Bästa praxis i Azure för nätverkssäkerhet

  • Artikel
  • 15 minuter för att läsa

I den här artikeln beskrivs en samling metodtips för Azure för att förbättra nätverkssäkerheten. Dessa metodtips härleds från vår erfarenhet av Azure-nätverk och kundupplevelser som du själv.

I den här artikeln förklaras följande för varje metod:

  • Vad bästa praxis är
  • Varför du vill aktivera den bästa praxis
  • Vad kan vara resultatet om du inte aktiverar bästa praxis
  • Möjliga alternativ till bästa praxis
  • Hur du kan lära dig att aktivera bästa praxis

Dessa metodtips baseras på ett konsensusyttande och Azure-plattformsfunktioner och -funktionsuppsättningar, som de fanns när den här artikeln skrevs. Åsikter och tekniker ändras med tiden och den här artikeln kommer att uppdateras regelbundet för att återspegla dessa ändringar.

Använda starka nätverkskontroller

Du kan ansluta virtuella Azure-datorer (VM) och enheter till andra nätverksanslutna enheter genom att placera dem i virtuella Azure-nätverk. Det innebär att du kan ansluta virtuella nätverkskort till ett virtuellt nätverk för att tillåta TCP/IP-baserad kommunikation mellan nätverksaktiverade enheter. Virtuella datorer som är anslutna till ett virtuellt Azure-nätverk kan ansluta till enheter i samma virtuella nätverk, olika virtuella nätverk, Internet eller dina egna lokala nätverk.

När du planerar nätverket och säkerheten för ditt nätverk rekommenderar vi att du centraliserar:

  • Hantering av kärnnätverksfunktioner som ExpressRoute, etablering av virtuella nätverk och undernät samt IP-adressering.
  • Styrning av nätverkssäkerhetselement, till exempel funktioner för virtuella nätverksinstallationer som ExpressRoute, etablering av virtuella nätverk och undernät samt IP-adressering.

Om du använder en gemensam uppsättning hanteringsverktyg för att övervaka nätverket och nätverkets säkerhet får du en tydlig insyn i båda. En enkel enhetlig säkerhetsstrategi minskar fel eftersom det ökar den mänskliga förståelsen och tillförlitligheten för automatisering.

Segmentera undernät logiskt

Virtuella Azure-nätverk liknar lokala nätverk i ditt lokala nätverk. Tanken bakom ett virtuellt Azure-nätverk är att du skapar ett nätverk, baserat på ett enda privat IP-adressutrymme, där du kan placera alla dina virtuella Azure-datorer. De privata IP-adressutrymmen som är tillgängliga finns i intervallen klass A (10.0.0.0/8), klass B (172.16.0.0/12) och klass C (192.168.0.0/16).

Metodtips för att logiskt segmentera undernät är:

Bästa praxis: Tilldela inte tillåt-regler med breda intervall (till exempel tillåt 0.0.0.0 till 255.255.255.255.255).
Information: Se till att felsökningsprocedurer avråder från eller förbjuder att dessa typer av regler konfigureras. Dessa regler leder till en falsk säkerhetsseroll och hittas och utnyttjas ofta av röda team.

Bästa praxis: Segmentera det större adressutrymmet i undernät.
Information: Använd CIDR-baseradeundernätsprinciper för att skapa undernät.

Bästa praxis: Skapa nätverksåtkomstkontroller mellan undernät. Routning mellan undernät sker automatiskt och du behöver inte konfigurera routningstabeller manuellt. Som standard finns det inga nätverksåtkomstkontroller mellan de undernät som du skapar i ett virtuellt Azure-nätverk.
Information: Använd en nätverkssäkerhetsgrupp för att skydda mot oönskad trafik till Azure-undernät. Nätverkssäkerhetsgrupper är enkla, tillståndsfulla paketinspektionsenheter som använder 5-tuppel-metoden (käll-IP, källport, mål-IP, målport och Layer 4-protokoll) för att skapa regler för att tillåta/neka för nätverkstrafik. Du tillåter eller nekar trafik till och från en enskild IP-adress, till och från flera IP-adresser eller till och från hela undernät.

När du använder nätverkssäkerhetsgrupper för nätverksåtkomstkontroll mellan undernät kan du placera resurser som tillhör samma säkerhetszon eller roll i sina egna undernät.

Bästa praxis: Undvik små virtuella nätverk och undernät för att säkerställa enkelhet och flexibilitet.
Information: De flesta organisationer lägger till fler resurser än vad som ursprungligen planerats och omallokering av adresser är arbetsintensivt. Om du använder små undernät får du ett begränsat säkerhetsvärde, och om du mappar en nätverkssäkerhetsgrupp till varje undernät ökar kostnaderna. Definiera undernät brett för att säkerställa att du har flexibilitet för tillväxt.

Bästa praxis: Förenkla hanteringen av nätverkssäkerhetsgrupper genom att definiera programsäkerhetsgrupper.
Information: Definiera en programsäkerhetsgrupp för listor med IP-adresser som du tror kan komma att ändras i framtiden eller användas i många nätverkssäkerhetsgrupper. Ge programsäkerhetsgrupper ett tydligt namn så att andra kan förstå deras innehåll och syfte.

Använda en Noll förtroende metod

Perimeterbaserade nätverk utgår från antagandet att alla system i ett nätverk kan vara betrodda. Men dagens anställda har åtkomst till organisationens resurser var de än befinner sig på en mängd olika enheter och appar, vilket gör perimetersäkerhetskontroller irrelevanta. Principer för åtkomstkontroll som bara fokuserar på vem som kan komma åt en resurs räcker inte. För att hantera balansen mellan säkerhet och produktivitet måste säkerhetsadministratörer också ta med i hur en resurs används.

Nätverk måste utvecklas från traditionella försvar eftersom nätverk kan vara sårbara för överträdelser: en angripare kan kompromettera en enskild slutpunkt inom den betrodda gränsen och snabbt expandera ett fäste över hela nätverket. Noll förtroende eliminerar begreppet förtroende baserat på nätverksplats inom en perimeter. I Noll förtroende använder enhets- och användarförtroendeanspråk för att porta åtkomsten till organisationsdata och resurser. För nya initiativ använder Noll förtroende metoder som validerar förtroende vid tidpunkten för åtkomst.

Bästa praxis är:

Bästa praxis: Ge villkorlig åtkomst till resurser baserat på enhet, identitet, kontroll, nätverksplats med mera.
Information: Med villkorsstyrd åtkomst i Azure AD kan du tillämpa rätt åtkomstkontroller genom att implementera automatiska beslut om åtkomstkontroll baserat på de nödvändiga villkoren. Mer information finns i Hantera åtkomst till Azure-hantering med villkorlig åtkomst.

Bästa praxis: Aktivera portåtkomst endast efter godkännande av arbetsflödet.
Information: Du kan använda just-in-time-åtkomst till virtuella datorer i Microsoft Defender for Cloud för att låsa inkommande trafik till dina virtuella Azure-datorer, vilket minskar exponeringen för attacker samtidigt som du enkelt kan ansluta till virtuella datorer när det behövs.

Bästa praxis: Bevilja tillfälliga behörigheter för att utföra privilegierade uppgifter, vilket förhindrar skadliga eller obehöriga användare från att få åtkomst när behörigheterna har upphört att gälla. Åtkomst beviljas endast när användare behöver den.
Information: Använd just-in-time-åtkomst i Azure AD Privileged Identity Management eller i en lösning från tredje part för att bevilja behörighet att utföra privilegierade uppgifter.

Noll förtroende är nästa utveckling inom nätverkssäkerhet. Tillståndet för cyberattacker gör att organisationer måste ha ett tänkesätt som "förutsätter intrång", men den här metoden bör inte vara begränsad. Noll förtroende skyddar företagets data och resurser samtidigt som organisationer kan skapa en modern arbetsplats med hjälp av tekniker som gör det möjligt för anställda att vara produktiva när som helst, var som helst och på vilket sätt som helst.

Kontrollera routningsbeteende

När du lägger till en virtuell dator i ett virtuellt Azure-nätverk kan den virtuella datorn ansluta till valfri annan virtuell dator i samma virtuella nätverk, även om de andra virtuella datorerna finns i olika undernät. Detta är möjligt eftersom en samling systemvägar som är aktiverade som standard tillåter den här typen av kommunikation. Dessa standardvägar gör att virtuella datorer i samma virtuella nätverk kan initiera anslutningar med varandra och med Internet (endast för utgående kommunikation till Internet).

Även om standardsystemvägarna är användbara för många distributionsscenarier finns det tillfällen när du vill anpassa routningskonfigurationen för dina distributioner. Du kan konfigurera nexthop-adressen för att nå specifika mål.

Vi rekommenderar att du konfigurerar användardefinierade vägar när du distribuerar en säkerhetsinstallation för ett virtuellt nätverk. Vi pratar om detta i ett senare avsnitt som heter skydda dina kritiska Azure-tjänstresurser till endast dina virtuella nätverk.

Anteckning

Användardefinierade vägar krävs inte och standardsystemvägarna fungerar vanligtvis.

Använda virtuella nätverksutrustning

Nätverkssäkerhetsgrupper och användardefinierad routning kan ge ett visst mått på nätverkssäkerhet i OSI-modellens nätverks- och transportlager. Men i vissa situationer vill eller måste du aktivera säkerhet på höga nivåer i stacken. I sådana situationer rekommenderar vi att du distribuerar säkerhetsutrustning för virtuella nätverk som tillhandahålls av Azure-partner.

Azure-nätverkssäkerhetsapparater kan ge bättre säkerhet än vad kontroller på nätverksnivå ger. Nätverkssäkerhetsfunktionerna i säkerhetsfunktioner för virtuella nätverk omfattar:

  • Brandvägg
  • Intrångsidentifiering/intrångsskydd
  • Sårbarhetshantering
  • Programregleringstyp
  • Nätverksbaserad avvikelseidentifiering
  • Webbfiltrering
  • Antivirus
  • Botnet-skydd

Om du vill hitta tillgängliga säkerhetsutrustning för virtuella Azure-nätverk går du till Azure Marketplace och söker efter "säkerhet" och "nätverkssäkerhet".

Distribuera perimeternätverk för säkerhetszoner

Ett perimeternätverk (även kallat DMZ) är ett fysiskt eller logiskt nätverkssegment som ger ett extra säkerhetslager mellan dina tillgångar och Internet. Specialiserade enheter för nätverksåtkomstkontroll i gränsen till ett perimeternätverk tillåter endast önskad trafik till det virtuella nätverket.

Perimeternätverk är användbara eftersom du kan fokusera hanteringen av nätverksåtkomstkontroll, övervakning, loggning och rapportering på enheterna vid gränsen till ditt virtuella Azure-nätverk. I ett perimeternätverk aktiverar du vanligtvis DDoS-skydd (Distributed Denial of Service), intrångsidentifiering/intrångsskyddssystem (IDS/IPS), brandväggsregler och principer, webbfiltrering, nätverksskydd mot skadlig kod med mera. Nätverkssäkerhetsenheterna finns mellan Internet och ditt virtuella Azure-nätverk och har ett gränssnitt i båda nätverken.

Även om detta är den grundläggande utformningen av ett perimeternätverk finns det många olika designer, som back-to-back, tri-homed och multi-homed.

Baserat på det Noll förtroende vi nämnde tidigare rekommenderar vi att du överväger att använda ett perimeternätverk för alla högsäkerhetsdistributioner för att förbättra nivån av nätverkssäkerhet och åtkomstkontroll för dina Azure-resurser. Du kan använda Azure eller en lösning från tredje part för att tillhandahålla ytterligare ett säkerhetslager mellan dina tillgångar och Internet:

  • Inbyggda Azure-kontroller. Azure Firewall och brandväggen för webbaserade program i Application Gateway erbjuder grundläggande säkerhet med en fullständigt tillståndsfull brandvägg som en tjänst, inbyggd hög tillgänglighet, obegränsad molnskalbarhet, FQDN-filtrering, stöd för OWASP-kärnregeluppsättningar samt enkel installation och konfiguration.
  • Erbjudanden från tredje part. Sök i Azure Marketplace efter nästa generations brandvägg (NGFW) och andra tredjepartserbjudanden som tillhandahåller välbekanta säkerhetsverktyg och avsevärt förbättrade nivåer av nätverkssäkerhet. Konfigurationen kan vara mer komplex, men med ett tredjepartserbjudande kan du använda befintliga funktioner och kompetensuppsättningar.

Många organisationer har valt hybrid-IT-vägen. Med hybrid-IT finns vissa av företagets informationstillgångar i Azure och andra finns kvar lokalt. I många fall körs vissa komponenter i en tjänst i Azure medan andra komponenter är lokala.

I ett hybrid-IT-scenario finns det vanligtvis någon typ av anslutning mellan olika platser. Med anslutning mellan olika platser kan företaget ansluta sina lokala nätverk till virtuella Azure-nätverk. Det finns två tillgängliga anslutningslösningar på flera platser:

  • Plats-till-plats-VPN. Det är en betrodd, tillförlitlig och etablerad teknik, men anslutningen sker via Internet. Bandbredden är begränsad till högst cirka 1,25 Gbit/s. Plats-till-plats-VPN är ett önskvärt alternativ i vissa scenarier.
  • Azure ExpressRoute. Vi rekommenderar att du använder ExpressRoute för din anslutning mellan olika platser. Med ExpressRoute kan du utöka ditt lokala nätverk till Microsoft-molnet över en privat anslutning som stöds av en anslutningsprovider. Med ExpressRoute kan du upprätta anslutningar till Microsofts molntjänster som Azure, Microsoft 365 och Dynamics 365. ExpressRoute är en dedikerad WAN-länk mellan din lokala plats eller en Microsoft Exchange värdleverantör. Eftersom det här är en Telco-anslutning färdas inte dina data via Internet, så de exponeras inte för de potentiella riskerna med Internetkommunikation.

Platsen för ExpressRoute-anslutningen kan påverka brandväggens kapacitet, skalbarhet, tillförlitlighet och synlighet för nätverkstrafik. Du måste identifiera var du ska avsluta ExpressRoute i befintliga (lokala) nätverk. Du kan:

  • Avsluta utanför brandväggen (paradigmet för perimeternätverk) om du behöver insyn i trafiken, om du behöver fortsätta med en befintlig metod för att isolera datacenter, eller om du enbart lägger extranätresurser på Azure.
  • Avsluta inuti brandväggen (paradigmet för nätverkstillägg). Det här är standardrekommendationen. I alla andra fall rekommenderar vi att du behandlar Azure som ett nth-datacenter.

Optimera drifttid och prestanda

Om en tjänst är nere går det inte att komma åt information. Om prestandan är så dålig att data inte kan användas kan du betrakta data som otillgängliga. Ur ett säkerhetsperspektiv måste du göra allt du kan för att se till att dina tjänster har optimal drifttid och prestanda.

En populär och effektiv metod för att förbättra tillgänglighet och prestanda är belastningsutjämning. Belastningsutjämning är en metod för att distribuera nätverkstrafik mellan servrar som ingår i en tjänst. Om du till exempel har frontend-webbservrar som en del av din tjänst kan du använda belastningsutjämning för att distribuera trafiken över flera frontend-webbservrar.

Den här trafikdistributionen ökar tillgängligheten eftersom om en av webbservrarna blir otillgänglig slutar lastbalanseraren att skicka trafik till den servern och omdirigerar den till de servrar som fortfarande är online. Belastningsutjämning hjälper också till med prestanda eftersom processor-, nätverks- och minnesbelastningen för att betjäna begäranden fördelas på alla belastningsutjämnade servrar.

Vi rekommenderar att du använder belastningsutjämning när du kan och efter behov för dina tjänster. Följande är scenarier på både nivån för det virtuella Azure-nätverket och den globala nivån, tillsammans med alternativ för belastningsutjämning för var och en.

Scenario: Du har ett program som:

  • Kräver begäranden från samma användar-/klientsession för att nå samma virtuella serverdator. Exempel på detta är kundvagnsappar och webb-e-postservrar.
  • Accepterar endast en säker anslutning, så okrypterad kommunikation till servern är inte ett acceptabelt alternativ.
  • Kräver att flera HTTP-begäranden på samma långvariga TCP-anslutning dirigeras eller belastningsutjämnas till olika backend-servrar.

Lastbalanseringsalternativ: Använd Azure Application Gateway, en lastbalanserare för HTTP-webbtrafik. Application Gateway har stöd för TLS-kryptering från slutpunkt till slutpunkt och TLS-avslutning vid gatewayen. Webbservrar kan sedan avlastas från krypterings- och dekrypteringskostnader och trafik som flödar okrypterat till backend-servrarna.

Scenario: Du måste belastningsutjämna inkommande anslutningar från Internet mellan dina servrar som finns i ett virtuellt Azure-nätverk. Scenarier är när du:

  • Ha tillståndslösa program som accepterar inkommande begäranden från Internet.
  • Kräver inte fästsessioner eller TLS-avlastning. Fästsessioner är en metod som används med belastningsutjämning för program för att uppnå servertillhörighet.

Alternativ för belastningsutjämning: Använd Azure Portal för att skapa en extern lastbalanserare som sprider inkommande begäranden över flera virtuella datorer för att ge en högre tillgänglighetsnivå.

Scenario: Du måste belastningsutjämna anslutningar från virtuella datorer som inte är på Internet. I de flesta fall initieras de anslutningar som godkänns för belastningsutjämning av enheter i ett virtuellt Azure-nätverk, till exempel SQL Server instanser eller interna webbservrar.
Alternativ för belastningsutjämning: Använd Azure Portal för att skapa en intern lastbalanserare som sprider inkommande begäranden över flera virtuella datorer för att ge en högre tillgänglighetsnivå.

Scenario: Du behöver global belastningsutjämning eftersom du:

  • Ha en molnlösning som är brett fördelad över flera regioner och som kräver högsta möjliga drifttid (tillgänglighet).
  • Behöver den högsta möjliga drifttiden för att se till att tjänsten är tillgänglig även om ett helt datacenter blir otillgängligt.

Alternativ för belastningsutjämning: Använd Azure Traffic Manager. Traffic Manager gör det möjligt att belastningsutjämna anslutningar till dina tjänster baserat på användarens plats.

Om användaren till exempel gör en begäran till din tjänst från EU dirigeras anslutningen till dina tjänster som finns i ett EU-datacenter. Den här delen Traffic Manager global belastningsutjämning hjälper till att förbättra prestandan eftersom det går snabbare att ansluta till närmaste datacenter än att ansluta till datacenter som ligger långt bort.

Inaktivera RDP/SSH-åtkomst till virtuella datorer

Du kan nå virtuella Azure-datorer med hjälp av Remote Desktop Protocol (RDP) och SSH-protokollet (Secure Shell). Dessa protokoll möjliggör hantering av virtuella datorer från fjärranslutna platser och är standard i datacenterberäkning.

Det potentiella säkerhetsproblemet med att använda dessa protokoll via Internet är att angripare kan använda råstyrkkraftsteknik för att få åtkomst till virtuella Azure-datorer. När angripare får åtkomst kan de använda den virtuella datorn som en startpunkt för att kompromettera andra datorer i det virtuella nätverket eller till och med attackera nätverksanslutna enheter utanför Azure.

Vi rekommenderar att du inaktiverar direkt RDP- och SSH-åtkomst till dina virtuella Azure-datorer från Internet. När direkt RDP- och SSH-åtkomst från Internet har inaktiverats har du andra alternativ som du kan använda för att komma åt dessa virtuella datorer för fjärrhantering.

Scenario: Gör det möjligt för en enskild användare att ansluta till ett virtuellt Azure-nätverk via Internet.
Alternativ: Punkt-till-plats-VPN är en annan term för en VPN-klient-/serveranslutning med fjärråtkomst. När punkt-till-plats-anslutningen har upprättats kan användaren använda RDP eller SSH för att ansluta till alla virtuella datorer som finns i det virtuella Azure-nätverket som användaren är ansluten till via punkt-till-plats-VPN. Detta förutsätter att användaren har behörighet att nå de virtuella datorerna.

Punkt-till-plats-VPN är säkrare än direkta RDP- eller SSH-anslutningar eftersom användaren måste autentisera två gånger innan den ansluter till en virtuell dator. Först måste användaren autentiseras (och auktoriserats) för att upprätta punkt-till-plats-VPN-anslutningen. För det andra måste användaren autentiseras (och ha behörighet) för att upprätta RDP- eller SSH-sessionen.

Scenario: Gör det möjligt för användare i ditt lokala nätverk att ansluta till virtuella datorer i ditt virtuella Azure-nätverk.
Alternativ: Ett plats-till-plats-VPN ansluter ett helt nätverk till ett annat nätverk via Internet. Du kan använda ett plats-till-plats-VPN för att ansluta ditt lokala nätverk till ett virtuellt Azure-nätverk. Användare i ditt lokala nätverk ansluter via RDP- eller SSH-protokollet via PLATS-till-plats-VPN-anslutningen. Du behöver inte tillåta direkt RDP- eller SSH-åtkomst via Internet.

Scenario: Använd en dedikerad WAN-länk för att tillhandahålla funktioner som liknar plats-till-plats-VPN.
Alternativ: Använd ExpressRoute. Den innehåller funktioner som liknar plats-till-plats-VPN. De viktigaste skillnaderna är:

  • Den dedikerade WAN-länken går inte via Internet.
  • Dedikerade WAN-länkar är vanligtvis mer stabila och fungerar bättre.

Skydda dina kritiska Azure-tjänstresurser till endast dina virtuella nätverk

Använd Azure Private Link åtkomst till Azure PaaS-tjänster (till exempel Azure Storage och SQL Database) via en privat slutpunkt i ditt virtuella nätverk. Med privata slutpunkter kan du skydda dina kritiska Azure-tjänstresurser till endast dina virtuella nätverk. Trafik från ditt virtuella nätverk till Azure-tjänsten finns alltid kvar på Microsoft Azure stamnätverk. Det är inte längre nödvändigt att exponera ditt virtuella nätverk för det offentliga Internet för att använda Azure PaaS-tjänster.

Azure Private Link ger följande fördelar:

  • Förbättrad säkerhet för dina Azure-tjänstresurser: Med Azure Private Link kan Azure-tjänstresurser skyddas i ditt virtuella nätverk med hjälp av en privat slutpunkt. Att skydda tjänstresurser på en privat slutpunkt i ett virtuellt nätverk ger bättre säkerhet genom att helt ta bort offentlig Internetåtkomst till resurser och endast tillåta trafik från den privata slutpunkten i det virtuella nätverket.
  • Privat åtkomst till Azure-tjänstresurser på Azure-plattformen: Anslut ditt virtuella nätverk till tjänster i Azure med hjälp av privata slutpunkter. Det finns inget behov av en offentlig IP-adress. Plattformen Private Link hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket.
  • Åtkomst från lokala och peer-baserade nätverk: Få åtkomst till tjänster som körs i Azure från en lokal plats via privat ExpressRoute-peering, VPN-tunnlar och peer-baserade virtuella nätverk med hjälp av privata slutpunkter. Du behöver inte konfigurera ExpressRoute Microsoft-peering eller internet för att nå tjänsten. Private Link ett säkert sätt att migrera arbetsbelastningar till Azure.
  • Skydd mot dataläckage: En privat slutpunkt mappas till en instans av en PaaS-resurs i stället för hela tjänsten. Konsumenter kan bara ansluta till den specifika resursen. Åtkomst till andra resurser i tjänsten blockeras. Den här mekanismen ger skydd mot dataläckagerisker.
  • Global räckvidd: Anslut privat till tjänster som körs i andra regioner. Konsumentens virtuella nätverk kan finnas i region A och ansluta till tjänster i region B.
  • Enkelt att konfigurera och hantera: Du behöver inte längre reserverade, offentliga IP-adresser i dina virtuella nätverk för att skydda Azure-resurser via en IP-brandvägg. Det krävs inga NAT- eller gatewayenheter för att konfigurera de privata slutpunkterna. Privata slutpunkter konfigureras via ett enkelt arbetsflöde. På tjänstsidan kan du också enkelt hantera anslutningsbegäranden för din Azure-tjänstresurs. Azure Private Link fungerar även för konsumenter och tjänster som tillhör Azure Active Directory klientorganisation.

Mer information om privata slutpunkter och de Azure-tjänster och -regioner som privata slutpunkter är tillgängliga för finns i Azure Private Link.

Nästa steg

Se Metodtips och mönster för säkerhet i Azure för fler metodtips för säkerhet som du kan använda när du utformar, distribuerar och hanterar dina molnlösningar med hjälp av Azure.