Plano de segmentação da rede de zona de aterragemPlan for landing zone network segmentation

Esta secção explora recomendações-chave para fornecer segmentação interna de rede altamente segura dentro de uma zona de aterragem para impulsionar uma implementação de rede zero-trust.This section explores key recommendations to deliver highly secure internal network segmentation within a landing zone to drive a network zero-trust implementation.

Considerações de conceção:Design considerations:

  • O modelo de confiança zero assume um estado violado e verifica cada pedido como se tivesse origem numa rede descontrolada.The zero-trust model assumes a breached state and verifies each request as though it originates from an uncontrolled network.

  • Uma implementação avançada de rede de confiança zero emprega micro-perímetros de nuvem de entrada/egress totalmente distribuídos e micro-segmentação mais profunda.An advanced zero-trust network implementation employs fully distributed ingress/egress cloud micro-perimeters and deeper micro-segmentation.

  • Os grupos de segurança da rede podem usar tags de serviço Azure para facilitar a conectividade aos serviços Azure PaaS.Network security groups can use Azure service tags to facilitate connectivity to Azure PaaS services.

  • Os grupos de segurança de aplicações não abrangem ou fornecem proteção através de redes virtuais.Application security groups don't span or provide protection across virtual networks.

  • Os registos de fluxo NSG são agora suportados através dos modelos do Gestor de Recursos Azure.NSG flow logs are now supported through Azure Resource Manager templates.

Recomendações de design:Design recommendations:

  • Delegue a criação de sub-redes ao proprietário da zona de destino.Delegate subnet creation to the landing zone owner. Isto permitir-lhes-á definir como segmentar cargas de trabalho através de sub-redes (por exemplo, uma única grande sub-rede, aplicação multifunções ou aplicação injetada em rede).This will enable them to define how to segment workloads across subnets (for example, a single large subnet, multitier application, or network-injected application). A equipa da plataforma pode usar a Azure Policy para garantir que um NSG com regras específicas (como negar SSH de entrada ou RDP da internet, ou permitir/bloquear o tráfego através das zonas de aterragem) esteja sempre associado a sub-redes que tenham políticas que só têm políticas de negação.The platform team can use Azure Policy to ensure that an NSG with specific rules (such as deny inbound SSH or RDP from internet, or allow/block traffic across landing zones) is always associated with subnets that have deny-only policies.

  • Utilize NSGs para ajudar a proteger o tráfego através das sub-redes, bem como o tráfego leste/oeste através da plataforma (tráfego entre zonas de aterragem).Use NSGs to help protect traffic across subnets, as well as east/west traffic across the platform (traffic between landing zones).

  • A equipa de aplicação deve utilizar grupos de segurança de aplicações nos NSGs de nível sub-rede para ajudar a proteger os VMs multitier dentro da zona de aterragem.The application team should use application security groups at the subnet-level NSGs to help protect multitier VMs within the landing zone.

  • Utilize NSGs e grupos de segurança de aplicações para micro-segmentar o tráfego dentro da zona de aterragem e evite utilizar uma NVA central para filtrar os fluxos de tráfego.Use NSGs and application security groups to micro-segment traffic within the landing zone and avoid using a central NVA to filter traffic flows.

  • Permitir que os registos de fluxo nSG os alimentem na Traffic Analytics para obter informações sobre os fluxos de tráfego interno e externo.Enable NSG flow logs and feed them into Traffic Analytics to gain insights into internal and external traffic flows.

  • Utilize NSGs para permitir seletivamente a conectividade entre as zonas de aterragem.Use NSGs to selectively allow connectivity between landing zones.

  • Para as topologias de WAN virtuais, encaminhe o tráfego através das zonas de aterragem através do Azure Firewall se a sua organização necessitar de capacidades de filtragem e registo para o tráfego que flui através das zonas de aterragem.For Virtual WAN topologies, route traffic across landing zones via Azure Firewall if your organization requires filtering and logging capabilities for traffic flowing across landing zones.