Защита сетей с помощью функции "Никому не доверяй"

Большие данные представляют новые возможности для получения новых аналитических сведений и получения конкурентных преимуществ. Мы удаляем эру, в которой сети были четко определены и обычно относятся к определенному расположению. Облако, мобильные устройства и другие конечные точки расширяют границы и изменяют парадигму. Теперь нет обязательной вложенной или определенной сети для защиты. Вместо этого существует обширный набор устройств и сетей, связанных с облаком.

Вместо того чтобы использовать все, что находится за корпоративным брандмауэром, безопасно, в сквозной стратегии "Никому не доверяй" предполагается, что бреши неизбежны. Это означает, что необходимо проверить каждый запрос так, как если бы он исходит из неконтролируемой сети. В этом случае управление удостоверениями играет важную роль.

В модели "Никому не доверяй" существует три основные цели защиты сетей:

  • Будьте готовы к обработке атак перед их выполнением.

  • Сведите к минимуму степень повреждения и скорость его распространения.

  • Увеличьте сложность компрометации облака.

Чтобы это произошло, мы следуют трем принципам "Никому не доверяй":

  • Явным образом проверьте. Всегда выполнять проверку подлинности и авторизацию на основе всех доступных точек данных, включая удостоверение пользователя, расположение, работоспособность устройства, службу или рабочую нагрузку, классификацию данных и аномалии.

  • Используйте наименее привилегированный доступ. Ограничьте доступ пользователей с помощью JIT-доступа и JIT/JEA, адаптивных политик на основе рисков и защиты данных для защиты данных и производительности.

  • Предположим, что нарушение безопасности. Сведите к минимуму радиус бреши и предотвращайте боковое смещение путем сегментирования доступа по сети, пользователям, устройствам и осведомленности приложений. Убедитесь, что все сеансы зашифрованы до конца. Используйте аналитику для получения видимости, обнаружения угроз и улучшения защиты.

Цели развертывания "Никому не доверяй сети"

Прежде чем большинство организаций начнет свой путь "Никому не доверяй", они будут иметь сетевую безопасность, которая характеризуется следующим:

  • Мало периметров безопасности сети и открытых неструктурированных сетей.

  • Минимальная защита от угроз и статическая фильтрация трафика.

  • Незашифрованный внутренний трафик.

При реализации сквозной платформы "Никому не доверяй" для защиты сетей мы рекомендуем сосредоточиться в первую очередь на следующих начальных задачах развертывания:

List icon with one checkmark.

Сегментация I.Network: многие микроо периметры облака для входящего и исходящего трафика с определенной микросегментацированием.

II.Защита от угроз: собственная облачная фильтрация и защита от известных угроз.

III.Шифрование: внутренний трафик между пользователем и приложением шифруется.

После завершения этих действий сосредоточьте внимание на следующих дополнительных задачах развертывания:

List icon with two checkmarks.

IV.Сегментация сети: полностью распределенные облачные микро периметры входящего и исходящего трафика и более глубокая микросегментация.

Защита отугроз на основе машинного обучения: защита от угроз и фильтрация с помощью контекстных сигналов.

VI.Шифрование: весь трафик шифруется.

Руководство по развертыванию сети "Никому не доверяй"

В этом руководстве описаны шаги, необходимые для защиты сетей, следуя принципам платформы безопасности "Никому не доверяй".




Checklist icon with one checkmark.

Начальные цели развертывания

Я. Сегментация сети: многие микроо периметры облака для входящего и исходящего трафика с определенной микросегментацированием

Организации должны иметь не только один большой канал в сети и из нее. При подходе "Никому не доверяй" сети вместо этого сегментируются на небольшие острова, где содержатся определенные рабочие нагрузки. Каждый сегмент имеет собственные элементы управления входом и исходящим трафиком, чтобы свести к минимуму "радиус радиуса" несанкционированного доступа к данным. Реализуя программно-определяемые периметры с детализированными элементами управления, вы повышаете сложность распространения неавторизованных субъектов по всей сети, а также уменьшаете боковое перемещение угроз.

Отсутствует архитектура, соответствующая потребностям всех организаций. Вы можете выбрать один из нескольких распространенных шаблонов проектирования для сегментирования сети в соответствии с моделью "Никому не доверяй".

В этом руководстве по развертыванию мы рассмотрим шаги по реализации одного из этих проектов: микросегментации.

Благодаря микросегментации организации могут перейти за пределы простых централизованных сетевых периметров к комплексной и распределенной сегментации с помощью программно-определяемых микро периметров.

Приложения секционируются в разные виртуальные сети Azure и подключаются с помощью звездообразной модели.

Diagram of two virtual networks connected in a hub-and-spoke model.

Выполните следующие действия.

  1. Создание выделенных виртуальных сетей для различных приложений и (или) компонентов приложений.

  2. Создайте центральную виртуальную сеть, чтобы настроить уровень безопасности для подключения между приложениями и подключить виртуальные сети приложений в звездообразной архитектуре.

  3. Разверните Брандмауэр Azure в центральной виртуальной сети для проверки и управления трафиком между виртуальными сетями.

II. Защита от угроз: облачная собственная фильтрация и защита от известных угроз

Облачные приложения, которые открыли конечные точки для внешних сред, таких как Интернет или локальная среда, находятся под угрозой атак, поступающих из этих сред. Поэтому крайне важно проверять трафик на наличие вредоносных полезных данных или логики.

Эти типы угроз делятся на две широкие категории:

  • Известные атаки. Угрозы, обнаруженные поставщиком программного обеспечения или более крупным сообществом. В таких случаях подпись атаки доступна, и необходимо убедиться, что каждый запрос проверяется на соответствие этим подписям. Важно иметь возможность быстро обновлять обработчик обнаружения с помощью новых обнаруженных атак.

  • Неизвестные атаки. Это угрозы, которые не вполне соответствуют какой-либо известной сигнатуре. Эти типы угроз включают уязвимости нулевого дня и необычные закономерности в трафике запросов. Возможность обнаружения таких атак зависит от того, насколько хорошо ваши средства защиты знают, что является нормальным, а что нет. Ваша защита должна постоянно совершенствоваться и обновлять такие шаблоны по мере развития вашего бизнеса (и связанного трафика).

Чтобы защититься от известных угроз, сделайте следующее:

  1. Для конечных точек с трафиком HTTP/S защитите с помощью Azure Брандмауэр веб-приложений (WAF) с помощью:

    1. Включение набора правил по умолчанию или 10 основных правил защиты OWASP для защиты от известных атак веб-уровня

    2. Включение набора правил защиты ботов, чтобы предотвратить извлечение информации вредоносными ботами, проведение загрузки учетных данных и т. д.

    3. Добавление настраиваемых правил для защиты от угроз, которые относятся к вашей организации.

    Можно использовать один из двух вариантов:

  2. Для всех конечных точек (HTTP или нет) перед Брандмауэр Azure для фильтрации на основе аналитики угроз на уровне 4:

    1. Развертывание и настройка Брандмауэр Azure с помощью портал Azure.

    2. Включите фильтрацию на основе аналитики угроз для трафика.

III. Шифрование: внутренний трафик между пользователем и приложением шифруется

Третья первоначальная цель, на которая следует сосредоточиться, — добавить шифрование, чтобы обеспечить шифрование внутреннего трафика между пользователями и приложением.

Выполните следующие действия.

  1. Принудительное подключение только по протоколу HTTPS для веб-приложений с выходом в Интернет путем перенаправления HTTP-трафика на HTTPS с помощью Azure Front Door.

  2. Подключение удаленных сотрудников и партнеров Microsoft Azure с помощью azure VPN-шлюз.

    1. Включите шифрование для любого трафика типа "точка — сеть" в VPN-шлюз Azure.
  3. Безопасный доступ к виртуальным машинам Azure с помощью зашифрованного обмена данными через Бастион Azure.

    1. Подключение SSH на виртуальной машине Linux.

    2. Подключение RDP на виртуальной Windows виртуальной машине.




Checklist icon with two checkmarks.

Дополнительные цели развертывания

IV. Сегментация сети: полностью распределенные облачные микро периметры для входящего и исходящего трафика и более глубокая микросегментация

После достижения первоначальных трех целей следующим шагом является дальнейшее сегментирование сети.

Секционирование компонентов приложения в разные подсети

Diagram of a virtual network of servers in the Azure region.

Выполните следующие действия.

  1. В виртуальной сети добавьте подсети виртуальной сети, чтобы отдельные компоненты приложения могли иметь собственные периметры.

  2. Примените правила группы безопасности сети, чтобы разрешить трафик только из подсетей, в которых подкомпонент приложения определен как допустимый аналог обмена данными.

Сегментирование и применение внешних границ

Diagram of a servers and devices with connections across boundaries.

Выполните следующие действия в зависимости от типа границы:

Граница Интернета
  1. Если для вашего приложения требуется подключение к Интернету, которое должно быть перенаправлено через виртуальную сеть концентратора, обновите правила группы безопасности сети в центральной виртуальной сети, чтобы разрешить подключение к Интернету.

  2. Включите защиту от атак DDoS Azure уровня "Стандартный ", чтобы защитить виртуальную сеть концентратора от атак на уровне сети томов.

  3. Если приложение использует протоколы HTTP/S, включите Azure Брандмауэр веб-приложений для защиты от угроз уровня 7.

Локальная граница
  1. Если приложению требуется подключение к локальному центру обработки данных, используйте Azure ExpressRoute VPN для подключения к виртуальной сети концентратора.

  2. Настройте Брандмауэр Azure в виртуальной сети концентратора для проверки и управления трафиком.

Граница служб PaaS
  • При использовании предоставляемых Azure служб PaaS (например, служба хранилища Azure, Azure Cosmos DB или веб-приложения Azure) используйте параметр подключения PrivateLink, чтобы обеспечить передачу всех обменов данными через частное пространство IP-адресов и трафик никогда не покидает сеть Майкрософт.

V. Защита от угроз: защита от угроз на основе машинного обучения и фильтрация с помощью контекстных сигналов

Для дальнейшей защиты от угроз включите Стандарт защиты от атак DDoS Azure, чтобы постоянно отслеживать трафик приложений, размещенный в Azure, используйте платформы на основе ML для базовых показателей, обнаружения переполнений объемного трафика и применения автоматического устранения рисков.

Выполните следующие действия.

  1. Настройка и управление Защита от атак DDoS Azure уровня "Стандартный".

  2. Настройте оповещения для метрик защиты от атак DDoS.

VI. Шифрование: весь трафик зашифрован

Наконец, завершите защиту сети, убедившись, что весь трафик зашифрован.

Выполните следующие действия.

  1. Шифрование внутреннего трафика приложения между виртуальными сетями.

  2. Шифрование трафика между локальной средой и облаком:

    1. Настройте VPN типа "сеть — сеть" через пиринг Майкрософт ExpressRoute.

    2. Настройка режима транспорта IPsec для частного пиринга ExpressRoute.

Продукты, рассматриваемые в этом руководстве

Microsoft Azure

Сеть Azure

Виртуальные сети и подсети

Группы безопасности сети и группы безопасности приложений

Брандмауэр Azure

Защита от атак DDoS Azure

Azure Брандмауэр веб-приложений

Azure VPN-шлюз

Azure ExpressRoute

Azure Наблюдатель за сетями

Заключение

Защита сетей является центральным элементом успешной стратегии "Никому не доверяй". Для получения дополнительных сведений или справки по реализации обратитесь в службу поддержки клиентов или продолжайте читать другие разделы этого руководства, охватывающие все основные принципы "Никому не доверяй".



Серия руководств по развертыванию "Никому не доверяй"

Icon for the introduction

Icon for identity

Icon for endpoints

Icon for applications

Icon for data

Icon for infrastructure

Icon for networks

Icon for visibility, automation, orchestration