Azure-tjänster för att skydda nätverksanslutningen

  • Artikel
  • 11 minuter för att läsa

Om du vill skydda kommunikationen inom ett VNet anger du regler som inspekterar trafik. Tillåt eller nekatrafik till eller från specifika källor och dirigera dem till de angivna destinationerna.

Uppgift Granska regeluppsättningen och bekräfta att de nödvändiga tjänsterna inte oavsiktligt blockeras.

För trafik mellan undernät är det rekommenderade sättet att använda nätverkssäkerhetsgrupper (NSG). Definiera regler för varje NSG som kontrollerar trafik till och från en enskild IP-adress, flera IP-adresser eller hela undernät.

Om NSG:er används för att isolera och skydda programmet bör regeluppsättningen granskas för att bekräfta att nödvändiga tjänster inte oavsiktligt blockeras eller att mer tillåtande åtkomst än förväntat tillåts. Azure Firewall (och Firewall Manager) kan användas för att centralisera och hantera brandväggsprinciper.

Ett annat sätt är att använda virtuella nätverkstillverk som kontrollerar inkommande (ingress) och utgående (utgående) trafik och filter baserat på regler.

Hur dirigerar du nätverkstrafik via NVA:er för tillämpning, granskning och inspektion av säkerhetsgränser?

Använd användardefinierade vägar (UDR) för att styra nästa hopp för trafik mellan Azure, lokala resurser och Internetresurser. Vägarna kan tillämpas på virtuell installation, virtuell nätverksgateway, virtuellt nätverk eller Internet.

Du behöver till exempel inspektera all ingående trafik från en offentlig lastbalanserare. Ett sätt är att vara värd för en NVA i ett undernät som endast tillåter trafik om vissa villkor uppfylls. Trafiken skickas till undernätet som är värd för en intern lastbalanserare som dirigerar trafiken till servertjänsterna.

Du kan också använda NVA:er för utgående trafik. Till exempel dirigeras all arbetsbelastningstrafik med hjälp av UDR till ett annat undernät. Undernätet har en intern lastbalanserare som distribuerar begäranden till NVA (eller en uppsättning NVA:er). Dessa NVA:er dirigerar trafik till Internet med hjälp av deras enskilda offentliga IP-adresser.

Tips

Här är resurserna för föregående exempel:

GitHub logotyp GitHub:Automatisk redundans för virtuella nätverks installationer.

Designöverväganden beskrivs i Distribuera NVA:er med hög tillgänglig .

Azure Firewall fungerar som en NVA. Azure stöder tredjepartsleverantörer av nätverksenhet. De är tillgängliga i Azure Marketplace.

Hur får du insikter om inkommande och utgående trafik för den här arbetsbelastningen?

Som en allmän regel konfigurerar och samlar du in loggar för nätverkstrafik. Om du använder NSG:er samlar du in och analyserar NSG-flödesloggar för att övervaka prestanda och säkerhet. Med NSG-flödesloggarna kan Trafikanalys få insikter om programmets interna och externa trafikflöden.

Information om hur du definierar perimeternätverk finns i Nätverkssegmentering.

Kan det virtuella nätverket och undernätet hantera tillväxt?

Normalt lägger du till fler nätverksresurser när designen utvecklas. De flesta organisationer lägger till fler resurser i nätverk än vad som ursprungligen planerats. Refaktorering för att hantera de extra resurserna är en arbetsintensiv process. Det finns ett begränsat säkerhetsvärde i att skapa ett mycket stort antal små undernät och sedan försöka mappa nätverksåtkomstkontroller (till exempel säkerhetsgrupper) till var och en av dem.

Planera dina undernät baserat på roller och funktioner som använder samma protokoll. På så sätt kan du lägga till resurser i undernätet utan att göra ändringar i säkerhetsgrupper som framtvingar åtkomstkontroller på nätverksnivå.

Använd inte alla öppna regler som tillåter inkommande och utgående trafik till och från 0.0.0.0-255.255.255.255.255. Använd en metod med minsta behörighet och tillåt endast relevanta protokoll. Det minskar den övergripande nätverksangreppsytan i undernätet. Alla öppna regler ger en falsk säkerhet eftersom en sådan regel inte tillämpar någon säkerhet.

Undantaget är när du bara vill använda säkerhetsgrupper för nätverksloggning.

Utforma virtuella nätverk och undernät för tillväxt. Vi rekommenderar att du planerar undernät baserat på vanliga roller och funktioner som använder vanliga protokoll för dessa roller och funktioner. På så sätt kan du lägga till resurser i undernätet utan att göra ändringar i säkerhetsgrupper som framtvingar åtkomstkontroller på nätverksnivå.

Föreslagna åtgärder

Använd NSG eller överväg att Azure Firewall för att skydda och styra trafik inom det virtuella nätverket.

Läs mer

Internet Edge-trafik

När du utformar arbetsbelastningen bör du tänka på säkerheten för Internettrafik. Måste arbetsbelastningen eller delar av den vara tillgänglig från offentliga IP-adresser? Vilken åtkomstnivå ska ges för att förhindra obehörig åtkomst?

Internet edge traffic (kallas även nord-syd-trafik)representerar nätverksanslutning mellan resurser som används av arbetsbelastningen och Internet. En strategi för Internet edge bör utformas för att minimera så många attacker från Internet som möjligt för att identifiera eller blockera hot. Det finns två huvudsakliga alternativ som ger säkerhetskontroller och övervakning:

  • Azure-lösningar som Azure Firewall och Web Application Firewall (WAF).

Azure tillhandahåller nätverkslösningar för att begränsa åtkomsten till enskilda tjänster. Använd flera säkerhetsnivåer, till exempel en kombination av IP-filtrering och brandväggsregler för att förhindra att programtjänster används av obehöriga aktörer.

  • Virtuella nätverkstillverk (NVA). Du kan använda Azure Firewall- eller tredjepartslösningar som finns i Azure Marketplace.

Azures säkerhetsfunktioner är tillräckliga för vanliga attacker, enkla att konfigurera och skala. Lösningar från tredje part har ofta avancerade funktioner, men de kan vara svåra att konfigurera om de inte integreras väl med infrastrukturkontrollanter. Ur ett kostnadsperspektiv tenderar Azure-alternativ att vara billigare än partnerlösningar.

Information som avslöjar programplattformen, till exempel HTTP-banderoller som innehåller ramverksinformation ( , ), används ofta av illvilliga aktörer när de mappar X-Powered-ByX-ASPNET-VERSION programmets attackvektorer.

HTTP-huvuden, felmeddelanden och sidfötter på webbplatser får inte innehålla information om programplattformen. Azure CDN kan användas för att separera värdplattformen från slutanvändare. Azure API Management erbjuder transformeringsprinciper som gör att du kan ändra HTTP-huvuden och ta bort känslig information.

Föreslagen åtgärd

Överväg att CDN för arbetsbelastningen för att begränsa exponeringen av plattformsdetaljer för angripare.

Läs mer

Azure CDN dokumentation

Kommunikation med backend-tjänster

De flesta arbetsbelastningar består av flera nivåer där flera tjänster kan hantera varje nivå. Vanliga exempel på nivåer är frontwebb, affärsprocesser, rapportering och analys, backend-infrastruktur och så vidare.

Programresurser som tillåter flera metoder för att publicera appinnehåll (t.ex. FTP, Web Deploy) bör ha de oanvända slutpunkterna inaktiverade. För Azure Web Apps är SCM den rekommenderade slutpunkten och kan skyddas separat med nätverksbegränsningar för känsliga scenarier.

Offentlig åtkomst till alla arbetsbelastningar bör godkännas och planeras korrekt, eftersom offentliga startpunkter utgör en viktig möjlig vektor för kompromettering. När du tillåter åtkomst från offentliga IP-adresser till alla backend-tjänster kan en begränsning av antalet tillåtna IP-adresser avsevärt minska risken för angrepp på tjänsten. Om du till exempel använder Azure Front Door kan du begränsa backend-nivåerna till att endast tillåta Front Door IP-adresser; eller om en partner använder ditt API begränsar du åtkomsten till endast deras offentliga IP-adresser.

Hur konfigurerar du trafikflödet mellan flera programnivåer?

Använd Azure Virtual Network-undernät för att allokera separata adressutrymmen för olika element eller nivåer i arbetsbelastningen. Definiera sedan olika åtkomstprinciper för att styra trafikflöden mellan dessa nivåer och begränsa åtkomsten. Du kan implementera dessa begränsningar via IP-filtrering eller brandväggsregler.

Behöver du begränsa åtkomsten till backend-infrastrukturen?

Begränsa åtkomsten till backend-tjänster till en minimal uppsättning offentliga IP-adresser med App Services IP-begränsningar eller Azure Front Door.

Webbprogram har vanligtvis en offentlig startpunkt och exponerar inte efterföljande API:er och databasservrar via Internet. Exponera endast en minimal uppsättning offentliga IP-adresser baserat på behov och endast de som verkligen behöver dem. När du till exempel använder gatewaytjänster, till exempel Azure Front Door, är det möjligt att begränsa åtkomsten till en uppsättning Front Door IP-adresser och låsa infrastrukturen helt.

Föreslagen åtgärd

  • Begränsa och skydda programpubliceringsmetoder.

Läs mer

Anslutning med Azure PaaS-tjänster

Arbetsbelastningen behöver ofta kommunicera med andra Azure-tjänster. Den kan till exempel behöva hämta hemligheter från Azure Key Vault. Undvik att skapa anslutningar via det offentliga Internet.

Använder arbetsbelastningen säkra sätt att komma åt Azure PaaS-tjänster?

Vanliga metoder för att komma åt PaaS-tjänster är tjänstslutpunkter eller privata länkar. Båda metoderna begränsar åtkomsten till PaaS-slutpunkter endast från auktoriserade virtuella nätverk, vilket effektivt minimerar dataintrångsrisker och tillhörande påverkan på programmets tillgänglighet.

Med tjänstslutpunkter är kommunikationsvägen säker eftersom du kan nå PaaS-slutpunkten utan att behöva en offentlig IP-adress i det virtuella nätverket. De flesta PaaS-tjänster stöder kommunikation via tjänstslutpunkter. En lista över allmänt tillgängliga tjänster finns i Virtual Network tjänstslutpunkter.

En annan mekanism är via Azure Private Link. Den privata slutpunkten använder en privat IP-adress från ditt VNet, vilket effektivt tar tjänsten till ditt VNet. Mer information finns i Vad är Azure Private Link?.

Tjänstslutpunkter ger åtkomst på tjänstnivå till en PaaS-tjänst, medan Private Link ger direkt åtkomst till en specifik PaaS-resurs för att minimera data exfiltreringsrisker, till exempel skadlig administratörsåtkomst. Private Link är en betald tjänst och har mätare för inkommande och utgående data som bearbetas. Privata slutpunkter debiteras också.

Hur styr du utgående trafik för Azure PaaS-tjänster där Private Link inte är tillgänglig?

Använd NVA:er och Azure Firewall (för protokoll som stöds) som en omvänd proxy för att begränsa åtkomsten till endast auktoriserade PaaS-tjänster för Private Link inte stöds. Använd Azure Firewall att skydda mot data exfiltreringsproblem.

Anslutning lokalt till molnet

I en hybridarkitektur körs arbetsbelastningen delvis lokalt och delvis i Azure. Ha säkerhetskontroller som kontrollerar trafik som kommer in i det virtuella Azure-nätverket från det lokala datacentret.

Hur upprättar du anslutningar mellan olika platser?

Använd Azure ExpressRoute för att konfigurera anslutning mellan platser till lokala nätverk. Den här tjänsten använder en privat, dedikerad anslutning via en anslutningsleverantör från tredje part. Den privata anslutningen utökar ditt lokala nätverk till Azure. På så sätt kan du minska risken för åtkomst till företagets informationstillgångar lokalt.

Hur kommer du åt virtuella datorer?

Använd Azure Bastion för att logga in på dina virtuella datorer och undvika exponering av offentligt Internet med hjälp av SSH och RDP med endast privata IP-adresser. Du kan också inaktivera RDP/SSH-åtkomst till virtuella datorer och använda VPN, ExpressRoute för att få åtkomst till dessa virtuella datorer för fjärrhantering.

Har molnet eller lokala virtuella datorer direkt Internetanslutning för användare som kan utföra interaktiva inloggningar?

Angripare söker ständigt igenom IP-intervall för offentliga moln efter öppna hanteringsportar och försöker utföra attacker till låg kostnad, till exempel vanliga lösenord och kända, oplanerade sårbarheter. Utveckla processer och procedurer för att förhindra direkt Internetåtkomst för virtuella datorer med loggning och övervakning för att genomdriva principer.

Hur dirigeras Internettrafik?

Bestäm hur internettrafik ska dirigeras. Du kan använda lokala säkerhetsenheter (kallas även tvingad tunneltrafik)eller tillåta anslutning via molnbaserade enheter för nätverkssäkerhet.

För produktionsföretag tillåter du att molnresurser startar och svarar på Internetbegäran direkt via molnnätverkssäkerhetsenheter som definieras av din Internet edge-strategi. Den här metoden passar Nth-datacenterparadigmet, det vill säga att Azure-datacenter är en del av ditt företag. Den skalas bättre för en företagsdistribution eftersom den tar bort hopp som lägger till belastning, svarstid och kostnad.

Ett annat alternativ är att tvinga tunneltrafik för all utgående Internettrafik från en lokal plats via plats-till-plats-VPN. Eller så kan du använda en WAN-länk mellan olika lokaler. Nätverkssäkerhetsteam har bättre säkerhet och insyn i Internettrafiken. Även om dina resurser i molnet försöker svara på inkommande begäranden från Internet, är svaren tvingad tunnel. Det här alternativet passar ett användningsfall för datacenterexpansion och kan fungera bra för ett snabbt konceptbevis, men skalas dåligt på grund av ökad trafikbelastning, svarstid och kostnad. Av dessa skäl rekommenderar vi att du undviker tvingad tunneling.

Nästa steg

Säkra slutpunkter

Information om hur du styr nästa hopp för trafik finns i Azure Virtual Network användardefinierade vägar (UDR).

Information om brandväggar för webbaserade program finns i Application Gateway WAF.

Information om nätverksutrustning från Azure Marketplace finns i Nätverksapparater.

Information om anslutningar mellan olika platser finns i Azures plats-till-plats-VPN eller ExpressRoute.

Information om hur du använder VPN/ExpressRoute för att få åtkomst till dessa virtuella datorer för fjärrhantering finns i Inaktivera RDP/SSH-åtkomst till Azure Virtual Machines.

Gå tillbaka huvudartikeln: Nätverkssäkerhet

Det är ofta så att arbetsbelastningen och stödkomponenterna i en molnarkitektur behöver åtkomst till externa tillgångar. Dessa tillgångar kan vara lokala, enheter utanför det huvudsakliga virtuella nätverket eller andra Azure-resurser. Dessa anslutningar kan vara via Internet eller nätverk i organisationen.

Huvudpunkter

  • Skydda icke-offentliga tillgängliga tjänster med nätverksbegränsningar och IP-brandvägg.
  • Använd nätverkssäkerhetsgrupper (NSG:er) eller Azure Firewall för att skydda och styra trafiken i det virtuella nätverket.
  • Använd tjänstslutpunkter eller Private Link åtkomst till Azure PaaS-tjänster.
  • Använd Azure Firewall för att skydda mot data exfiltreringsattacker.
  • Begränsa åtkomsten till backend-tjänster till en minimal uppsättning offentliga IP-adresser, endast de tjänster som verkligen behöver dem.
  • Använd Azure-kontroller över lösningar från tredje part för grundläggande säkerhetsbehov. De är enkla att konfigurera och skala.
  • Definiera åtkomstprinciper baserat på typen av arbetsbelastning och kontrollflöde mellan olika programnivåer.

Anslutning mellan nätverkssegment

När du utformar en arbetsbelastning börjar du vanligtvis med att etablera en Azure Virtual Network (VNet) i ett privat adressutrymme som har arbetsbelastningen. Ingen trafik tillåts som standard mellan två virtuella nätverk. Om det finns ett behov definierar du kommunikationssökvägarna uttryckligen. Ett sätt att ansluta virtuella nätverk är via peering för virtuella nätverk.

En viktig aspekt är att skydda de virtuella datorerna i det virtuella nätverket. Nätverksgränssnitten på de virtuella datorerna gör att de kan kommunicera med andra virtuella datorer, Internet och lokala nätverk. Om du vill styra trafik på virtuella datorer inom ett VNet (och undernät) använder du Programsäkerhetsgrupper (ASG:er). Du kan gruppera en uppsättning virtuella datorer under en programtagg och definiera trafikregler. Dessa regler tillämpas sedan på var och en av de underliggande virtuella datorerna.

Ett VNet är indelade i undernät baserat på affärsbehov. Tillhandahåll rätt nätverkssäkerhetskontroller som tillåter eller nekar inkommande nätverkstrafik till, eller utgående nätverkstrafik från, inom större nätverksutrymme.

Du kan också etablera virtuella datorer med privata IP-adresser för skydd. Dra nytta av Azure IP-adressen för att fastställa inkommande trafik, hur och var den översätts till det virtuella nätverket.

Ett bra IP-adresschema i Azure ger flexibilitet, utrymme för tillväxt och integrering med lokala nätverk. Schemat ser till att kommunikationen fungerar för distribuerade resurser, det minimerar systemens offentliga exponering och ger företaget flexibilitet i nätverket. Om schemat inte är utformat på rätt sätt kanske systemen inte kan kommunicera, och då krävs ytterligare arbete för att åtgärda problemet.

Hur isolerar och skyddar du trafik i det virtuella nätverket för arbetsbelastningar?