Säkerhet för trafikflöden i Azure
Nord-syd-trafik
Nord-syd avser den trafik som flödar in och ut från ett datacenter. Till exempel trafik från ett program till en backend-tjänst. Den här typen av trafik är ett typiskt mål för attackvektorer eftersom den flödar över det offentliga Internet. Rätt nätverkskontroller måste finnas på plats så att frågorna till och från ett datacenter är säkra.
Tänk dig ett typiskt flöde i ett Azure Kubernetes Service(AKS)-kluster. Klustret tar emot inkommande (ingress)-trafik från HTTP-begäranden. Klustret kan också skicka utgående (utgående) trafik för att skicka frågor till andra tjänster, till exempel hämta en containeravbildning.
Din design kan använda Web Application Firewall på Application Gateway för att skydda inkommande trafik och Azure Firewall för att skydda utgående (utgående) trafik.
Öst-väst-trafik
Öst-väst-trafik avser trafik mellan eller inom datacenter. För den här typen av trafik kommunicerar flera resurser i nätverksinfrastrukturen med varandra. Dessa resurser kan vara virtuella nätverk, undernät i dessa virtuella nätverk och så vidare. Säkerheten för öst-västtrafik kan förbises även om den utgör en stor del av arbetsbelastningstrafiken. Det förutsätts att brandväggarna i infrastrukturen är tillräckliga för att blockera attacker. Kontrollera att det finns rätt kontroller mellan nätverksresurser.
Genom att utöka exemplet med AKS-klustret till det här konceptet är öst-väst-trafik trafiken i klustret. Till exempel kommunikation mellan poddar, till exempel ingress-kontrollanten och arbetsbelastningen. Om din arbetsbelastning består av flera program hamnar kommunikationen mellan dessa program i den här kategorin.
Genom att använda Kubernetes-nätverksprinciper kan du begränsa vilka poddar som kan kommunicera, med början från en Zero-Trust-princip och sedan öppna specifika kommunikationsvägar efter behov.
Tips
Här är resurserna för föregående AKS-exempel:
GitHub: Azure Kubernetes Service (AKS) Secure Baseline Reference Implementation.
Designövervägandena beskrivs i Azure Kubernetes Service (AKS) produktionsbaslinje.
Dataexfiltrering
Data exfiltrering är ett vanligt angrepp där en intern eller extern illvillig aktör gör en obehörig dataöverföring. Åtkomsten sker oftast på grund av bristen på nätverkskontroller.
NVA-lösningar (Network Virtual Appliance) och Azure Firewall (för protokoll som stöds) kan användas som en omvänd proxy för att begränsa åtkomsten till endast auktoriserade PaaS-tjänster för tjänster där Private Link ännu inte stöds (Azure Firewall).
Konfigurera Azure Firewall eller en nästa generations brandvägg från tredje part för att skydda mot data exfiltreringsproblem.
Finns det kontroller i arbetsbelastningsdesignen för att identifiera och skydda mot data exfiltrering?
Välj en djupskyddsdesign som kan skydda nätverkskommunikationen i olika lager, till exempel en topologi av nav och ekrar. Azure har flera kontroller som stöder den skiktade designen:
- Använd Azure Firewall att tillåta eller neka trafik med layer 3- till layer 7-kontroller.
- Använd Azure Virtual Network användardefinierade vägar (UDR) för att styra nästa hopp för trafik.
- Kontrollera trafik med nätverkssäkerhetsgrupper (NSG: er) mellan resurser i ett virtuellt nätverk, Internet och andra virtuella nätverk.
- Skydda slutpunkterna via Azure PrivateLink och privata slutpunkter.
- Identifiera och skydda på djupa nivåer genom paketinspektion.
- Identifiera attacker och svara på aviseringar via Microsoft Sentinel och Microsoft Defender for Cloud.
Viktigt
Nätverkskontroller räcker inte för att blockera data exfiltreringsförsök. Härda skyddet med rätt identitetskontroller, nyckelskydd och kryptering. Mer information finns i följande avsnitt:
Har du övervägt en autjämnare för molnprogramsäkerhet (CASB) för den här arbetsbelastningen?
CASB:er är en central kontrollpunkt för att genomdriva principer. De ger omfattande synlighet, kontroll över dataresor och avancerad analys för att identifiera och bekämpa cyberhot i alla Molntjänster från Microsoft och tredje part.
Läs mer
Relaterade länkar
- Azure Firewall
- Nätverkssäkerhetsgrupper (NSG)
- Vad är Azure Web Application Firewall på Azure Application Gateway?
- Vad är Azure Privat Link?
Gå tillbaka till huvudartikeln: Nätverkssäkerhet
Skydda data överallt, inklusive molntjänster, mobila enheter, arbetsstationer eller samarbetsplattformar. Förutom att använda mekanismer för åtkomstkontroll och kryptering kan du tillämpa starka nätverkskontroller som identifierar, övervakar och innehåller attacker.
Huvudpunkter
- Kontrollera nätverkstrafik mellan undernät (öst-väst) och programnivåer (nord-syd).
- Använd ett djupskiktat skydd som börjar med att Zero-Trust principer.
- Använd en autjämnare för molnprogramsäkerhet (CASB).
Öst-väst- och nord-syd-trafik
När du analyserar nätverksflödet för en arbetsbelastning ska du skilja mellan öst-väst-trafik från nord-syd-trafik. De flesta molnarkitekturer använder en kombination av båda typerna.
Hanteras och skyddas trafiken mellan undernät, Azure-komponenter och nivåer för arbetsbelastningen?