ontvangt binnenkomend (inkomend) verkeer van HTTP-aanvragen. Het cluster kan ook uitgaand (uitgaand) verkeer verzenden om query's naar andere services te verzenden, zoals het binnenhalen van een containerafbeelding.

    Uw ontwerp kan gebruikmaken van Web Application Firewall op Application Gateway om toegangsverkeer te beveiligen en Azure Firewall uitgaand (uitgaand) verkeer te beveiligen.

  • Oost-west-verkeer

    Oost-west-verkeer verwijst naar verkeer tussen of binnen datacenters. Voor dit type verkeer communiceren verschillende resources van de netwerkinfrastructuur met elkaar. Deze resources kunnen virtuele netwerken zijn, subnetten binnen deze virtuele netwerken, en meer. De beveiliging van oost-west-verkeer kan over het hoofd worden gezien, ook al is dit een groot deel van het werkbelastingverkeer. Er wordt van uitgegaan dat de firewalls van de infrastructuur voldoende zijn om aanvallen te blokkeren. Zorg ervoor dat er de juiste besturingselementen tussen netwerkbronnen zijn.

    Als u het voorbeeld van het AKS-cluster uitbreidt naar dit concept, is oost-west-verkeer het verkeer binnen het cluster. Bijvoorbeeld communicatie tussen pods, zoals de controller voor binnenverkeer en de werkbelasting. Als uw workload uit meerdere toepassingen bestaat, valt de communicatie tussen deze toepassingen in deze categorie.

    Met behulp van Kubernetes-netwerkbeleid kunt u beperken welke pods kunnen communiceren, beginnend met een Zero-Trust-beleid en vervolgens naar behoefte specifieke communicatiepaden openen.

Tip

Hier volgen de resources voor het voorgaande AKS-voorbeeld:

GitHub logo GitHub: Azure Kubernetes Service (AKS) Secure Baseline Reference Implementation.

De ontwerpoverwegingen worden beschreven in Azure Kubernetes Service productiebasislijn (AKS).

Gegevensoverdracht

Gegevensoverdracht is een veelvoorkomende aanval waarbij een interne of externe kwaadwillende actor een niet-geautoriseerde gegevensoverdracht doet. De meeste toegang wordt verkregen vanwege een gebrek aan netwerkbesturingselementen.

Zijn er besturingselementen in het workloadontwerp om gegevens exfiltratie te detecteren en beveiligen?

Kies een ontwerp voor diepgaande verdediging dat netwerkcommunicatie op verschillende lagen kan beveiligen, zoals een hub-spoke-topologie. Azure biedt verschillende besturingselementen ter ondersteuning van het gelaagde ontwerp.

  • Gebruik Azure Firewall om verkeer toe te staan of te weigeren met behulp van laag 3-naar-laag 7-besturingselementen.
  • Gebruik Azure Virtual Network door de gebruiker gedefinieerde routes (UDR) om de volgende hop voor verkeer te bepalen.
  • Beheer verkeer met netwerkbeveiligingsgroepen (NSG's) tussen resources binnen een virtueel netwerk, internet en andere virtuele netwerken.
  • Beveilig de eindpunten via Azure PrivateLink en privĂ©-eindpunten.
  • Detecteren en beveiligen op een diep niveau via pakketinspectie.
  • Aanvallen detecteren en reageren op waarschuwingen via Azure Sentinel en Azure Security Center.

Belangrijk

Netwerkbesturingselementen zijn niet voldoende om pogingen tot gegevens exfiltratie te blokkeren. De beveiliging verbeteren met de juiste identiteitsbesturingselementen, sleutelbeveiliging en versleuteling. Zie de volgende secties voor meer informatie:

Hebt u een CASB (Cloud Application Security Broker) voor deze workload overwogen?

CASB's bieden een centraal beheerpunt voor het afdwingen van beleid. Ze bieden uitgebreide zichtbaarheid, controle over het reizen van gegevens en geavanceerde analyses voor het identificeren en bestrijden van cyberbedreigingen in alle Microsoft- en externe cloudservices.

Terug het hoofdartikel: Netwerkbeveiliging