Netwerksegmentatiepatronen implementeren in Azure
Een geïntegreerde segmentatiestrategie voor ondernemingen helpt technische teams consistent toegang te segmenteren met behulp van netwerken, toepassingen, identiteit en andere toegangsbesturingselementen. Segmentatie in uw netwerkvoetafdruk maken door perimeters te definiëren. De belangrijkste redenen voor segmentatie zijn:
- De mogelijkheid om gerelateerde assets te groepen die deel uitmaken van workloadbewerkingen (of deze ondersteunen).
- Isolatie van resources.
- Governancebeleid dat is ingesteld door de organisatie.
Stel dat compromissen de aanbevolen cyberbeveiligingswijze zijn en dat de mogelijkheid om een aanvaller in te sluiten essentieel is bij het beveiligen van informatiesystemen. Modelleer een aanvaller die op verschillende punten binnen de workload voet aan de grond kan krijgen en besturingselementen kan maken om verdere uitbreiding te beperken.
Netwerkbesturingselementen kunnen interacties tussen perimeters beveiligen. Deze aanpak kan de beveiligingsstatus versterken en risico's in een inbreuk bevatten omdat de besturingselementen aanvallers kunnen detecteren, in- en stoppen om toegang te krijgen tot een volledige workload.
Insluiting van aanvalsvectoren binnen een omgeving is essentieel. Om effectief te zijn in cloudomgevingen, kunnen traditionele benaderingen echter onvoldoende zijn en moeten beveiligingsorganisaties hun methoden mogelijk ontwikkelen.
Traditionele segmentatiemethoden kunnen hun doelen doorgaans niet bereiken, omdat ze niet zijn ontwikkeld in een methode om af te stemmen op zakelijke gebruiksgevallen en toepassingsworkloads. Dit leidt vaak tot overstelpende complexiteit waarvoor brede firewalluitzonderingen nodig zijn.
Een zich ontwikkelende best practice aanbeveling is om een Zero Trust te nemen op basis van gebruikers-, apparaat- en toepassingsidentiteiten. In tegenstelling tot besturingselementen voor netwerktoegang die zijn gebaseerd op elementen zoals bron- en doel-IP-adres, protocollen en poortnummers, dwingt en valideert Zero Trust toegangsbeheer tijdens het openen. Hierdoor hoeft u geen voorspellingsspel te spelen voor een volledige implementatie, netwerk of subnet. Alleen de doelresource hoeft de benodigde toegangsbeheer te bieden.
- Azure-netwerkbeveiligingsgroepen kunnen worden gebruikt voor basistoegangsbesturingselementen op laag 3 en 4 tussen virtuele Azure-netwerken, hun subnetten en internet.
- Azure Web Application Firewall en de Azure Firewall kunnen worden gebruikt voor geavanceerdere besturingselementen voor netwerktoegang waarvoor ondersteuning op de toepassingslaag is vereist.
- Local Admin Password Solution (LAPS) of een externe Privileged Access Management kunnen sterke lokale beheerderswachtwoorden en Just-In-Time-toegang tot deze wachtwoorden instellen.
Hoe implementeert de organisatie netwerksegmentatie?
In dit artikel worden enkele Azure-netwerkfuncties beschreven die segmenten maken en de toegang tot afzonderlijke services beperken.
Belangrijk
Lijn uw netwerksegmentatiestrategie uit met het segmentatiemodel voor ondernemingen. Dit vermindert verwarring en uitdagingen bij verschillende technische teams (netwerken, identiteit, toepassingen, etc.). Elk team mag geen eigen segmentatie- en delegeringsmodellen ontwikkelen die niet met elkaar zijn uitgelijnd.
Belangrijkste punten
- Maak door software gedefinieerde perimeters in uw netwerkvoetafdruk en beveilig de communicatiepaden ertussen.
- Stel een volledige strategie voor zero trust-segmentatie in.
- Stem technische teams in de onderneming af op microsegmentatiestrategieën voor verouderde toepassingen.
- Azure Virtual Networks (VNets) worden gemaakt in privéadresruimten. Standaard is er geen verkeer toegestaan tussen twee VNets. Open paden alleen wanneer dit echt nodig is.
- Gebruik netwerkbeveiligingsgroepen (NSG's) om de communicatie tussen resources binnen een VNet te beveiligen.
- Gebruik ASG's (Application Security Groups) om verkeersregels te definiëren voor de onderliggende VM's die de workload uitvoeren.
- Gebruik Azure Firewall om verkeer te filteren dat stroomt tussen cloudbronnen, internet en on-premises.
- Plaats resources in één VNet als u niet in meerdere regio's hoeft te werken.
- Als u zich in meerdere regio's moet hebben, moet u meerdere VNets hebben die zijn verbonden via peering.
- Voor geavanceerde configuraties gebruikt u een hub-spoke-topologie. Een VNet wordt aangewezen als een hub in een bepaalde regio voor alle andere VNets als spokes in die regio.
Wat is segmentering?
U kunt software-gedefinieerde perimeters in uw netwerkvoetafdruk maken met behulp van de verschillende Azure-services en -functies. Wanneer een workload (of delen van een bepaalde workload) in afzonderlijke segmenten wordt geplaatst, kunt u verkeer van/naar die segmenten controleren om communicatiepaden te beveiligen. Als een segment is aangetast, kunt u de impact beter beperken en voorkomen dat het lateraal wordt verspreid over de rest van uw netwerk. Deze strategie is afgestemd op het belangrijkste principe van Zero Trust model dat is gepubliceerd door Microsoft en dat erop is gericht om beveiligingsprincipes van wereldklasse aan uw organisatie toe te passen.
Voorgestelde acties
Maak een risico insluitingsstrategie die bewezen benaderingen combineert, waaronder:
- Bestaande besturingselementen en procedures voor netwerkbeveiliging
- Native beveiligingscontroles die beschikbaar zijn in Azure
- Benaderingen voor nulvertrouwen
Lees meer
Zie Enterprise-segmentatiestrategie voor meer informatie over het maken van een segmentatiestrategie.
Azure-functies voor segmentering
Wanneer u in Azure werkt, hebt u veel segmentatieopties.
Abonnement:een constructie op hoog niveau die platformgestuurde scheiding tussen entiteiten biedt. Het is bedoeld om grenzen te verleggen tussen grote organisaties binnen een bedrijf en de communicatie tussen resources in verschillende abonnementen moet expliciet worden ingericht.
Virtual Network (VNets): gemaakt binnen een abonnement in privé-adresruimten. Ze bieden resources op netwerkniveau, zonder dat er standaard verkeer is toegestaan tussen twee virtuele netwerken. Net als bij abonnementen moet communicatie tussen virtuele netwerken expliciet worden ingericht.
Netwerkbeveiligingsgroepen (NSG):een mechanisme voor toegangsbeheer voor het beheren van verkeer tussen resources binnen een virtueel netwerk en ook met externe netwerken, zoals internet, andere virtuele netwerken. NSG's kunnen uw segmentatiestrategie naar een gedetailleerd niveau brengen door perimeters te maken voor een subnet, een VM of een groep VM's. Zie Subnetten (virtuele Azure-netwerken)voor meer informatie over mogelijke bewerkingen met subnetten in Azure.
Toepassingsbeveiligingsgroepen (ASG's): Vergelijkbaar met NSG's, maar er wordt naar verwezen met een toepassingscontext. Hiermee kunt u een set VM's onder een toepassingstag groeperen en verkeersregels definiëren die vervolgens worden toegepast op elk van de onderliggende VM's.
Azure Firewall:een cloudeigen stateful firewall als een service, die kan worden geïmplementeerd in uw VNet of in implementaties van Azure Virtual WAN-hubs voor het filteren van verkeer dat tussen cloudbronnen, internet en on-premises stroomt. U maakt regels of beleidsregels (met behulp van Azure Firewall of Azure Firewall Manager) waarmee verkeer wordt toegestaan/weigert met behulp van besturingselementen van laag 3 tot en met laag 7. U kunt ook verkeer naar internet filteren met behulp van zowel Azure Firewall als derden door al het verkeer door te sturen via externe beveiligingsproviders voor geavanceerd filteren & gebruikersbeveiliging.
Segmentatiepatronen
Hier volgen enkele algemene patronen voor het segmenteren van een workload in Azure vanuit netwerkperspectief. Elk patroon biedt een ander type isolatie en connectiviteit. Kies een patroon op basis van de behoeften van uw organisatie.
Patroon 1: Eén VNet
Alle onderdelen van de workload bevinden zich in één VNet. Dit patroon is geschikt voor gebruik in één regio, omdat een VNet niet meerdere regio's kan overspannen.
Algemene manieren voor het beveiligen van segmenten, zoals subnetten of toepassingsgroepen, zijn het gebruik van NSG's en ASG's. U kunt ook een N NVA's (Network Virtualized Appliance) van Azure Marketplace of Azure Firewall om deze segmentatie af te dwingen en te beveiligen.
In deze afbeelding heeft Subnet1 de databaseworkload. Subnet2 heeft de webworkloads. U kunt NSG's configureren waardoor Subnet1 alleen kan communiceren met Subnet2 en Subnet2 alleen kan communiceren met internet.
Overweeg een use-case waarbij u meerdere workloads hebt die in afzonderlijke subnetten worden geplaatst. U kunt besturingselementen plaatsen waarmee één workload kan communiceren met de back-end van een andere workload.
Patroon 2: Meerdere VNets die communiceren met peering
De resources worden verdeeld of gerepliceerd in meerdere VNets. De VNets kunnen communiceren via peering. Dit patroon is geschikt wanneer u toepassingen in afzonderlijke VNets wilt groeperen. Of u hebt meerdere Azure-regio's nodig. Een voordeel is de ingebouwde segmentatie, omdat u het ene VNet expliciet aan het andere moet peeren. Peering voor virtuele netwerken is niet transitief. U kunt verder segmenteren binnen een VNet met behulp van NSG's en ASG's, zoals wordt weergegeven in patroon 1.
Patroon 3: Meerdere VNets in een hub en spoke-model
Een VNet wordt aangewezen als een hub in een bepaalde regio voor alle andere VNets als spokes in die regio. De hub en de spokes zijn verbonden via peering. Al het verkeer gaat via de hub die als gateway kan fungeren voor andere hubs in verschillende regio's. In dit patroon worden de beveiligingscontroles ingesteld op de hubs, zodat ze het verkeer tussen andere VNets op een schaalbare manier kunnen segmenteren en regelen. Een voordeel van dit patroon is dat naarmate uw netwerktopologie groeit, de overhead van de beveiligingsstatus niet toeneemt (behalve wanneer u uitbreidt naar nieuwe regio's).
De aanbevolen native optie is Azure Firewall. Deze optie werkt voor zowel VNets als abonnementen om verkeersstromen te beheren met behulp van besturingselementen van laag 3 tot en met laag 7. U kunt uw communicatieregels definiëren en deze consistent toepassen. Hier volgen enkele voorbeelden:
- VNet 1 kan niet communiceren met VNet 2, maar wel met VNet 3.
- VNet 1 heeft geen toegang tot openbaar internet, met uitzondering van *.github.com.
Met Azure Firewall Manager preview kunt u beleidsregels centraal beheren in meerdere Azure Firewalls en DevOps-teams inschakelen om lokaal beleid verder aan te passen.
Tip
Hier zijn enkele resources die het inrichten van resources in een hub-and-spoke-topologie illustreren:
GitHub: Hub and Spoke Topology Sandbox.
De ontwerpoverwegingen worden beschreven in Hub-spoke-netwerktopologie in Azure.
Vergelijking van patronen
| Overwegingen | Patroon 1 | Patroon 2 | Patroon 3 |
|---|---|---|---|
| Connectiviteit/routering: hoe elk segment met elkaar communiceert | Systeemroutering biedt standaardconnectiviteit met elke workload in elk subnet. | Hetzelfde als een patroon 1. | Er is geen standaardconnectiviteit tussen spoke-netwerken. Een laag 3-router, zoals de Azure Firewall, in de hub is vereist om connectiviteit mogelijk te maken. |
| Filteren van verkeer op netwerkniveau | Verkeer is standaard toegestaan. Gebruik NSG, ASG om verkeer te filteren. | Hetzelfde als een patroon 1. | Verkeer tussen virtuele spoke-netwerken wordt standaard geweigerd. Open geselecteerde paden om verkeer via de configuratie Azure Firewall toestaan. |
| Gecentraliseerde logboekregistratie | NSG-, ASG-logboeken voor het virtuele netwerk. | NSG-, ASG-logboeken aggregeren in alle virtuele netwerken. | Azure Firewall registreert al het geaccepteerde/geweigerde verkeer dat via de hub wordt verzonden. Bekijk de logboeken in Azure Monitor. |
| Onbedoeld geopende openbare eindpunten | DevOps kan per ongeluk een openbaar eindpunt openen via onjuiste NSG-, ASG-regels. | Hetzelfde als een patroon 1. | Per ongeluk geopend openbaar eindpunt in een spoke biedt geen toegang omdat het retourpakket wordt verwijderd via een stateful firewall (asymmetrische routering). |
| Beveiliging op toepassingsniveau | NSG of ASG biedt alleen ondersteuning voor netwerklagen. | Hetzelfde als een patroon 1. | Azure Firewall biedt ondersteuning voor FQDN-filtering voor HTTP/S en MSSQL voor uitgaand verkeer en tussen virtuele netwerken. |
Volgende stap
Verwante koppelingen
Zie Peering voor virtuele netwerken voor meer informatie over het instellen van peering.
Zie de architectuurhandleiding voor Azure Firewall best practices voor het gebruik van Azure Firewall in verschillende configuraties.
Zie Azure Virtual Network Subnet voor informatie over verschillende toegangsbeleidsregels en controlestromen binnen een VNet
Terug naar het hoofdartikel: Netwerkbeveiliging