Implementera nätverkssegmenteringsmönster i Azure
Den här artikeln beskriver några Azure-nätverksfunktioner som skapar segment och begränsar åtkomsten till enskilda tjänster.
Viktigt
Justera din strategi för nätverkssegmentering med företagssegmenteringsmodellen. Detta minskar förvirring och utmaningar med olika tekniska team (nätverk, identitet, program och så vidare). Varje team bör inte utveckla egna segmenterings- och delegeringsmodeller som inte överensstämmer med varandra.
Huvudpunkter
- Skapa programvarudefinierade perimeterer i ditt nätverksfotavtryck och säkra kommunikationsvägar mellan dem.
- Upprätta en fullständig strategi för noll förtroendesegmentering.
- Anpassa tekniska team i företaget till mikrosegmenteringsstrategier för äldre program.
- Virtuella Azure-nätverk (VNet) skapas i privata adressutrymmen. Som standard tillåts ingen trafik mellan två virtuella nätverk. Öppna bara sökvägar när det verkligen behövs.
- Använd nätverkssäkerhetsgrupper (NSG) för att skydda kommunikationen mellan resurser i ett VNet.
- Använd programsäkerhetsgrupper (ASG: er) för att definiera trafikregler för de underliggande virtuella datorer som kör arbetsbelastningen.
- Använd Azure Firewall för att filtrera trafik som flödar mellan molnresurser, Internet och lokalt.
- Placera resurser i ett enda VNet om du inte behöver arbeta i flera regioner.
- Om du behöver finnas i flera regioner kan du ha flera virtuella nätverk som är anslutna via peering.
- Använd en topologi av nav och ekrar för avancerade konfigurationer. Ett VNet anges som en hubb i en viss region för alla andra virtuella nätverk som ekrar i den regionen.
Vad är segmentering?
Du kan skapa programvarudefinierade perimeterer i ditt nätverksfotavtryck med hjälp av de olika Azure-tjänsterna och -funktionerna. När en arbetsbelastning (eller delar av en viss arbetsbelastning) placeras i separata segment kan du styra trafiken från/till dessa segment för att skydda kommunikationsvägarna. Om ett segment komprometteras kan du bättre begränsa påverkan och förhindra att det sprids lateralt genom resten av nätverket. Den här strategin överensstämmer med huvudprincipen i den Noll förtroende-modell som publicerats av Microsoft och som syftar till att ge din organisation ett förstklassigt säkerhets tankesätt.
Föreslagna åtgärder
Skapa en strategi för riskbe inneslutning som blandar beprövade metoder, inklusive:
- Befintliga kontroller och metoder för nätverkssäkerhet
- Interna säkerhetskontroller som är tillgängliga i Azure
- Metoder för noll förtroende
Läs mer
Information om hur du skapar en segmenteringsstrategi finns i Företagssegmenteringsstrategi.
Azure-funktioner för segmentering
När du använder Azure har du många segmenteringsalternativ.
Prenumeration:En konstruktion på hög nivå som ger plattformsdriven separation mellan entiteter. Den är avsedd att sudda ut gränserna mellan stora organisationer inom ett företag, och kommunikationen mellan resurser i olika prenumerationer måste etableras uttryckligen.
Virtual Network (VNets):Skapas i en prenumeration i privata adressutrymmen. De tillhandahåller inneslutning på nätverksnivå av resurser utan att trafik tillåts som standard mellan två virtuella nätverk. Precis som prenumerationer måste all kommunikation mellan virtuella nätverk uttryckligen etableras.
Nätverkssäkerhetsgrupper (NSG):En åtkomstkontrollmekanism för att styra trafiken mellan resurser i ett virtuellt nätverk och även med externa nätverk, till exempel Internet, andra virtuella nätverk. NSG:er kan ta segmenteringsstrategin till en detaljerad nivå genom att skapa perimeterer för ett undernät, en virtuell dator eller en grupp med virtuella datorer. Information om möjliga åtgärder med undernät i Azure finns i Undernät (virtuella Azure-nätverk).
Programsäkerhetsgrupper (ASG:er):Liknar NSG:er men refereras till med en programkontext. Det gör att du kan gruppera en uppsättning virtuella datorer under en programtagg och definiera trafikregler som sedan tillämpas på var och en av de underliggande virtuella datorerna.
Azure Firewall:En molnbaserad inbyggd tillståndsfull brandvägg som en tjänst, som kan distribueras i ditt VNet eller i Azure Virtual WAN-hubbdistributioner för filtrering av trafik som flödar mellan molnresurser, Internet och lokalt. Du skapar regler eller principer (med hjälp Azure Firewall eller Azure Firewall Manager) och anger tillåt/neka trafik med layer 3 till layer 7-kontroller. Du kan också filtrera trafik som går till Internet med hjälp av både Azure Firewall och tredje part genom att dirigera en del eller all trafik via tredjeparts säkerhetsleverantörer för avancerad filtrering & av användarskydd.
Segmenteringsmönster
Här är några vanliga mönster för segmentering av en arbetsbelastning i Azure ur ett nätverksperspektiv. Varje mönster ger olika typer av isolering och anslutningsmöjligheter. Välj ett mönster baserat på organisationens behov.
Mönster 1: Enskilt VNet
Alla komponenter i arbetsbelastningen finns i ett enda VNet. Det här mönstret är lämpligt om du arbetar i en enda region eftersom ett VNet inte kan sträcka sig över flera regioner.
Vanliga sätt att skydda segment, till exempel undernät eller programgrupper, är att använda NSG:er och ASG:er. Du kan också använda en nätverksvirtualiserad installation (NVA) från Azure Marketplace eller Azure Firewall för att framtvinga och skydda den här segmenteringen.
I den här avbildningen har Subnet1 databasens arbetsbelastning. Undernät2 har webbarbetsbelastningarna. Du kan konfigurera NSG:er som tillåter att Subnet1 endast kommunicerar med Subnet2 och Subnet2 bara kan kommunicera med Internet.
Tänk dig ett användningsfall där du har flera arbetsbelastningar som placeras i separata undernät. Du kan placera kontroller som gör att en arbetsbelastning kan kommunicera med en annan arbetsbelastnings backend.
Mönster 2: Flera virtuella nätverk som kommunicerar via med peering
Resurserna sprids eller replikeras i flera virtuella nätverk. De virtuella nätverken kan kommunicera via peering. Det här mönstret är lämpligt när du behöver gruppera program i separata virtuella nätverk. Eller så behöver du flera Azure-regioner. En fördel är den inbyggda segmenteringen eftersom du uttryckligen måste peer-peera ett VNet till ett annat. Peering för virtuella nätverk är inte transitivt. Du kan segmentera ytterligare inom ett VNet med hjälp av NSG:er och ASG:er enligt mönster 1.
Mönster 3: Flera virtuella nätverk i en hubb- och ekermodell
Ett VNet anges som en hubb i en viss region för alla andra virtuella nätverk som ekrar i den regionen. Hubben och dess ekrar är anslutna via peering. All trafik passerar genom hubben som kan fungera som en gateway till andra hubbar i olika regioner. I det här mönstret konfigureras säkerhetskontrollerna vid hubbarna så att de kan segmentera och styra trafiken mellan andra virtuella nätverk på ett skalbart sätt. En fördel med det här mönstret är att när nätverkstopologin växer växer inte säkerhetspositionens omkostnader (förutom när du expanderar till nya regioner).
Det rekommenderade interna alternativet är Azure Firewall. Det här alternativet fungerar i både virtuella nätverk och prenumerationer för att styra trafikflöden med layer 3-till-layer 7-kontroller. Du kan definiera kommunikationsregler och tillämpa dem konsekvent. Här är några exempel:
- VNet 1 kan inte kommunicera med VNet 2, men det kan kommunicera VNet 3.
- VNet 1 kan inte komma åt offentligt Internet förutom *.github.com.
Med Azure Firewall Manager förhandsgranskning kan du centralt hantera principer i flera Azure Firewalls och göra det möjligt för DevOps-team att ytterligare anpassa lokala principer.
Tips
Här är några resurser som illustrerar etablering av resurser i en topologi med nav och ekrar:
Sandbox-miljö för nav- och ekertopologi.
Designövervägandena beskrivs i nätverkstopologin hub-spoke i Azure.
Mönsterjämförelse
| Överväganden | Mönster 1 | Mönster 2 | Mönster 3 |
|---|---|---|---|
| Anslutning/routning: hur varje segment kommunicerar med varandra | Systemroutning ger standardanslutning till alla arbetsbelastningar i alla undernät. | Samma som ett mönster 1. | Ingen standardanslutning mellan ekernätverk. En Layer 3-router, till exempel Azure Firewall, i hubben krävs för att aktivera anslutningen. |
| Filtrering av trafik på nätverksnivå | Trafik tillåts som standard. Använd NSG, ASG för att filtrera trafik. | Samma som ett mönster 1. | Trafik mellan virtuella ekernätverk nekas som standard. Öppna valda sökvägar för att tillåta trafik Azure Firewall konfiguration. |
| Centraliserad loggning | NSG, ASG-loggar för det virtuella nätverket. | Aggregera NSG, ASG-loggar över alla virtuella nätverk. | Azure Firewall loggar all godkänd/nekad trafik som skickas via hubben. Visa loggarna i Azure Monitor. |
| Oavsiktliga offentliga slutpunkter | DevOps kan av misstag öppna en offentlig slutpunkt via felaktiga NSG- eller ASG-regler. | Samma som ett mönster 1. | Offentlig slutpunkt som öppnas av misstag i en eker aktiverar inte åtkomst eftersom returpaketet släpps via tillståndsful brandvägg (asymmetrisk routning). |
| Skydd på programnivå | NSG eller ASG ger endast stöd för nätverkslager. | Samma som ett mönster 1. | Azure Firewall stöder FQDN-filtrering för HTTP/S och MSSQL för utgående trafik och över virtuella nätverk. |
Nästa steg
Relaterade länkar
Information om hur du ställer in peering finns i Peering för virtuella nätverk.
Metodtips för att använda Azure Firewall i olika konfigurationer finns i Azure Firewall guide för arkitektur.
Information om olika åtkomstprinciper och kontrollflöden i ett VNet finns i Azure Virtual Network Subnet
Tillbaka till huvudartikeln: Nätverkssäkerhet
En enhetlig strategi för företagssegmentering hjälper tekniska team att konsekvent segmentera åtkomsten med hjälp av nätverk, program, identiteter och andra åtkomstkontroller. Skapa segmentering i ditt nätverksfotavtryck genom att definiera perimeterer. De främsta orsakerna till segmentering är:
- Möjligheten att gruppera relaterade tillgångar som ingår i (eller stöder) arbetsbelastningsåtgärder.
- Isolering av resurser.
- Styrningsprinciper som angetts av organisationen.
Anta att hot är det rekommenderade cybersäkerhets tankesättet och möjligheten att hindra en angripare är avgörande för att skydda informationssystem. Modellera en angripare som kan få ett fäste vid olika punkter i arbetsbelastningen och upprätta kontroller för att minimera ytterligare expansion.
Nätverkskontroller kan skydda interaktioner mellan perimetern. Den här metoden kan stärka säkerhetspositionen och innehålla risker vid ett intrång eftersom kontrollerna kan identifiera, innehålla och hindra angripare från att få åtkomst till en hel arbetsbelastning.
Inneslutning av attackvektorer i en miljö är kritiskt. Men för att vara effektiva i molnmiljöer kan traditionella metoder visa sig otillräckliga och säkerhetsorganisationer kan behöva utveckla sina metoder.
Traditionella segmenteringsmetoder uppnår vanligtvis inte sina mål eftersom de inte har utvecklats i en metod för att anpassa sig till användningsfall och programarbetsbelastningar. Detta leder ofta till överväldigande komplexitet som kräver breda brandväggundantag.
En växande rekommendation för bästa praxis är att införa en Noll förtroende baserat på användar-, enhets- och programidentiteter. Till skillnad från nätverksåtkomstkontroller som baseras på element som käll- och mål-IP-adress, protokoll och portnummer, tillämpar och validerar Noll förtroende åtkomstkontroll vid åtkomsttiden. På så sätt undviker du behovet av att spela ett förutsägelsespel för en hel distribution, nätverk eller undernät – det är bara målresursen som behöver tillhandahålla de nödvändiga åtkomstkontrollerna.
- Azure-nätverkssäkerhetsgrupper kan användas för grundläggande nivå 3- och 4-åtkomstkontroller mellan virtuella Azure-nätverk, deras undernät och Internet.
- Azure Web Application Firewall och Azure Firewall kan användas för mer avancerade nätverksåtkomstkontroller som kräver stöd för programlager.
- Local Admin Password Solution (LAPS) eller en tredjepartsadministratör Privileged Access Management kan ange starka lokala administratörslösenord och just-in-time-åtkomst till dem.
Hur implementerar organisationen nätverkssegmentering?