Рекомендации по сети и подключению

  • Статья

Применяется к этой рекомендации по безопасности Azure Well-Architected Framework:

SE:05 Изолируйте, фильтруйте и управляйте сетевым трафиком как входящего, так и исходящего трафика. Применяйте принципы глубокой защиты, используя локализованные элементы управления сетью на всех доступных границах сети в трафике между востоком и западом и севером и югом.

В этом руководстве описываются рекомендации по проектированию сети. Основное внимание уделяется элементам управления безопасностью, которые могут фильтровать, блокировать и обнаруживать злоумышленников, пересекающих границы сети на разных глубинах вашей архитектуры.

Вы можете усилить элементы управления удостоверениями, реализовав меры контроля доступа на основе сети. Наряду с управлением доступом на основе удостоверений безопасность сети имеет высокий приоритет для защиты ресурсов. Надлежащие средства управления безопасностью сети могут предоставить элемент глубокой защиты, который помогает обнаруживать и сдерживает угрозы, а также предотвращает попадание злоумышленников в рабочую нагрузку.

Определения

Термин Определение
Восточный/западный трафик Сетевой трафик, перемещающийся в пределах доверенной границы.
Поток исходящего трафика Исходящий трафик рабочей нагрузки.
Враждебная сеть Сеть, которая не развернута как часть рабочей нагрузки. Враждебная сеть считается вектором угроз.
Поток входящего трафика Входящий трафик рабочей нагрузки.
Фильтрация сети Механизм, разрешающий или блокирующий сетевой трафик на основе указанных правил.
Сегментация или изоляция сети Стратегия, которая разделяет сеть на небольшие изолированные сегменты с элементами управления безопасностью, применяемыми на границах. Этот метод помогает защитить ресурсы от враждебных сетей, таких как Интернет.
Преобразование сети Механизм, который мутирует сетевые пакеты, чтобы скрыть их.
Северный/южный трафик Сетевой трафик, который перемещается от доверенной границы во внешние сети, которые потенциально враждебны, и наоборот.

Ключевые стратегии проектирования

Безопасность сети использует скрытие для защиты ресурсов рабочей нагрузки от враждебных сетей. Ресурсы, которые находятся за границей сети, скрываются до тех пор, пока элементы управления границами не помечают трафик как безопасный для перемещения вперед. Проектирование сетевой безопасности основано на трех стратегиях main:

  • Сегмент. Этот метод изолирует трафик в отдельных сетях, добавляя границы. Например, трафик на уровень приложения и из него проходит границу для взаимодействия с другими уровнями, которые имеют различные требования к безопасности. Уровни сегментации повысят подход к глубокой защите.

    Основной границей безопасности является граница сети между приложением и общедоступными сетями. Важно четко определить этот периметр, чтобы установить границу для изоляции враждебных сетей. Элементы управления на этом крае должны быть очень эффективными, так как эта граница является вашей первой линией обороны.

    Виртуальные сети предоставляют логическую границу. По умолчанию виртуальная сеть не может взаимодействовать с другой виртуальной сетью, если только граница не была намеренно нарушена через пиринг. Ваша архитектура должна использовать преимущества этой надежной, предоставляемой платформой меры безопасности.

    Можно также использовать другие логические границы, например вырезанные подсети в виртуальной сети. Преимущество подсетей заключается в том, что их можно использовать для группировки ресурсов, которые находятся в пределах изоляции и имеют аналогичные гарантии безопасности. Затем можно настроить элементы управления на границе для фильтрации трафика.

  • Фильтр. Эта стратегия помогает гарантировать , что трафик, который входит в границу, является ожидаемым, разрешенным и безопасным. С точки зрения Zero-Trust фильтрация явно проверяет все доступные точки данных на уровне сети. Вы можете разместить правила на границе, чтобы проверка для определенных условий.

    Например, на уровне заголовка правила могут проверять, поступает ли трафик из ожидаемого расположения или имеет ли он ожидаемый объем. Но этих проверок недостаточно. Даже если трафик демонстрирует ожидаемые характеристики, полезные данные могут быть небезопасны. Проверочные проверки могут выявить атаку путем внедрения кода SQL.

  • Преобразование. Изменение пакетов на границе в качестве меры безопасности. Например, можно удалить заголовки HTTP, чтобы исключить риск раскрытия. Кроме того, вы можете отключить протокол TLS в одной точке и повторно установить его на другом прыжке с помощью сертификата, который управляется более строго.

Классификация потоков трафика

Первым шагом в классификации потоков является изучение схемы архитектуры рабочей нагрузки. На основе схемы определите назначение и характеристики потока в отношении функциональных служебных и операционных аспектов рабочей нагрузки. Чтобы классифицировать поток, используйте следующие вопросы:

  • Если рабочей нагрузке необходимо взаимодействовать с внешними сетями, каким должен быть требуемый уровень близости к этим сетям?

  • Каковы сетевые характеристики потока, например ожидаемый протокол, источник и форма пакетов? Существуют ли какие-либо требования к соответствию на уровне сети?

Существует множество способов классификации потоков трафика. В следующих разделах рассматриваются часто используемые критерии.

Видимость из внешних сетей

  • Общедоступная. Рабочая нагрузка является общедоступной, если ее приложение и другие компоненты доступны из общедоступного Интернета. Приложение предоставляется через один или несколько общедоступных IP-адресов и dns-серверов.

  • Приватность. Рабочая нагрузка является частной, если доступ к ней можно получить только через частную сеть, например виртуальную частную сеть (VPN). Он предоставляется только через один или несколько частных IP-адресов и, возможно, через частный DNS-сервер.

    В частной сети нет прямой видимости от общедоступного Интернета к рабочей нагрузке. Для шлюза можно использовать подсистему балансировки нагрузки или брандмауэр. Эти параметры могут обеспечить гарантии безопасности.

Даже при использовании общедоступных рабочих нагрузок старайтесь сохранять как можно больше закрытых рабочих нагрузок. Этот подход заставляет пакеты пересекать частную границу, когда они поступают из общедоступной сети. Шлюз в этом пути может функционировать как точка перехода, выступая в качестве обратного прокси-сервера.

Направление трафика

  • Входящий трафик. Входящий трафик — это входящий трафик, который направляется к рабочей нагрузке или ее компонентам. Чтобы защитить входящий трафик, примените предыдущий набор ключевых стратегий. Определите источник трафика и является ли он ожидаемым, разрешенным и безопасным. Злоумышленники, которые сканируют диапазоны IP-адресов поставщика общедоступных облачных служб, могут успешно проникнуть в вашу систему защиты, если вы не проверка входящий трафик или не реализуете базовые меры безопасности сети.

  • Исходящий трафик. Исходящий трафик — это исходящий трафик, исходящий от рабочей нагрузки или ее компонентов. Чтобы проверка исходящего трафика, определите, куда направляется трафик и является ли место назначения ожидаемым, разрешенным и безопасным. Назначение может быть вредоносным или связанным с риском кражи данных.

Схема потока сетевого трафика между развертываниями Azure и Интернетом.

Вы также можете определить уровень уязвимости, учитывая близость рабочей нагрузки к общедоступному Интернету. Например, платформа приложений обычно обслуживает общедоступные IP-адреса. Компонент рабочей нагрузки является лицом решения.

Область влияния

  • Север-юг. Трафик, проходящий между сетью рабочей нагрузки и внешними сетями, выполняется с севера на юг. Этот трафик пересекает границу сети. Внешними сетями может быть общедоступный Интернет, корпоративная сеть или любая другая сеть, которая находится вне вашего область контроля.

    Входящий и исходящий трафик могут быть как с севера на юг.

    В качестве примера рассмотрим поток исходящего трафика звездообразной сетевой топологии. Вы можете определить границу сети рабочей нагрузки, чтобы концентратор был внешней сетью. В этом случае исходящий трафик из виртуальной сети периферийной сети будет осуществляться с севера на юг. Но если вы рассматриваете сеть концентратора в вашей сфере контроля, трафик с севера на юг распространяется на брандмауэр в концентраторе, потому что следующим прыжком является Интернет, который потенциально является враждебным.

  • Восток-запад. Трафик, который проходит в сети рабочей нагрузки, является трафиком "восток-запад". Этот тип трафика возникает, когда компоненты в рабочей нагрузке взаимодействуют друг с другом. Примером является трафик между уровнями n-уровневого приложения. В микрослужбах обмен данными между службами является трафиком между востоком и западом.

Чтобы обеспечить глубокую защиту, поддерживайте комплексный контроль над средствами безопасности, которые включаются в каждый прыжок или используются, когда пакеты пересекают внутренние сегменты. Для разных уровней риска требуются различные методы устранения рисков.

Схема, демонстрирующая глубинную защиту сети для частного облака.

На предыдущей схеме показана глубокая защита сети в частном облаке. На этой схеме граница между общедоступным и частным пространствами IP-адресов значительно дальше от рабочей нагрузки, чем на схеме общедоступного облака. Несколько уровней отделяют развертывания Azure от пространства общедоступных IP-адресов.

Примечание

Удостоверение всегда является основным периметром. Управление доступом должно применяться к сетевым потокам. Используйте управляемые удостоверения при использовании управления доступом на основе ролей Azure (RBAC) между компонентами сети.

После классификации потоков выполните упражнение сегментации, чтобы определить точки внедрения брандмауэра в путях связи сегментов сети. При проектировании глубокой защиты сети во всех сегментах и всех типах трафика следует предполагать нарушение во всех точках. Используйте сочетание различных локализованных сетевых элементов управления на всех доступных границах. Дополнительные сведения см. в разделе Стратегии сегментации.

Применение брандмауэров на границе

Пограничный интернет-трафик является трафиком с севера на юг и включает в себя входящий и исходящий трафик. Чтобы обнаруживать или блокировать угрозы, стратегия пограничных вычислений должна устранять как можно больше атак в Интернет и из Интернета.

Для исходящего трафика отправьте весь интернет-трафик через единый брандмауэр , который обеспечивает расширенный контроль, управление и контроль трафика. Для входящего трафика необходимо принудительно включить весь трафик из Интернета через виртуальный сетевой (модуль) (NVA) или брандмауэр веб-приложения.

  • Брандмауэры обычно являются одноэлементными, которые развертываются для каждого региона в организации. В результате они совместно используются между рабочими нагрузками и принадлежат центральной команде. Убедитесь, что все NVA, которые вы используете, настроены для поддержки потребностей вашей рабочей нагрузки.

  • Рекомендуется как можно больше использовать собственные элементы управления Azure.

    Помимо собственных элементов управления, можно также рассмотреть партнерские NVA, которые предоставляют расширенные или специализированные функции. Продукты поставщиков брандмауэров для партнеров и брандмауэра веб-приложений доступны в Azure Marketplace.

    Решение использовать собственные функции, а не партнерские решения, должно основываться на опыте и требованиях вашей организации.

    Компромисс. Партнерские возможности часто предоставляют расширенные функции, которые могут защитить от сложных, но обычно редких атак. Конфигурация партнерских решений может быть сложной и хрупкой, так как эти решения не интегрируются с контроллерами структуры облака. С точки зрения затрат предпочтительнее собственное управление, так как оно дешевле, чем партнерские решения.

Любые технологические варианты, которые вы рассматриваете, должны предоставлять средства управления безопасностью и мониторинг как входящих, так и исходящих потоков. Сведения о параметрах, доступных для Azure, см. в разделе Безопасность пограничных вычислений в этой статье.

Проектирование безопасности виртуальной сети и подсети

Основная цель частного облака — скрыть ресурсы из общедоступного Интернета. Существует несколько способов достижения этой цели:

  • Перейдите к пространствам частных IP-адресов, что можно сделать с помощью виртуальных сетей. Сведите к минимуму видимость сети даже в пределах собственных частных сетей.

  • Сведите к минимуму количество общедоступных записей DNS, которые используются для уменьшения объема рабочей нагрузки.

  • Добавьте управление сетевым потоком входящего и исходящего трафика. Не разрешайте трафик, который не является доверенным.

Стратегия сегментации

Чтобы свести к минимуму видимость сети, сегментируйте сеть и начните с элементов управления сетью с минимальными привилегиями. Если сегмент не маршрутизируется, доступ к нему недоступен. Расширьте область, включив только сегменты, которые должны взаимодействовать друг с другом через сетевой доступ.

Виртуальные сети можно сегментирует, создавая подсети. Критерии разделения должны быть преднамеренными. При совместном развертывании служб в подсети убедитесь, что эти службы могут видеть друг друга.

Сегментацию можно основывать на многих факторах. Например, можно разместить различные уровни приложений в выделенных сегментах. Другой подход — планирование подсетей на основе общих ролей и функций, использующих известные протоколы.

Дополнительные сведения см. в разделе Стратегии сегментации.

Брандмауэры подсети

Важно проверить входящий и исходящий трафик каждой подсети. Используйте три стратегии main, рассмотренные ранее в этой статье, в разделе Основные стратегии проектирования. Проверьте, является ли поток ожидаемым, разрешенным и безопасным. Чтобы проверить эти сведения, определите правила брандмауэра, основанные на протоколе, источнике и назначении трафика.

В Azure правила брандмауэра задаются в группах безопасности сети. Дополнительные сведения см. в разделе Группы безопасности сети этой статьи.

Пример структуры подсети см. в статье Подсети Azure виртуальная сеть.

Использование элементов управления на уровне компонента

После того как вы уменьшите видимость сети, найдите ресурсы Azure с точки зрения сети и оцените потоки. Возможны следующие типы потоков:

  • Запланированный трафик или преднамеренный обмен данными между службами в соответствии с архитектурой. Например, вы запланировали трафик, когда архитектура рекомендует Функции Azure извлекать сообщения из Служебная шина Azure.

  • Трафик управления или обмен данными, которые происходят в рамках функциональных возможностей службы. Этот трафик не является частью вашего проекта, и вы не можете контролировать его. Примером управляемого трафика является взаимодействие между службами Azure в вашей архитектуре и плоскостью управления Azure.

Различия между запланированным и управляемым трафиком помогают создавать локализованные элементы управления или элементы управления уровня обслуживания. Иметь хорошее представление об источнике и назначении на каждом прыжке. Особенно понять, как предоставляется плоскость данных.

В качестве отправной точки определите, доступна ли каждая служба в Интернете. Если это так, спланируйте, как ограничить доступ. В противном случае поместите его в виртуальную сеть.

Брандмауэры служб

Если вы ожидаете, что служба будет доступна в Интернете, воспользуйтесь брандмауэром уровня обслуживания, доступным для большинства ресурсов Azure. При использовании этого брандмауэра можно задавать правила на основе шаблонов доступа. Дополнительные сведения см. в разделе Брандмауэры службы Azure этой статьи.

Примечание

Если компонент не является службой, используйте брандмауэр на основе узла в дополнение к брандмауэрам уровня сети. Виртуальная машина — это пример компонента, который не является службой.

Подключение к службам PaaS

Рассмотрите возможность использования частных конечных точек для защиты доступа к службам PaaS. Частной конечной точке назначается частный IP-адрес из виртуальной сети. Конечная точка позволяет другим ресурсам в сети взаимодействовать со службой PaaS по частному IP-адресу.

Обмен данными со службой PaaS достигается с помощью общедоступного IP-адреса службы и записи DNS. Этот обмен данными осуществляется через Интернет. Вы можете сделать это общение частным.

Туннель из службы PaaS в одну из ваших подсетей создает частный канал. Весь обмен данными осуществляется с частного IP-адреса компонента к частной конечной точке в этой подсети, которая затем взаимодействует со службой PaaS.

В этом примере на изображении слева показан поток для общедоступных конечных точек. Справа этот поток защищен с помощью частных конечных точек.

Схема, на которую показано, как частная конечная точка помогает защитить базу данных от пользователей Интернета.

Дополнительные сведения см. в разделе Частные конечные точки этой статьи.

Примечание

Мы рекомендуем использовать частные конечные точки вместе с брандмауэрами служб. Брандмауэр службы блокирует входящий интернет-трафик, а затем предоставляет службу в частном порядке внутренним пользователям, которые используют частную конечную точку.

Еще одним преимуществом использования частных конечных точек является то, что вам не нужно открывать порты в брандмауэре для исходящего трафика. Частные конечные точки блокируют весь исходящий трафик через порт для общедоступного Интернета. Возможность подключения ограничена ресурсами в сети.

Компромисс. Приватный канал Azure — это платная служба, которая имеет счетчики для обрабатываемого и входящего и исходящего трафика. Кроме того, плата взимается за частные конечные точки.

Защита от распределенных атак типа "отказ в обслуживании" (DDoS)

Атака DDoS пытается исчерпать ресурсы приложения, чтобы сделать приложение недоступным для законных пользователей. Атаки DDoS могут быть нацелены на любую конечную точку, доступную в Интернете.

Атака DDoS обычно является массовым, широкомасштабным географически распределенным злоупотреблением ресурсами вашей системы, что затрудняет выявление и блокировку источника.

Сведения о поддержка Azure для защиты от этих атак см. в разделе Защита от атак DDoS Azure в этой статье.

Упрощение azure

Для добавления возможностей глубокой защиты в сеть можно использовать следующие службы Azure.

Виртуальная сеть Azure

виртуальная сеть помогает ресурсам Azure безопасно обмениваться данными друг с другом, Интернетом и локальными сетями.

По умолчанию все ресурсы в виртуальной сети могут взаимодействовать с исходящим обменом данными с Интернетом. Но входящий обмен данными по умолчанию ограничен.

виртуальная сеть предлагает функции для фильтрации трафика. Вы можете ограничить доступ на уровне виртуальной сети с помощью определяемого пользователем маршрута (UDR) и компонента брандмауэра. На уровне подсети можно фильтровать трафик с помощью групп безопасности сети.

Безопасность пограничных вычислений

По умолчанию входящий и исходящий трафик передаются через общедоступные IP-адреса. В зависимости от службы или топологии вы задаете эти адреса или назначаете их Azure. Другие возможности входящего и исходящего трафика включают передачу трафика через подсистему балансировки нагрузки или шлюз преобразования сетевых адресов (NAT). Но эти службы предназначены для распределения трафика, а не обязательно для обеспечения безопасности.

Рекомендуется использовать следующие технологии:

  • Брандмауэр Azure. Вы можете использовать Брандмауэр Azure на границе сети и в популярных сетевых топологиях, таких как звездообразная сеть и виртуальные глобальные сети. Обычно вы развертываете Брандмауэр Azure в качестве брандмауэра исходящего трафика, который выступает в качестве последнего шлюза безопасности, прежде чем трафик перейдет в Интернет. Брандмауэр Azure может маршрутизировать трафик, использующий протоколы, отличные от HTTP и httpS, такие как протокол удаленного рабочего стола (RDP), протокол SSH и протокол FTP. Набор функций Брандмауэр Azure включает:

    • Преобразование сетевых адресов назначения (DNAT) или перенаправление портов.
    • Обнаружение подписей системы обнаружения вторжений и предотвращения вторжений (IDPS).
    • Правила сети уровня 3, уровня 4 и полного доменного имени (FQDN).

    Примечание

    В большинстве организаций применяется политика принудительного туннелирования, которая заставляет трафик проходить через NVA.

    Если вы не используете топологию виртуальной глобальной сети, необходимо развернуть определяемый пользователем маршрут с параметром NextHopType для частного Internet IP-адреса виртуального модуля. Определяемые пользователем маршруты применяются на уровне подсети. По умолчанию трафик между подсетью не проходит через NVA.

    Вы также можете одновременно использовать Брандмауэр Azure для входящего трафика. Он может направлять трафик HTTP и HTTPS. В SKU более высокого уровня Брандмауэр Azure предлагает завершение TLS, чтобы можно было реализовать проверки на уровне полезных данных.

    Рекомендуется использовать следующие методики.

    • Включите параметры диагностика в Брандмауэр Azure для сбора журналов потоков трафика, журналов IDPS и журналов запросов DNS.

    • Будьте максимально конкретными в правилах.

    • Там, где это целесообразно, избегайте тегов службы FQDN. Но при их использовании используйте региональный вариант, который позволяет обмен данными со всеми конечными точками службы.

    • Используйте группы IP-адресов для определения источников, которые должны использовать одни и те же правила на протяжении всего срока действия группы IP-адресов. Группы IP-адресов должны отражать стратегию сегментации.

    • Переопределяйте правило разрешения полного доменного имени инфраструктуры, только если для рабочей нагрузки требуется абсолютный контроль исходящего трафика. Переопределение этого правила связано с компромиссом надежности, так как требования к платформе Azure изменяются в службах.

    Компромисс: Брандмауэр Azure может повлиять на производительность. Порядок правил, количество, проверка TLS и другие факторы могут привести к значительной задержке.

    Это также может повлиять на надежность рабочей нагрузки. Может возникнуть нехватка портов преобразования сетевых адресов (SNAT). Чтобы устранить эту проблему, при необходимости добавьте общедоступные IP-адреса.

    Риск. Для исходящего трафика Azure назначает общедоступный IP-адрес. Это назначение может оказать влияние на внешние шлюзы безопасности.

  • Azure Брандмауэр веб-приложений. Эта служба поддерживает фильтрацию входящего трафика и предназначена только для трафика HTTP и HTTPS.

    Он обеспечивает базовую безопасность для распространенных атак, таких как угрозы, которые проект Open Worldwide Application Security Project (OWASP) определяет в документе OWASP Top 10. Azure Брандмауэр веб-приложений также предоставляет другие функции безопасности, ориентированные на уровень 7, такие как ограничение скорости, правила внедрения КОДА SQL и меж site scripting.

    В Azure Брандмауэр веб-приложений требуется завершение TLS, так как большинство проверок основаны на полезных данных.

    Вы можете интегрировать Брандмауэр веб-приложений Azure с маршрутизаторами, такими как Шлюз приложений Azure или Azure Front Door. Реализации Брандмауэр веб-приложений Azure для маршрутизаторов этих типов могут отличаться.

Брандмауэр Azure и azure Брандмауэр веб-приложений не являются взаимоисключающими вариантами. Для пограничного решения по обеспечению безопасности доступны различные варианты. Примеры см. в статье Брандмауэр и Шлюз приложений для виртуальных сетей.

Группы безопасности сети

Группа безопасности сети — это брандмауэры уровней 3 и 4, которые применяются на уровне подсети или сетевого интерфейса карта (NIC). Группы безопасности сети не создаются и не применяются по умолчанию.

Правила группы безопасности сети действуют как брандмауэр для остановки трафика, который передается по периметру подсети. Группа безопасности сети имеет набор правил по умолчанию, который является слишком разрешительным. Например, правила по умолчанию не задают брандмауэр с точки зрения исходящего трафика. Для входящего трафика входящий трафик не допускается.

Чтобы создать правила, начните с набора правил по умолчанию:

  • Для входящего трафика или входящего трафика:
    • Трафик виртуальной сети из прямых, одноранговых источников и источников VPN-шлюзов разрешен.
    • Azure Load Balancer пробы работоспособности разрешены.
    • Весь остальной трафик заблокирован.
  • Для исходящего трафика или исходящего трафика:
    • Трафик виртуальной сети для прямого, однорангового и VPN-шлюза разрешен.
    • Трафик в Интернет разрешен.
    • Весь остальной трафик заблокирован.

Затем учитывайте следующие пять факторов:

  • Протокол
  • Исходный IP-адрес
  • Исходный порт
  • Конечный IP-адрес
  • Конечный порт

Отсутствие поддержки полного доменного имени ограничивает функциональные возможности группы безопасности сети. Необходимо указать определенные диапазоны IP-адресов для рабочей нагрузки, и их трудно поддерживать.

Но для служб Azure можно использовать теги служб , чтобы суммировать диапазоны IP-адресов источника и назначения. Преимущество безопасности тегов служб заключается в том, что они непрозрачны для пользователя, а ответственность перегружается в Azure. Вы также можете назначить группу безопасности приложений в качестве типа назначения для маршрутизации трафика. Этот тип именованной группы содержит ресурсы с аналогичными потребностями входящего или исходящего доступа.

Риск. Диапазоны тегов службы очень широки, чтобы они могли соответствовать максимально широкому кругу клиентов. Обновления, чтобы теги службы отставали от изменений в службе.

Схема, показывающая изоляцию виртуальной сети по умолчанию с помощью пиринга.

На предыдущем изображении группы безопасности сети применяются к сетевой карты. Интернет-трафик и трафик из подсети в подсеть запрещен. Группы безопасности сети применяются с тегом VirtualNetwork . Поэтому в этом случае подсети одноранговых сетей имеют прямую видимость. Широкое определение тега VirtualNetwork может оказать значительное влияние на безопасность.

При использовании тегов служб по возможности используйте региональные версии, например Storage.WestUS вместо Storage. При таком подходе можно ограничить область всеми конечными точками в определенном регионе.

Некоторые теги предназначены исключительно для входящего или исходящего трафика. Другие относятся к обоим типам. Входящие теги обычно разрешают трафик из всех рабочих нагрузок размещения, таких как AzureFrontDoor.Backend, или из Azure для поддержки сред выполнения служб, таких как LogicAppsManagement. Аналогичным образом исходящие теги разрешают трафик ко всем рабочим нагрузкам размещения или из Azure для поддержки сред выполнения служб.

Максимальное определение правил. В следующем примере для правила заданы определенные значения. Любой другой тип трафика отклоняется.

Данные Пример
Протокол Протокол TCP, UDP
Исходный IP-адрес Разрешить входящий трафик в подсеть из <диапазона> исходных IP-адресов: 4575/UDP
Исходный порт Разрешить входящий трафик в подсеть из <тега> службы: 443/TCP
Конечный IP-адрес Разрешить исходящий трафик из подсети в <диапазон> конечных IP-адресов: 443/TCP
Конечный порт Разрешить исходящий трафик из подсети в <тег> службы: 443/TCP

Подведение итогов.

  • Будьте точны при создании правил. Разрешите только трафик, необходимый для работы приложения. Отрицать все остальное. Этот подход ограничивает линию видимости сети сетевыми потоками, необходимыми для поддержки работы рабочей нагрузки. Поддержка большего объема сетевых потоков приводит к ненужным векторам атак и расширяет поверхность.

    Ограничение трафика не означает, что разрешенные потоки выходят за рамки область атаки. Так как группы безопасности сети работают на уровнях 3 и 4 в стеке Open Systems Interconnection (OSI), они содержат только сведения о форме и направлении. Например, если рабочей нагрузке необходимо разрешить трафик DNS в Интернет, следует использовать группу Internet:53:UDPбезопасности сети . В этом случае злоумышленник может получить доступ к данным через UDP через порт 53 в другую службу.

  • Поймите, что группы безопасности сети могут немного отличаться друг от друга. Легко не заметить цель различий. Для детальной фильтрации безопаснее создавать дополнительные группы безопасности сети. Настройте хотя бы одну группу безопасности сети.

    • Добавление группы безопасности сети позволяет разблокировать множество диагностика средств, таких как журналы потоков и аналитика сетевого трафика.

    • Используйте Политика Azure для управления трафиком в подсетях, в которых нет групп безопасности сети.

  • Если подсеть поддерживает группы безопасности сети, добавьте группу, даже если она минимально влияет.

Брандмауэры служб Azure

Большинство служб Azure предлагают брандмауэр уровня служб. Эта функция проверяет входящий трафик в службу из указанных диапазонов бесклассовой междоменной маршрутизации (CIDR). Эти брандмауэры предлагают следующие преимущества:

  • Они обеспечивают базовый уровень безопасности.
  • Это терпимое влияние на производительность.
  • Большинство служб предлагают эти брандмауэры без дополнительных затрат.
  • Брандмауэры выдают журналы через диагностика Azure, что может быть полезно для анализа шаблонов доступа.

Но существуют также проблемы безопасности, связанные с этими брандмауэрами, и есть ограничения, связанные с предоставлением параметров. Например, если вы используете агенты сборки, размещенные в Майкрософт, необходимо открыть диапазон IP-адресов для всех агентов сборки, размещенных в Майкрософт. Затем диапазон открывается для агента сборки, других клиентов и злоумышленников, которые могут злоупотреблять вашей службой.

Если у вас есть шаблоны доступа для службы, которые можно настроить как наборы правил брандмауэра службы, необходимо включить службу. Для его включения можно использовать Политика Azure. Убедитесь, что вы не включили параметр доверенных служб Azure, если он не включен по умолчанию. Это позволяет использовать все зависимые службы, которые находятся в область правил.

Дополнительные сведения см. в документации по отдельным службам Azure.

Частные конечные точки

Приватный канал позволяет предоставить экземпляру PaaS частный IP-адрес. После этого служба недоступна через Интернет. Частные конечные точки поддерживаются не для всех номеров SKU.

При использовании частных конечных точек учитывайте следующие рекомендации.

  • Настройте службы, привязанные к виртуальным сетям, для связи со службами PaaS через частные конечные точки, даже если эти службы PaaS также должны предоставлять общий доступ.

  • Повышение уровня использования групп безопасности сети для частных конечных точек для ограничения доступа к IP-адресам частных конечных точек.

  • Всегда используйте брандмауэры служб при использовании частных конечных точек.

  • Если у вас есть служба, доступная только через частные конечные точки, по возможности удалите конфигурацию DNS для общедоступной конечной точки.

  • При реализации частных конечных точек учитывайте проблемы, связанные со средой выполнения. Но также рассмотрите проблемы DevOps и мониторинга.

  • Используйте Политика Azure для принудительного применения конфигурации ресурсов.

Компромисс. Номера SKU служб с частными конечными точками являются дорогостоящими. Частные конечные точки могут усложнять операции из-за неизвестности сети. В архитектуру необходимо добавить локальные агенты, блоки перехода, VPN и другие компоненты.

Управление DNS может быть сложным в общих сетевых топологиях. Возможно, потребуется ввести серверы пересылки DNS и другие компоненты.

Внедрение в виртуальную сеть

Вы можете использовать процесс внедрения виртуальной сети для развертывания некоторых служб Azure в сети. Примерами таких служб являются Служба приложений Azure, Функции, Azure Управление API и Azure Spring Apps. Этот процесс изолирует приложение от Интернета, систем в частных сетях и других служб Azure. Входящий и исходящий трафик из приложения разрешен или запрещен в зависимости от сетевых правил.

Бастион Azure

Вы можете использовать Бастион Azure для подключения к виртуальной машине с помощью браузера и портал Azure. Бастион Azure повышает безопасность подключений по протоколу RDP и SSH. Типичный вариант использования включает подключение к блоку перехода в той же виртуальной сети или одноранговой виртуальной сети. Использование Бастиона Azure избавляет виртуальную машину от необходимости иметь общедоступный IP-адрес.

Защита от атак DDoS Azure

Каждое свойство в Azure защищено защитой инфраструктуры DDoS Azure без дополнительных затрат и без дополнительной настройки. Уровень защиты является базовым, но защита имеет высокие пороговые значения. Он также не предоставляет данные телеметрии или оповещения и не зависит от рабочей нагрузки.

Номера SKU более высокого уровня защиты от атак DDoS доступны, но не бесплатны. Масштаб и емкость глобально развернутой сети Azure обеспечивают защиту от распространенных атак на сетевом уровне. Такие технологии, как постоянный мониторинг трафика и устранение рисков в режиме реального времени, предоставляют эту возможность.

Дополнительные сведения см. в обзоре Защиты от атак DDoS Azure.

Пример

Ниже приведены примеры, демонстрирующие использование элементов управления сетью, рекомендуемых в этой статье.

ИТ-среда

В этом примере используется среда информационных технологий (ИТ), созданная в базовом плане безопасности (SE:01). Этот подход обеспечивает широкое понимание элементов управления сетью, применяемых на различных периметрах для ограничения трафика.

Схема, на которую показан пример базовых показателей безопасности организации с элементами управления сетью.

  1. Пользователи сетевой атаки. В сетевой атаке могут рассматриваться несколько пользователей, включая администраторов, сотрудников, клиентов клиентов и анонимных злоумышленников.

  2. Vpn-доступ. Злоумышленник может получить доступ к локальной среде через VPN или среду Azure, подключенную к локальной среде через VPN. Настройте протокол IPSec, чтобы включить безопасный обмен данными.

  3. Общий доступ к приложению. Перед приложением должен быть установлен брандмауэр веб-приложения (WAF), чтобы защитить его на уровне 7 сетевого уровня OSI.

  4. Доступ оператора. Удаленный доступ через уровень 4 уровня сетевой OSI должен быть защищен. Рассмотрите возможность использования Брандмауэр Azure с функциями поставщика удостоверений и удостоверений.

  5. Защита от атак DDoS. Защита от атак DDoS для всей виртуальной сети.

  6. Топология сети. Топология сети, например звездообразная топология, является более безопасной и оптимизирует затраты. Центральная сеть обеспечивает централизованную защиту брандмауэра для всех пиринговых периферийных узлов.

  7. Частные конечные точки. Рассмотрите возможность добавления общедоступных служб в частную сеть с помощью частных конечных точек. Они создают сетевую карту в частной виртуальной сети и связываются со службой Azure.

  8. Обмен данными по протоколу TLS. Защита передаваемых данных путем обмена данными по протоколу TLS.

  9. Группа безопасности сети (NSG). Защитите сегменты в виртуальной сети с помощью NSG— бесплатного ресурса, который фильтрует входящий и исходящий трафик TCP/UDP с учетом диапазонов IP-адресов и портов. Часть группы безопасности сети — это группа безопасности приложений (ASG), которая позволяет создавать теги для правил трафика для упрощения управления.

  10. Log Analytics. Ресурсы Azure выдают данные телеметрии, которые передаются в Log Analytics, а затем используются с решением SIEM, таким как Microsoft Sentinel, для анализа.

  11. Интеграция Microsoft Sentinel. Log Analytics интегрирована с Microsoft Sentinel и другими решениями, такими как Microsoft Defender для облака.

  12. Microsoft Defender для облака. Microsoft Defender для облака предоставляет множество решений для защиты рабочих нагрузок, включая рекомендации по сети для вашей среды.

  13. Аналитика трафика. Отслеживайте элементы управления сетью с помощью аналитики трафика. Это настраивается с помощью Наблюдатель за сетями, части Azure Monitor и агрегирует входящие и исходящие попадания в подсети, собранные NSG.

Архитектура контейнерной рабочей нагрузки

В этом примере архитектуры объединяются элементы управления сетью, описанные в этой статье. В примере не показана полная архитектура. Вместо этого он фокусируется на элементах управления входящего трафика в частном облаке.

Схема, показывающая управляемый входящий трафик, включая Шлюз приложений, группу безопасности сети, Бастион Azure и Защиту от атак DDoS Azure.

Шлюз приложений — это подсистема балансировки нагрузки веб-трафика, которую можно использовать для управления трафиком к веб-приложениям. Вы развертываете Шлюз приложений в выделенной подсети с элементами управления группы безопасности сети и брандмауэром веб-приложения.

Обмен данными со всеми службами PaaS осуществляется через частные конечные точки. Все конечные точки размещаются в выделенной подсети. Защита от атак DDoS помогает защитить все общедоступные IP-адреса, настроенные на базовый или более высокий уровень защиты брандмауэра.

Трафик управления ограничен бастионом Azure, что помогает обеспечить безопасное и простое подключение по протоколу RDP и SSH к виртуальным машинам непосредственно из портал Azure по протоколу TLS. Агенты сборки размещаются в виртуальной сети, чтобы у них было сетевое представление для ресурсов рабочей нагрузки, таких как вычислительные ресурсы, реестры контейнеров и базы данных. Такой подход помогает обеспечить безопасную и изолированную среду для агентов сборки, что повышает защиту кода и артефактов.

Схема, показывающая управляемый исходящий трафик для группы безопасности сети и Брандмауэр Azure.

Группы безопасности сети на уровне подсети вычислительных ресурсов ограничивают исходящий трафик. Принудительное туннелирование используется для маршрутизации всего трафика через Брандмауэр Azure. Такой подход помогает обеспечить безопасную и изолированную среду для вычислительных ресурсов, что повышает защиту данных и приложений.

Контрольный список по безопасности

Ознакомьтесь с полным набором рекомендаций.

Контрольный список по безопасности