您现在访问的是微软AZURE全球版技术文档网站,若需要访问由世纪互联运营的MICROSOFT AZURE中国区技术文档网站,请访问 https://docs.azure.cn.

在 Azure 上实现网络分段模式

通过定义外围,在网络占用空间内创建分段。 分段的主要原因包括:

  • 能够对属于工作负荷操作的相关资产进行分组 (或) 操作。
  • 资源隔离。
  • 组织设置的治理策略。

网络控制可以保护外围之间的交互。 此方法可以增强安全状况并包含违规风险,因为控制措施可以检测、控制和阻止攻击者获取整个工作负荷的访问权限。

组织如何实现网络分段?


本文重点介绍一些 Azure 网络功能,这些功能可创建段并限制对单个服务的访问。

重要

使网络分段策略与企业分段模型保持一致。 这将减少不同技术团队在网络、标识 (应用程序等方面的混淆) 。 每个团队不应开发自己的分段和委派模型,这些模型彼此不一致。

要点

  • 在网络占用空间内创建软件定义的外围,并保护它们之间的通信路径。
  • Azure 虚拟网络 (VNet) 在专用地址空间中创建。 默认情况下,任何两个 VNet 之间默认不允许任何流量。 仅在真正需要时打开路径。
  • 使用网络安全组 (NSG) VNet 中资源之间的通信。
  • 使用应用程序安全 (ASG) 为运行工作负荷的基础 VM 定义流量规则。
  • 使用Azure 防火墙筛选云资源、Internet 和本地之间的流量。
  • 如果不需要在多个区域运行,将资源放在单个 VNet 中。
  • 如果需要在多个区域,请具有通过对等互连连接的多个 VNet。
  • 对于高级配置,请使用中心分支拓扑。 VNet 被指定为给定区域内所有其他 VNet 的中心,作为该区域中的分支。

什么是分段?

可以使用各种 Azure 服务和功能在网络占用空间内创建软件定义的外围。 当工作负荷 (或给定工作负荷的一部分) 单独的段时,可以控制来自/到这些段的流量,以确保通信路径的安全。 如果某个段遭到入侵,你将能够更好地包含影响并防止它通过网络的其余部分进行扩展。 此策略符合 Microsoft 发布的零信任模型的关键原则,该模型旨在将一流的安全思维引入组织。

用于分段的 Azure 功能

在 Azure 上操作时,有许多分段选项。

资源流程图

  1. 订阅:一个高级构造,它提供实体之间的平台支持分离。 它旨在划分公司内大型组织之间的边界,需要显式预配不同订阅中的资源之间的通信。

  2. 虚拟网络 (VNet) : 在专用地址空间的订阅中创建。 它们提供资源的网络级别包含,默认情况下,任何两个虚拟网络之间不允许任何流量。 与订阅一样,需要显式预配虚拟网络之间的任何通信。

  3. 网络安全组 (NSG) : 用于控制虚拟网络中资源之间以及外部网络(如 Internet、其他虚拟网络)之间的流量的访问控制机制。 NSG 可以通过为子网、VM 或一组 VM 创建外围,将分段策略细化到粒度级别。 有关 Azure 中子网的可能操作的信息,请参阅 Azure 虚拟网络 (子网 ) 。

  4. 应用程序安全组 (ASG) : 类似于 NSG,但通过应用程序上下文引用。 它允许在应用程序标记下对一组 VM 进行分组,并定义随后应用于每个基础 VM 的流量规则。

  5. Azure 防火墙:云原生有状态防火墙即服务,可在 VNet 或 Azure 虚拟 WAN 中心部署中部署 用于筛选云资源、Internet 和本地之间流动的流量。 可以使用第 3 层 (Azure 防火墙或Azure 防火墙管理器) 第3 层控件来指定允许/拒绝流量的规则或策略。 还可 Azure 防火墙通过第三方安全提供程序将部分或所有流量引导到第三方安全提供程序,以使用第三方和第三方& Internet 的流量。

分段模式

下面是从网络角度对 Azure 中的工作负荷进行分段的一些常见模式。 每种模式提供不同类型的隔离和连接。 根据组织的需求选择模式。

模式 1:单个 VNet

工作负荷的所有组件都驻留在单个 VNet 中。 此模式适合在单个区域运行,因为 VNet 不能跨多个区域。

保护段(如子网或应用程序组)的常见方式是使用 NSG 和 ASG。 还可使用网络虚拟化设备 (NVA) 或Azure 市场Azure 防火墙强制实施并保护此分段。

在此映像中,Subnet1 具有数据库工作负荷。 Subnet2 具有 Web 工作负载。 可以配置 NSG,以允许 Subnet1 仅与 Subnet2 通信,Subnet2 只能与 Internet 通信。

单个虚拟网络

请考虑一个用例,其中有多个工作负载放置在单独的子网中。 可以放置允许一个工作负荷与另一个工作负荷的后端通信的控件。

模式 2:通过对等互连进行通信的多个 VNet

资源分布在多个 VNet 中或复制到多个 VNet 中。 VNet 可以通过对等互连进行通信。 需要将应用程序分组到单独的 VNet 时,此模式是合适的。 或者,需要多个 Azure 区域。 一个好处是内置分段,因为必须显式将一个 VNet 对等互连到另一个 VNet。 虚拟网络对等互连不可传递。 可以使用 NSG 和 ASG 在 VNet 中进一步分段,如模式 1 中所示。

多个虚拟网络

模式 3:中心和分支模型中的多个 VNet

VNet 被指定为给定区域内所有其他 VNet 的中心,作为 该区域中的分支。 中心及其分支通过对等互连进行连接。 所有流量都通过中心,该中心可充当不同区域其他中心的网关。 在此模式中,安全控制在中心设置,以便它们以可缩放的方式对其他 VNet 之间的流量进行分段和控制。 此模式的一个好处是,随着网络拓扑的增长,安全状况开销不会 (除非扩展到新的区域) 。

中心和辐射拓扑

建议使用本机选项Azure 防火墙。 此选项适用于使用第 3 层到第 7 层控制控制流量流的 VNet 和订阅。 可以定义通信规则,并一致地应用这些规则。 下面是一些示例:

  • VNet 1 无法与 VNet 2 通信,但它可以与 VNet 3 通信。
  • VNet 1 无法访问公共 Internet,*.github.com。

借助Azure 防火墙管理器预览版,可以跨多个 Azure 防火墙集中管理策略,使 DevOps 团队能够进一步自定义本地策略。

提示

下面是一些资源,说明了在中心分支拓扑中预配资源:

GitHub 徽标 GitHub:中心分支拓扑沙盒

Azure 中的中心分支 网络拓扑中介绍了设计注意事项

模式比较

注意事项 模式 1 模式 2 模式 3
连接/路由:每个段如何相互通信 系统路由提供与任何子网中任何工作负荷的默认连接。 与模式 1 相同。 分支网络之间没有默认连接。 若要启用连接,中心Azure 防火墙第 3 层路由器(如网关)。
网络级别流量筛选 默认情况下允许流量。 使用 NSG、ASG 来筛选流量。 与模式1相同。 默认情况下,将拒绝辐射虚拟网络之间的流量。 打开所选路径以允许通过 Azure 防火墙配置的流量。
集中式日志记录 虚拟网络的 NSG,ASG 日志。 聚合 NSG,ASG 跨所有虚拟网络的日志。 Azure 防火墙记录通过集线器发送的所有接受/拒绝的流量。 查看 Azure Monitor 中的日志。
意外的开放公共终结点 DevOps 可能会意外通过不正确的 NSG ASG 规则打开公共终结点。 与模式1相同。 由于将通过有状态防火墙 (非对称路由) 删除了返回数据包,因此在辐射中意外打开了公共终结点。
应用程序级保护 NSG 或 ASG 仅提供网络层支持。 与模式1相同。 Azure 防火墙支持针对 HTTP/S 和 MSSQL 的 FQDN 筛选,适用于出站流量和跨虚拟网络。

后续步骤

返回到文章: 网络安全