你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

有关网络和连接的建议

  • 项目

适用于此 Azure Well-Architected 框架安全清单建议:

SE:05 跨入口流和出口流隔离、筛选和控制网络流量。 通过在东西部和南北流量的所有可用网络边界上使用本地化网络控制,应用深度防御原则。

本指南介绍网络设计建议。 重点在于 安全控制,这些控制可以筛选、阻止和检测跨网络边界 在体系结构的不同深度的攻击者。

可以通过实施基于网络的访问控制措施来加强标识控制。 除了基于标识的访问控制之外,网络安全也是保护资产的重中之重。 适当的网络安全控制可以提供深度防御元素,可帮助检测和遏制威胁,并阻止攻击者进入工作负载。

定义

术语 定义
东-西流量 在受信任的边界内移动的网络流量。
出口流 出站工作负荷流量。
恶意网络 未部署为工作负载一部分的网络。 恶意网络被视为威胁向量。
入口流 入站工作负荷流量。
网络筛选 基于指定规则允许或阻止网络流量的机制。
网络分段或隔离 一种将网络划分为小型隔离段的策略,并在边界上应用安全控制。 此方法有助于保护资源免受恶意网络(如 Internet)的攻击。
网络转换 一种机制,可改变网络数据包来掩盖它们。
南北交通 从受信任的边界移动到可能具有敌意的外部网络的网络流量,反之亦然。

关键设计策略

网络安全使用 模糊性来保护工作负载资产免受恶意网络攻击。 网络边界后面的资源将隐藏,直到边界控制将流量标记为可安全移动。 网络安全设计基于三种main策略:

  • 细分。 此方法 通过添加边界来隔离不同网络上的流量。 例如,传入和传出应用程序层的流量通过一个边界来与其他层通信,这些层具有不同的安全要求。 分段层实现深层防御方法。

    最重要的安全边界是 应用程序与公用网络之间的网络边缘。 请务必明确定义此外围,以便为隔离恶意网络建立边界。 此边缘上的控件必须非常有效,因为此边界是你的第一道防线。

    虚拟网络提供逻辑边界。 根据设计,虚拟网络无法与其他虚拟网络通信,除非边界已有意通过对等互连进行突破。 体系结构应利用平台提供的这一强大安全措施。

    还可以使用其他逻辑边界,例如 虚拟网络中的已划分子网。 子网的一个好处是,可以使用它们将隔离边界内且具有类似安全保证的资源组合在一起。 然后,可以在边界上配置控制以筛选流量。

  • 筛选器。 此策略有助于确保 进入边界的流量是预期的、允许的且安全的。 从 Zero-Trust 的角度来看,筛选会显式验证网络级别的所有可用数据点。 可以在边界上放置规则,以便针对特定条件检查。

    例如,在标头级别,规则可以验证流量是否来自预期位置或具有预期卷。 但这些检查是不够的。 即使流量表现出预期特征,有效负载也可能不安全。 验证检查可能会发现 SQL 注入攻击。

  • 转换将边界上的数据包作为安全措施进行改变。 例如,可以删除 HTTP 标头以消除泄露风险。 或者,你可以一次关闭传输层安全性 (TLS) ,并使用更严格的管理证书在另一跃点重新建立它。

对流量流进行分类

对流进行分类的第一步是研究工作负载体系结构的示意图。 从示意图中,根据工作负荷的功能实用工具和操作方面 确定流的意图和特征 。 使用以下问题帮助对流进行分类:

  • 如果工作负荷需要与外部网络通信,则与这些网络所需的邻近级别应是多少?

  • 流的网络特征是什么,例如预期的协议以及数据包的源和形状? 网络级别是否有任何合规性要求?

可通过多种方式对流量流进行分类。 以下部分讨论常用条件。

外部网络的可见性

  • 公共。 如果工作负载的应用程序和其他组件可从公共 Internet 访问,则其面向公众。 应用程序通过一个或多个公共 IP 地址和公共域名系统 (DNS) 服务器公开。

  • 专用。 如果只能通过专用网络(例如虚拟专用网络 (VPN) )访问工作负荷,则工作负荷是专用的。 它仅通过一个或多个专用 IP 地址公开,并且可能通过专用 DNS 服务器公开。

    在专用网络中,没有从公共 Internet 到工作负载的视线。 对于网关,可以使用负载均衡器或防火墙。 这些选项可以提供安全保证。

即使使用公共工作负载, 也尽量使工作负荷保持私密性。 此方法强制数据包在从公用网络到达时越过专用边界。 该路径中的网关可以通过充当反向代理来充当转换点。

流量方向

  • 入口。 入口是流向工作负荷或其组件的入站流量。 为了帮助保护入口安全,请应用前面的一组关键策略。 确定流量源是什么,以及它是否是预期、允许和安全。 如果你不检查入口或实施基本的网络安全措施,扫描公有云提供商 IP 地址范围的攻击者可以成功穿透防御。

  • 出口。 出口是流出工作负荷或其组件的出站流量。 若要检查出口,请确定流量的发往位置,以及目标是否预期、允许和安全。 目标可能是恶意的,也可能与数据外泄风险相关联。

显示 Azure 部署与 Internet 之间的网络流量流的示意图。

还可以 通过考虑工作负荷与公共 Internet 的邻近性来确定曝光级别。 例如,应用程序平台通常提供公共 IP 地址。 工作负荷组件是解决方案的面。

影响范围

  • 北-南。 在工作负荷网络与外部网络之间流动的流量是南北流量。 此流量跨网络边缘。 外部网络可以是公共 Internet、公司网络或超出控制范围的任何其他网络。

    入口和出口可以是南北流量。

    例如,请考虑中心辐射型网络拓扑的出口流。 可以定义工作负荷的网络边缘,使中心成为外部网络。 在这种情况下,来自辐射的虚拟网络的出站流量为南北流量。 但是,如果考虑控制范围内的中心网络,则南北流量会扩展到中心中的防火墙,因为下一跃点是 Internet,这可能存在恶意。

  • 东西方向。 在工作负荷网络中流动的流量是东西流量。 当工作负荷中的组件相互通信时,会导致这种类型的流量。 例如 ,n 层应用程序层之间的流量。 在微服务中,服务到服务通信是东西流量。

若要提供深度防御,请保持 对每个跃点中包含的或数据包跨内部段时使用的安全保障的端到端控制。 不同的风险级别需要不同的风险修正方法。

显示私有云的网络深度防御的示意图。

上图演示了私有云中的网络防御深度。 在此图中,与公有云关系图相比,公共和专用 IP 地址空间之间的边界与工作负载的距离要远得多。 多层将 Azure 部署与公共 IP 地址空间分开。

注意

标识始终是主要外围。 访问管理必须应用于网络流。 在网络组件之间使用 Azure 基于角色的访问控制 (RBAC) 时,请使用托管标识。

对流进行分类后,执行分段练习,以识别网段通信路径上的防火墙注入点。 跨 所有段和所有流量类型深度设计网络防御时,假设所有点都有漏洞。 在所有可用边界上使用各种本地化网络控件的组合。 有关详细信息,请参阅 分段策略

在边缘应用防火墙

Internet 边缘流量是南北流量,包括入口和出口。 若要检测或阻止威胁,边缘策略必须减少尽可能多的来自 Internet 的攻击。

对于出口, 请通过单个防火墙发送所有 Internet 绑定的流量 ,该防火墙提供对流量的增强的监督、治理和控制。 对于入口,强制来自 Internet 的所有流量通过网络虚拟设备 (NVA) 或 Web 应用程序防火墙。

  • 防火墙通常是在组织中按区域部署的单一实例。 因此,它们在工作负载之间共享,并归中央团队所有。 请确保使用的任何 NVA 都配置为支持工作负载的需求。

  • 建议尽可能多地使用 Azure 本机控件。

    除了本机控件外,还可以考虑提供高级或专用功能的合作伙伴 NVA。 Azure 市场中提供了合作伙伴防火墙和 Web 应用程序防火墙供应商产品。

    使用本机功能而不是合作伙伴解决方案的决定应基于组织的经验和要求。

    权衡:合作伙伴功能通常提供高级功能,可以防范复杂但通常不常见的攻击。 合作伙伴解决方案的配置可能很复杂且脆弱,因为这些解决方案不会与云的构造控制器集成。 从成本角度来看,本机控制是首选,因为它比合作伙伴解决方案便宜。

考虑的任何技术选项都应为入口流和出口流提供安全控制和监视。 若要查看适用于 Azure 的选项,请参阅本文中的 Edge 安全性 部分。

设计虚拟网络和子网安全性

私有云的主要目标是从公共 Internet 中隐藏资源。 可通过多种方式实现此目标:

  • 移动到专用 IP 地址空间,可以使用虚拟网络完成此操作。 即使在你自己的专用网络中,也可以最大程度地减少网络视线。

  • 尽量减少用于减少工作负载公开的公共 DNS 条目数

  • 添加入口和出口网络流控制。 不允许不受信任的流量。

分段策略

若要最大程度地减少网络可见性, 请对网络进行分段,并从最低特权网络控制开始。 如果段不可路由,则无法访问它。 扩大范围,仅包括需要通过网络访问相互通信的段。

可以通过创建子网对虚拟网络进行分段。 划分标准应有意为之。 在子网内并置服务时,请确保这些服务可以相互查看。

可以基于多种因素进行细分。 例如,可以在专用段中放置不同的应用程序层。 另一种方法是基于使用已知协议的常见角色和函数来规划子网。

有关详细信息,请参阅 分段策略

子网防火墙

请务必检查每个子网的入站和出站流量。 使用本文前面在关键设计策略中讨论的三main策略。 检查流是否预期、允许和安全。 若要验证此信息, 请定义基于流量的协议、源和目标的防火墙规则

在 Azure 上,可以在网络安全组中设置防火墙规则。 有关详细信息,请参阅本文中的 网络安全组 部分。

有关子网设计的示例,请参阅 Azure 虚拟网络子网

在组件级别使用控件

最小化网络的可见性后,请从网络角度映射 Azure 资源并评估流。 可以采用以下类型的流:

  • 根据体系结构设计,计划流量或服务之间的有意通信。 例如,当体系结构建议Azure Functions从Azure 服务总线拉取消息时,你有计划的流量。

  • 管理流量,或作为服务功能的一部分发生的通信。 此流量不属于你的设计,你无法控制它。 托管流量的一个示例是体系结构中的 Azure 服务与 Azure 管理平面之间的通信。

区分计划流量和管理流量有助于构建本地化或服务级别的控制。 充分了解每个跃点的源和目标。 特别了解数据平面的公开方式。

首先,确定每个服务是否向 Internet 公开。 如果是,请计划如何限制访问。 如果不是,请将其放置在虚拟网络中。

服务防火墙

如果预期某个服务会向 Internet 公开, 请利用适用于大多数 Azure 资源的服务级别防火墙。 使用此防火墙时,可以根据访问模式设置规则。 有关详细信息,请参阅本文中的 Azure 服务防火墙 部分。

注意

如果组件不是服务,除网络级防火墙外,还使用基于主机的防火墙。 虚拟机 (VM) 是非服务的组件的示例。

连接到平台即服务 (PaaS) 服务

请考虑使用 专用终结点来帮助保护对 PaaS 服务的访问。 为专用终结点分配虚拟网络中的专用 IP 地址。 终结点允许网络中的其他资源通过专用 IP 地址与 PaaS 服务通信。

使用服务的公共 IP 地址和 DNS 记录实现与 PaaS 服务的通信。 该通信通过 Internet 进行。 可以将该通信设为私密。

从 PaaS 服务到其中一个子网的隧道会创建专用通道。 所有通信都从组件的专用 IP 地址到该子网中的专用终结点进行,然后与 PaaS 服务通信。

在此示例中,左侧的图像显示了公开终结点的流。 在右侧,使用专用终结点保护该流。

显示专用终结点如何帮助保护数据库免受 Internet 用户的阻止的关系图。

有关详细信息,请参阅本文中的 专用终结点 部分。

注意

建议将专用终结点与服务防火墙结合使用。 服务防火墙会阻止传入的 Internet 流量,然后将服务私下公开给使用专用终结点的内部用户。

使用专用终结点的另一个优点是,无需为出站流量打开防火墙上的端口。 专用终结点会锁定公共 Internet 端口上的所有出站流量。 连接仅限于网络中的资源。

权衡:Azure 专用链接是一项付费服务,它为已处理的入站和出站数据提供计量。 你还需要为专用终结点付费。

防范分布式拒绝服务 (DDoS) 攻击

DDoS 攻击尝试耗尽应用程序的资源,使应用程序对合法用户不可用。 DDoS 攻击可以针对可通过 Internet 公开访问的任何终结点。

DDoS 攻击通常是对系统资源的大规模、广泛、地理分散的滥用,导致难以查明和阻止源。

有关帮助防范这些攻击的Azure 支持,请参阅本文中的 Azure DDoS 防护部分。

Azure 便利化

可以使用以下 Azure 服务向网络添加深层防御功能。

Azure 虚拟网络

虚拟网络可帮助 Azure 资源彼此、Internet 和本地网络安全地进行通信。

默认情况下,虚拟网络中的所有资源都可以与 Internet 进行出站通信。 但默认情况下,入站通信受到限制。

虚拟网络提供了用于筛选流量的功能。 可以使用用户定义的路由 (UDR) 和防火墙组件来限制虚拟网络级别的访问。 在子网级别,可以使用网络安全组筛选流量。

边缘安全性

默认情况下,入口和出口都流经公共 IP 地址。 根据服务或拓扑,可以设置这些地址,或者 Azure 会分配这些地址。 其他入口和出口的可能性包括通过负载均衡器传递流量或网络地址转换 (NAT) 网关。 但这些服务用于流量分发,不一定是为了安全。

建议使用以下技术选项:

  • Azure 防火墙。 可以在网络边缘和常用网络拓扑(例如中心辐射型网络和虚拟 WAN)中使用Azure 防火墙。 通常Azure 防火墙部署为出口防火墙,在流量进入 Internet 之前充当最终安全门。 Azure 防火墙可以路由使用非 HTTP 和非 HTTPS 协议的流量,例如远程桌面协议 (RDP) 、安全外壳协议 (SSH) 和文件传输协议 (FTP) 。 Azure 防火墙的功能集包括:

    • 目标网络地址转换 (DNAT) 或端口转发。
    • 入侵检测和防护系统 (IDPS) 签名检测。
    • 强第 3 层、第 4 层和完全限定的域名 (FQDN) 网络规则。

    注意

    大多数组织都有强制隧道策略,强制流量流经 NVA。

    如果不使用虚拟 WAN 拓扑,则必须将具有 NextHopTypeInternetUDR 部署到 NVA 的专用 IP 地址。 UDR 在子网级别应用。 默认情况下,子网到子网的流量不会流经 NVA。

    还可以对入口同时使用Azure 防火墙。 它可以路由 HTTP 和 HTTPS 流量。 在较高层的 SKU 中,Azure 防火墙 提供 TLS 终止,以便你可以实现有效负载级检查。

    建议采用以下做法:

    • 在 Azure 防火墙 中启用诊断设置,以收集流量流日志、IDPS 日志和 DNS 请求日志。

    • 在规则中尽可能具体。

    • 如果可行,请避免使用 FQDN 服务标记。 但在使用它们时,请使用区域变体,这允许与服务的所有终结点通信。

    • 使用 IP 组定义必须在 IP 组的生命周期内共享相同规则的源。 IP 组应反映分段策略。

    • 仅当工作负载需要绝对出口控制时,才重写基础结构 FQDN 允许规则。 重写此规则需要一个可靠性权衡,因为 Azure 平台要求在服务上发生了变化。

    权衡:Azure 防火墙可能会影响性能。 规则顺序、数量、TLS 检查和其他因素可能会导致严重的延迟。

    此外,还会对工作负载的可靠性产生影响。 它可能会遇到源网络地址转换 (SNAT) 端口耗尽。 若要帮助解决此问题,请根据需要添加公共 IP 地址。

    风险:对于出口流量,Azure 分配公共 IP 地址。 此分配可能会对外部安全门产生下游影响。

  • Azure Web 应用程序防火墙。 此服务支持入站筛选,并且仅面向 HTTP 和 HTTPS 流量。

    它为常见攻击提供基本安全性,例如 OWASP (OWASP) 在 OWASP 前 10 个文档中识别的威胁。 Azure Web 应用程序防火墙还提供侧重于第 7 层的其他安全功能,例如速率限制、SQL 注入规则和跨站点脚本。

    使用 Azure Web 应用程序防火墙时,TLS 终止是必需的,因为大多数检查都基于有效负载。

    可以将 Azure Web 应用程序防火墙 与路由器(例如 Azure 应用程序网关 或 Azure Front Door)集成。 这些类型的路由器的 Azure Web 应用程序防火墙实现可能会有所不同。

Azure 防火墙和 Azure Web 应用程序防火墙不是互斥的选择。 对于边缘安全解决方案,可以使用各种选项。 有关示例,请参阅虚拟网络的防火墙和应用程序网关

网络安全组

网络安全组是在子网或网络接口卡 (NIC) 级别应用的第 3 层和第 4 层防火墙。 默认情况下,不会创建或应用网络安全组。

网络安全组规则充当防火墙 ,用于阻止在子网外围流入和流出流量。 网络安全组的默认规则集过于宽松。 例如,默认规则不会从出口角度设置防火墙。 对于入口,不允许入站 Internet 流量。

若要创建规则,请从默认规则集开始:

  • 对于 入站 流量或入口:
    • 允许来自直接、对等互连和 VPN 网关源的虚拟网络流量。
    • 允许Azure 负载均衡器运行状况探测。
    • 将阻止所有其他流量。
  • 对于 出站 流量或出口:
    • 允许到定向、对等互连和 VPN 网关目标的虚拟网络流量。
    • 允许发到 Internet 的流量。
    • 将阻止所有其他流量。

然后考虑以下五个因素:

  • 协议
  • 源 IP 地址
  • Source Port
  • 目标 IP 地址
  • 目标端口

缺少对 FQDN 的支持会限制网络安全组功能。 需要为工作负载提供特定的 IP 地址范围,并且它们很难维护。

但对于 Azure 服务,可以使用 服务标记 来汇总源和目标 IP 地址范围。 服务标记的安全优势在于它们 对用户不透明,并且责任被转移到 Azure。 还可以将应用程序安全组分配为要将流量路由到的目标类型。 这种类型的命名组包含具有类似入站或出站访问需求的资源。

风险:服务标记范围非常广泛,因此可以容纳最广泛的客户。 汇报服务标记滞后于服务中的更改。

显示虚拟网络默认隔离与对等互连的关系图。

在上图中,网络安全组在 NIC 上应用。 拒绝 Internet 流量和子网到子网流量。 网络安全组与 标记一起 VirtualNetwork 应用。 因此,在这种情况下,对等互连网络的子网具有直接的视线。 标记的广泛 VirtualNetwork 定义可能会产生重大的安全影响。

使用服务标记时,请尽可能使用区域版本,例如 Storage.WestUS ,而不是 Storage。 通过采用此方法,可将范围限制为特定区域中的所有终结点。

某些标记专用于 入站出站 流量。 其他类型适用于 这两 种类型。 入站 标记通常允许来自所有托管工作负载(例如 AzureFrontDoor.Backend)或来自 Azure 的流量来支持服务运行时,例如 LogicAppsManagement。 同样, 出站 标记允许流向所有托管工作负荷或从 Azure 流向支持服务运行时的流量。

尽可能多地限定规则的范围。 在以下示例中,规则设置为特定值。 拒绝任何其他类型的流量。

信息 示例
协议 传输控制协议 (TCP) UDP
源 IP 地址 允许从 <source-IP-address-range> 进入子网:4575/UDP
源端口 允许从 <服务标记>进入子网:443/TCP
目标 IP 地址 允许从子网传出到 <destination-IP-address-range>:443/TCP
目标端口 允许从子网传出到 <服务标记>:443/TCP

总结:

  • 创建规则时要精确。 仅允许应用程序正常运行所需的流量。 拒绝其他所有内容。 此方法将网络视线限制为支持工作负荷操作所需的网络流。 支持超过必要流量的网络流会导致不必要的攻击途径并扩展外围应用。

    限制流量并不意味着允许的流超出了攻击范围。 由于网络安全组在开放系统互连 (OSI) 堆栈的第 3 层和第 4 层工作,因此它们仅包含形状和方向信息。 例如,如果工作负荷需要允许 DNS 流量发到 Internet,则使用 网络安全组 Internet:53:UDP。 在这种情况下,攻击者可能能够通过端口 53 上的 UDP 将数据泄露到其他服务。

  • 了解网络安全组之间可能略有不同。 很容易忽略差异的意图。 若要进行精细筛选,创建额外的网络安全组更安全。 至少设置一个网络安全组。

    • 添加网络安全组可解锁许多诊断工具,例如流日志和网络流量分析。

    • 使用 Azure Policy 帮助控制没有网络安全组的子网中的流量。

  • 如果子网支持网络安全组,请添加一个组,即使它的影响最小。

Azure 服务防火墙

大多数 Azure 服务都提供服务级别防火墙。 此功能检查从指定的无类域间路由 (CIDR) 范围的入口流量。 这些防火墙提供以下优势:

  • 它们提供 基本的安全级别
  • 存在 可容忍的性能影响
  • 大多数服务免费提供这些防火墙。
  • 防火墙通过 Azure 诊断发出日志,这对于分析访问模式很有用。

但也有与这些防火墙相关的安全问题,并且提供参数存在一些限制。 例如,如果使用 Microsoft 托管的生成代理,则必须为所有 Microsoft 托管的生成代理打开 IP 地址范围。 然后,该范围会向可能滥用服务的生成代理、其他租户和攻击者开放。

如果服务具有可配置为服务防火墙规则集的访问模式,则应启用该服务。 可以使用 Azure Policy 来启用它。 如果默认情况下未启用受信任的 Azure 服务选项,请确保不要启用它。 这样做会引入规则范围内的所有依赖服务。

有关详细信息,请参阅各个 Azure 服务的产品文档。

专用终结点

专用链接提供了一种为 PaaS 实例提供专用 IP 地址的方法。 然后,无法通过 Internet 访问该服务。 并非所有 SKU 都支持专用终结点

使用专用终结点时,请记住以下建议:

  • 将绑定到虚拟网络的服务配置为 通过专用终结点联系 PaaS 服务,即使这些 PaaS 服务还需要提供公共访问权限。

  • 促进 对专用终结点使用网络安全组,以限制 对专用终结点 IP 地址的访问。

  • 使用专用终结点时,请始终使用服务防火墙

  • 如果服务只能通过专用终结点访问,请删除其公共终结点的 DNS 配置。

  • 实现专用终结点时,请考虑运行时 视线问题 。 但还要考虑 DevOps 和监视问题

  • 使用 Azure Policy 强制实施资源配置

权衡:具有专用终结点的服务 SKU 成本高昂。 由于网络模糊性,专用终结点可能会使操作复杂化。 需要向体系结构添加自承载代理、跳转盒、VPN 和其他组件。

在常见的网络拓扑中,DNS 管理可能很复杂。 可能需要引入 DNS 转发器和其他组件。

虚拟网络注入

可以使用 虚拟网络注入过程 将某些 Azure 服务部署到网络中。 此类服务的示例包括Azure 应用服务、Functions、Azure API 管理和 Azure Spring Apps。 此过程 将应用程序 与 Internet、专用网络中的系统和其他 Azure 服务隔离。 根据网络规则,允许或拒绝来自应用程序的入站和出站流量。

Azure Bastion

可以使用 Azure Bastion 通过浏览器和Azure 门户连接到 VM。 Azure Bastion 增强了 RDP 和 SSH 连接的安全性。 典型的用例包括连接到同一虚拟网络或对等互连虚拟网络中的跳转盒。 使用 Azure Bastion,无需 VM 具有公共 IP 地址。

Azure DDoS 防护

Azure 中的每个属性都受 Azure DDoS 基础结构保护保护,无需额外付费,也无需添加配置。 保护级别是基本的,但保护的阈值较高。 它也不提供遥测或警报,并且与工作负载无关。

DDoS 防护的更高层 SKU 可用,但不是免费的。 全球部署的 Azure 网络的规模和容量提供了针对常见网络层攻击的保护。 始终启用流量监视和实时缓解等技术可提供此功能。

有关详细信息,请参阅 Azure DDoS 防护概述

示例

下面是一些示例,演示如何使用本文中建议的网络控制。

IT 环境

此示例基于在 安全基线 (SE:01 ) 中建立的信息技术 (IT) 环境。 此方法广泛了解应用于各种外围的网络控制,以限制流量。

显示具有网络控制的组织安全基线示例的示意图。

  1. 网络攻击角色。 在网络攻击中可能会考虑多个角色,包括管理员、员工、客户的客户端和匿名攻击者。

  2. VPN 访问。 不良参与者可能通过 VPN 访问本地环境,或者通过 VPN 连接到本地环境的 Azure 环境。 配置 IPSec 协议以启用安全通信。

  3. 对应用程序的公共访问。 在应用程序前面 (WAF) Web 应用程序防火墙,以在网络 OSI 层的第 7 层对其进行保护。

  4. 操作员访问。 必须保护通过网络 OSI 层第 4 层的远程访问。 请考虑将 Azure 防火墙 与 IDP/IDS 功能配合使用。

  5. DDOS 防护。 为整个 VNet 提供 DDoS 保护。

  6. 网络拓扑。 网络拓扑(如中心辐射型)更安全,并优化成本。 中心网络为所有对等互连分支提供集中式防火墙保护。

  7. 专用终结点:考虑使用专用终结点将公开的服务添加到专用网络中。 它们会在专用 VNet 中创建网卡 (NIC) 并与 Azure 服务绑定。

  8. TLS 通信。 通过 TLS 通信来保护传输中的数据。

  9. 网络安全组 (NSG) :使用 NSG 保护 VNet 中的段,NSG 是一种免费资源,用于筛选考虑 IP 和端口范围的 TCP/UDP 入站和出站通信。 NSG 的一部分是应用程序安全组 (ASG) ,可用于为流量规则创建标记,以便更轻松地进行管理。

  10. Log Analytics。 Azure 资源发出在 Log Analytics 中引入的遥测数据,然后与 Microsoft Sentinel 等 SIEM 解决方案一起使用进行分析。

  11. Microsoft Sentinel 集成。 Log Analytics 与 Microsoft Sentinel 和其他解决方案(如 Microsoft Defender for Cloud)集成。

  12. Microsoft Defender for Cloud。 Microsoft Defender for Cloud 提供了许多工作负载保护解决方案,包括针对环境的网络建议。

  13. 流量分析:使用流量分析监视网络控制。 这是通过 azure Monitor 的一部分网络观察程序配置的,并聚合 NSG 收集的子网中的入站和出站命中数。

容器化工作负载的体系结构

此示例体系结构合并了本文中所述的网络控件。 该示例未显示完整的体系结构。 相反,它侧重于私有云上的入口控制。

显示受控入口的示意图,包括应用程序网关、网络安全组、Azure Bastion 和 Azure DDoS 防护。

应用程序网关是一个 Web 流量负载均衡器,可用于管理发到 Web 应用程序的流量。 在具有网络安全组控制和 Web 应用程序防火墙控制的专用子网中部署应用程序网关。

与所有 PaaS 服务的通信通过 专用终结点进行。 所有终结点都放置在专用子网中。 DDoS 防护有助于保护为基本或更高级别的防火墙保护配置的所有公共 IP 地址。

管理流量通过 Azure Bastion 进行限制,这有助于通过 TLS 直接从Azure 门户提供与 VM 的安全无缝 RDP 和 SSH 连接。 生成代理放置在虚拟网络中,以便它们具有工作负荷资源(例如计算资源、容器注册表和数据库)的网络视图。 此方法有助于为生成代理提供安全且隔离的环境,从而增强对代码和项目的保护。

显示网络安全组和Azure 防火墙的受控出口的示意图。

计算资源的子网级别的网络安全组限制出口流量。 强制隧道用于通过Azure 防火墙路由所有流量。 此方法有助于为计算资源提供安全隔离的环境,从而增强对数据和应用程序的保护。

安全清单

请参阅完整的一组建议。

安全清单