Netwerken beveiligen met Zero Trust

Big data biedt nieuwe mogelijkheden om nieuwe inzichten af te leiden en een concurrentievoordeel te krijgen. We gaan weg van een tijdperk waarin netwerken duidelijk zijn gedefinieerd en meestal specifiek zijn voor een bepaalde locatie. De cloud, mobiele apparaten en andere eindpunten breiden de grenzen uit en veranderen het paradigma. Er is nu niet noodzakelijkerwijs een ingesloten/gedefinieerd netwerk om te beveiligen. In plaats daarvan is er een uitgebreide portfolio met apparaten en netwerken, die allemaal zijn gekoppeld door de cloud.

In plaats van te geloven dat alles achter de bedrijfsfirewall veilig is, gaat een end-to-end Zero Trust-strategie ervan uit dat schendingen onvermijdelijk zijn. Dat betekent dat u elke aanvraag moet verifiëren alsof deze afkomstig is van een onbeheerd netwerk. Identiteitsbeheer speelt hierbij een cruciale rol.

In het Zero Trust-model zijn er drie belangrijke doelstellingen voor het beveiligen van uw netwerken:

• Wees klaar om aanvallen af te handelen voordat ze plaatsvinden.

• Minimaliseer de omvang van de schade en hoe snel het verspreidt.

• Vergroot de moeilijkheid om uw cloudvoetafdruk in gevaar te brengen.

Om dit te realiseren, volgen we drie Zero Trust-principes:

• Controleer dit expliciet. Verifieer en autoriseren altijd op basis van alle beschikbare gegevenspunten, waaronder gebruikersidentiteit, locatie, apparaatstatus, service of workload, gegevensclassificatie en afwijkingen.

• Gebruik toegang met minimale bevoegdheden. Beperk gebruikerstoegang met Just-In-Time en Just-Enough-Access (JIT/JEA), op risico gebaseerde adaptieve beleidsregels en gegevensbescherming om zowel gegevens als productiviteit te beschermen.

• Stel dat er sprake is van een schending. Minimaliseer straal voor schendingen en voorkom zijwaartse verplaatsing door toegang te segmenteren op netwerk, gebruiker, apparaten en toepassingsbewustzijn. Controleer of alle sessies end-to-end zijn versleuteld. Gebruik analyses om zichtbaarheid te krijgen, detectie van bedreigingen te stimuleren en verdediging te verbeteren.

Implementatiedoelstellingen van Network Zero Trust

Voordat de meeste organisaties hun Zero Trust-traject starten, hebben ze netwerkbeveiliging die wordt gekenmerkt door het volgende:

• Weinig netwerkbeveiligingsperimeter en open, platte netwerken.

• Minimale bedreigingsbeveiliging en statische verkeersfiltering.

• Niet-versleuteld intern verkeer.

Bij het implementeren van een end-to-end Zero Trust-framework voor het beveiligen van netwerken raden we u aan om u eerst te richten op deze eerste implementatiedoelstellingen:
	I.Network-segmentatie: Veel binnenkomende/uitgaande cloudmicroperimeters met een microsegmentatie. II.Bedreigingsbeveiliging: cloudeigen filtering en beveiliging voor bekende bedreigingen. III.Versleuteling: intern verkeer van gebruiker naar app wordt versleuteld.
Nadat deze zijn voltooid, richt u zich op deze aanvullende implementatiedoelstellingen:
	IV.Netwerksegmentatie: volledig gedistribueerde micro-perimeters voor inkomend/uitgaand verkeer in de cloud en diepere microsegmentatie. V.Threat Protection: bedreigingsbeveiliging op basis van machine learning en filteren met contextsignalen. VI.Versleuteling: al het verkeer wordt versleuteld. VII.Stop verouderde netwerkbeveiligingstechnologie.

Implementatiehandleiding voor Netwerken Zero Trust

In deze handleiding wordt u begeleid bij de stappen die nodig zijn om uw netwerken te beveiligen volgens de principes van een Zero Trust-beveiligingsframework.

Initiële implementatiedoelstellingen

i. Netwerksegmentatie: Veel micro-perimeters voor inkomend/uitgaand verkeer in de cloud met een microsegmentatie

Organisaties mogen niet slechts één grote pijp in en uit hun netwerk hebben. In een Zero Trust-benadering worden netwerken in plaats daarvan gesegmenteerd in kleinere eilanden waar specifieke workloads zijn opgenomen. Elk segment heeft eigen besturingselementen voor inkomend en uitgaand verkeer om de straalstraal van onbevoegde toegang tot gegevens te minimaliseren. Door softwaregedefinieerde perimeters met gedetailleerde besturingselementen te implementeren, verhoogt u de moeilijkheid voor onbevoegde actoren om door te geven in uw netwerk en vermindert u de laterale verplaatsing van bedreigingen.

Er is geen architectuurontwerp dat past bij de behoeften van alle organisaties. U hebt de mogelijkheid tussen enkele algemene ontwerppatronen voor het segmenteren van uw netwerk volgens het Zero Trust-model.

In deze implementatiehandleiding wordt u begeleid bij de stappen voor het bereiken van een van deze ontwerpen: Microsegmentatie.

Met microsegmentatie kunnen organisaties verder gaan dan eenvoudige gecentraliseerde netwerkperimeters naar uitgebreide en gedistribueerde segmentatie met behulp van door software gedefinieerde microperimeters.

Toepassingen worden gepartitioneerd naar verschillende virtuele Netwerken van Azure (VNets) en verbonden met behulp van een hub-spoke-model

Volg vervolgens deze stappen:

1. Maak toegewezen virtuele netwerken voor verschillende toepassingen en/of toepassingsonderdelen.

2. Maak een centraal VNet om het beveiligingspostuur voor connectiviteit tussen apps in te stellen en de app-VNets te verbinden in een hub-and-spoke-architectuur.

3. Implementeer Azure Firewall in het hub-VNet om verkeer tussen de VNets te controleren en te beheren.

II. Bedreigingsbeveiliging: systeemeigen filtering en beveiliging van de cloud voor bekende bedreigingen

Cloudtoepassingen die eindpunten hebben geopend voor externe omgevingen, zoals internet of uw on-premises footprint, lopen het risico op aanvallen die afkomstig zijn van die omgevingen. Het is daarom noodzakelijk dat u het verkeer scant op schadelijke nettoladingen of logica.

Deze typen bedreigingen vallen in twee algemene categorieën:

• Bekende aanvallen. Bedreigingen die zijn gedetecteerd door uw softwareprovider of de grotere community. In dergelijke gevallen is de aanvalshandtekening beschikbaar en moet u ervoor zorgen dat elke aanvraag wordt gecontroleerd op deze handtekeningen. De sleutel is om snel uw detectie-engine bij te werken met eventuele nieuw geïdentificeerde aanvallen.

• Onbekende aanvallen. Dit zijn bedreigingen die niet helemaal overeenkomen met een bekende handtekening. Deze typen bedreigingen omvatten zero-day beveiligingsproblemen en ongebruikelijke patronen in aanvraagverkeer. De mogelijkheid om dergelijke aanvallen te detecteren, is afhankelijk van hoe goed uw verdediging weet wat normaal is en wat niet. Uw verdediging moet voortdurend leren en bijwerken, zoals uw bedrijf (en het bijbehorende verkeer) ontwikkelt.

Voer deze stappen uit om te beschermen tegen bekende bedreigingen:

1. Voor eindpunten met HTTP/S-verkeer beveiligt u het gebruik van Azure Web Application Firewall (WAF) door:

   1. De standaardregelset of OWASP top 10-beveiligingsregelset inschakelen om te beschermen tegen bekende aanvallen op de weblaag

   2. Als u de regelset voor botbeveiliging inschakelt om te voorkomen dat kwaadwillende bots informatie scrapen, referenties opspullen, enzovoort.

   3. Aangepaste regels toevoegen om te beschermen tegen bedreigingen die specifiek zijn voor uw bedrijf.

   U kunt een van de volgende twee opties gebruiken:

   • Azure Front Door

     1. Maak een Web Application Firewall-beleid in Azure Front Door.

     2. Configureer botbeveiliging voor Web Application Firewall.

     3. Aangepaste regels voor Web Application Firewall.

   • Azure Application Gateway

     1. Maak een toepassingsgateway met een Web Application Firewall.

     2. Configureer botbeveiliging voor Web Application Firewall.

     3. Aangepaste regels voor Web Application Firewall v2 maken en gebruiken.

2. Voor alle eindpunten (HTTP of niet) wordt voorafgegaan door Azure Firewall voor filteren op basis van bedreigingsinformatie op laag 4:

   1. Azure Firewall implementeren en configureren met Azure Portal.

   2. Schakel filteren op basis van bedreigingsinformatie in voor uw verkeer.

   Tip

   Meer informatie over het implementeren van een end-to-end Zero Trust-strategie voor eindpunten.

III. Versleuteling: intern verkeer van gebruiker naar app is versleuteld

Het derde eerste doel waarop u zich moet richten, is het toevoegen van versleuteling om ervoor te zorgen dat intern verkeer van de gebruiker naar de app wordt versleuteld.

Volg vervolgens deze stappen:

1. Dwing HTTPS-communicatie af voor uw internetgerichte webtoepassingen door HTTP-verkeer om te leiden naar HTTPS met behulp van Azure Front Door.

2. Verbinding maken externe werknemers/partners naar Microsoft Azure met behulp van de Azure VPN Gateway.

   1. Schakel versleuteling in voor elk punt-naar-site-verkeer in de Azure VPN Gateway-service.

3. Krijg veilig toegang tot uw virtuele Azure-machines met versleutelde communicatie via Azure Bastion.

   1. Verbinding maken SSH gebruiken voor een virtuele Linux-machine.

   2. Verbinding maken RDP gebruiken voor een virtuele Windows-machine.

Tip

Meer informatie over het implementeren van een end-to-end Zero Trust-strategie voor toepassingen.

Aanvullende implementatiedoelstellingen

IV. Netwerksegmentatie: volledig gedistribueerde micro-perimeters voor inkomend/uitgaand verkeer in de cloud en diepere microsegmentatie

Zodra u uw eerste drie doelstellingen hebt bereikt, is de volgende stap het verder segmenteren van uw netwerk.

Onderdelen van app partitioneren naar verschillende subnetten

Volg vervolgens deze stappen:

1. Voeg binnen het VNet subnetten van het virtuele netwerk toe, zodat afzonderlijke onderdelen van een toepassing hun eigen perimeters kunnen hebben.

2. Pas regels voor netwerkbeveiligingsgroepen toe om alleen verkeer toe te staan van de subnetten met een app-subcomponent die is geïdentificeerd als een legitieme communicatie-tegenhanger.

De externe grenzen segmenteren en afdwingen

Volg deze stappen, afhankelijk van het type grens:

Internetgrens

1. Als de internetverbinding is vereist voor uw toepassing die moet worden gerouteerd via het hub-VNet, werkt u de regels voor netwerkbeveiligingsgroepen in hub-VNet bij om internetverbinding mogelijk te maken.

2. Schakel Azure DDoS Protection Standard in om het hub-VNet te beschermen tegen volumetrische netwerklaagaanvallen.

3. Als uw toepassing GEBRUIKMAAKT van HTTP/S-protocollen, schakelt u Azure Web Application Firewall in om te beveiligen tegen laag 7-bedreigingen.

On-premises grens

1. Als uw app connectiviteit met uw on-premises datacenter nodig heeft, gebruikt u Azure ExpressRoute van Azure VPN voor connectiviteit met uw hub-VNet.

2. Configureer de Azure Firewall in het hub-VNet om verkeer te controleren en te beheren.

PaaS-servicesgrens

• Wanneer u PaaS-services van Azure gebruikt (bijvoorbeeld Azure Storage, Azure Cosmos DB of Azure Web App, gebruikt u de privateLink-connectiviteitsoptie om ervoor te zorgen dat alle gegevensuitwisselingen zich via de privé-IP-ruimte bevinden en het verkeer nooit het Microsoft-netwerk verlaat.

Tip

Meer informatie over het implementeren van een end-to-end Zero Trust-strategie voor gegevens.

V. Bedreigingsbeveiliging: bedreigingsbeveiliging op basis van machine learning en filteren met contextsignalen

Voor verdere bedreigingsbeveiliging schakelt u Azure DDoS Protection Standard in om voortdurend uw door Azure gehoste toepassingsverkeer te bewaken, frameworks op basis van ML te gebruiken om volumetrische verkeersstromen te basislijnen te detecteren en automatische oplossingen toe te passen.

Volg vervolgens deze stappen:

1. Azure DDoS Protection Standard configureren en beheren .

2. Waarschuwingen configureren voor metrische gegevens van DDoS-beveiliging.

VI. Versleuteling: al het verkeer wordt versleuteld

Voltooi ten slotte uw netwerkbeveiliging door ervoor te zorgen dat al het verkeer wordt versleuteld.

Volg vervolgens deze stappen:

1. Versleutel het back-endverkeer van toepassingen tussen virtuele netwerken.

2. Verkeer tussen on-premises en cloud versleutelen:

   1. Configureer een site-naar-site-VPN via ExpressRoute Microsoft-peering.

   2. Configureer de IPsec-transportmodus voor persoonlijke ExpressRoute-peering.

VII. Verouderde netwerkbeveiligingstechnologie stoppen

Stop met het gebruik van op handtekeningen gebaseerde netwerkinbraakdetectie/netwerkinbraakpreventiesystemen (NIDS/NIPS) en netwerkgegevenslekken/verliespreventie (DLP).

De belangrijkste cloudserviceproviders filteren al op ongeldige pakketten en veelvoorkomende netwerklaagaanvallen, dus er is geen NIDS-/NIPS-oplossing nodig om deze te detecteren. Daarnaast worden traditionele NIDS-/NIPS-oplossingen doorgaans aangestuurd door op handtekeningen gebaseerde benaderingen (die als verouderd worden beschouwd) en gemakkelijk worden ontdoken door aanvallers en produceren doorgaans een hoge snelheid van fout-positieven.

DLP op basis van het netwerk is minder effectief bij het identificeren van onbedoelde en opzettelijke gegevensverlies. De reden hiervoor is dat de meeste moderne protocollen en aanvallers versleuteling op netwerkniveau gebruiken voor binnenkomende en uitgaande communicatie. De enige haalbare tijdelijke oplossing hiervoor is SSL-bridging, die een 'geautoriseerde man-in-the-middle' biedt die wordt beëindigd en vervolgens versleutelde netwerkverbindingen herstelt. De benadering van SSL-bridging is uitgevallen vanwege het vertrouwensniveau dat is vereist voor de partner die de oplossing uitvoert en de technologieën die worden gebruikt.

Op basis van deze logica bieden we een all-up aanbeveling die u stopt met het gebruik van deze verouderde netwerkbeveiligingstechnologieën. Als uw organisatieervaring echter is dat deze technologieën een palpable impact hebben gehad op het voorkomen en detecteren van echte aanvallen, kunt u overwegen om ze over te zetten naar uw cloudomgeving.

Producten die in deze handleiding worden behandeld

Microsoft Azure

Azure-netwerken

Virtuele netwerken en subnetten

Netwerkbeveiligingsgroepen en toepassingsbeveiligingsgroepen

Azure Firewall

Azure DDoS-beveiliging

Azure Web Application Firewall

Azure VPN Gateway

Azure ExpressRoute

Azure Network Watcher

Conclusie

Netwerken beveiligen is centraal in een succesvolle Zero Trust-strategie. Neem voor meer informatie of hulp bij de implementatie contact op met uw customer success-team of lees verder door de andere hoofdstukken van deze handleiding, die alle Zero Trust-pijlers omvat.

De reeks Zero Trust-implementatiehandleidingen