网络安全和抑制

网络安全一直是企业安全工作的传统支柱。 但是,云计算提高了对网络外围变得更具可渗透性的要求,并且许多攻击者已经掌握攻击标识系统元素的技艺(几乎总是绕过网络控制措施)。 这些因素使得人们更加需要将关注点集中在通过基于标识的访问控制(而不是通过基于网络的访问控制)保护资源上。

这些做法会降低网络安全控制的存在感,但并没有让它完全消失。 尽管网络安全不再是保护基于云的资产的主要关注点,但对于大型旧资产组合(基于已经部署基于网络防火墙的外围这一假设生成)而言,它仍然是重中之重。 许多攻击者仍然在公共云提供商 IP 范围内采用扫描和攻击方法,从而成功渗透不遵守基本网络安全要求的用户的防御措施。 网络安全控制还为策略提供深层防御元素,可帮助保护、检测、隔离和驱逐进入云部署的攻击者。

在网络安全和隔离类别中,我们提供以下最佳做法建议:

  • 使网络分段与整体策略相匹配

  • 集中网络管理和安全

  • 生成网络隔离策略

  • 定义 Internet 边缘策略

集中网络管理和安全

集中管理和保护核心网络功能(例如跨界链接、虚拟网络、子网划分和 IP 地址方案)以及网络安全元素(例如虚拟网络设备、云虚拟网络活动和跨界流量加密、基于网络的访问控制和其他传统网络安全组件)的组织职责。

当你集中网络管理和安全时,可以降低出现可能制造潜在攻击者可利用安全风险的不一致策略的可能性。 因为 IT 和开发组织的所有部门不具备相同级别的网络管理和安全知识及成熟度,所以组织可以通过利用集中式网络团队的专业知识和工具受益。

Microsoft Defender for Cloud 可用于帮助集中管理网络安全。

使网络分段与企业分段策略相匹配

使网络分段模型与组织的企业分段模型相匹配(在“治理、风险与合规性”部分中定义)。

这将减少不同技术团队(网络、标识、应用程序等)各自开发自己的彼此之间不匹配的分段和委派模型带来的混淆和由此产生的挑战, 并可获得简单而统一的安全策略,此策略有助于减少因人为错误和无法通过自动化提高可靠性导致的错误数量。

请比较网络安全和隔离中的图像。

image showing hybrid cloud infrastructure-network architecture

在网络控制之外发展安全性

确保技术控制措施可以有效地预防、检测和响应所控制网络外部的威胁。

随着组织转向新式体系结构,应用程序所需的许多服务和组件将通过 Internet 或在云提供商网络上进行访问,并且通常通过移动设备和其他线下设备实现。 基于“受信任的 Intranet”方法的传统网络控制措施将无法有效地为这些应用程序提供安全保证。 Jericho Forum 记录的原则和“零信任”方法很好地反映了这一变化的态势。

基于网络控制措施和应用程序、标识以及其他控制措施类型的组合生成风险隔离策略。

  • 确保资源分组和管理权限与分段模型相匹配(参阅图 XXXX)

  • 确保设计在分段之间识别并允许预期流量、访问请求和其他应用程序通信的安全控制措施。 监视分段之间的通信以识别任何意外通信,从而探讨是通过设置警报还是阻止流量来降低对手越过分段边界的风险。

生成安全隔离策略

创建将经过验证的方法融合在一起的风险隔离策略,其中包括:

  • 现有网络安全控制措施和做法

  • Azure 中可用的本机安全控制措施

  • 零信任方法

隔离环境中的攻击途径至关重要。 但是,若要在云环境中发挥作用,传统方法可能会被证明不够用,安全组织需要演变其方法。

  • 跨本地基础结构和云基础结构的控制措施保持一致很重要,但是,利用云服务提供商提供的本机功能、动态即时 (JIT) 方法以及集成标识和密码控制(例如,零信任/连续验证方法建议的控制措施)时,防御会更加有效和易于管理。

  • 网络安全最佳做法之一是确保网络构造之间存在网络访问控制。 这些构造可以表示虚拟网络或这些虚拟网络内的子网。 这样可以保护和隔离云网络基础结构中的东-西流量。

  • 网络安全设计的一个重要决定是基于主机的防火墙的使用与否。 基于主机的防火墙支持全面的深层防御策略。 但是,若要发挥最大作用,它们需要大量管理开销。 如果组织认为它们在过去可以有效地帮助防护和发现威胁,则可以考虑将其用于基于云的资产。 如果认为它们并没有带来重大价值提升,则请停止使用,并在云服务提供商的平台上探索具有类似价值的本机解决方案。

不断发展的新兴最佳做法建议之一是采用基于用户、设备和应用程序标识的零信任策略。 与基于源 IP 地址和目标 IP 地址、协议和端口号等元素的网络访问控制相反,零信任方法在“访问时间”实施和验证访问控制。 这样一来,就不需要在整个部署、网络或子网中进行预测,因为只有目标资源需要提供必要的访问控制。

  • Azure 网络安全组可用于 Azure 虚拟网络、其子网和 Internet 之间的基本第 3 & 4 层访问控制。

  • Azure Web 应用程序防火墙和 Azure 防火墙可用于需要应用程序层支持的更高级的网络访问控制。

  • 本地管理员密码解决方案 (LAPS) 或第三方 Privileged Access Management 可以设置强本地管理员密码及对这些资源的即时访问

此外,第三方提供微分段方法,可通过将零信任原则应用于所控制的包含旧资产的网络来增强网络控制。

定义 Internet 边缘策略

选择是使用本机云服务提供商控制措施还是虚拟网络设备来实现 Internet 边缘安全。

Internet 边缘流量(有时称为“北-南”流量)表示云中的资产与 Internet 之间的网络连接。 旧工作负载需要来自 Internet 终结点的保护,因为它们基于 Internet 防火墙保护它们免受这些攻击的假设生成。 Internet 边缘策略旨在尽可能减少可在合理范围内检测到或阻止的来自 Internet 的攻击。

有两个主要选择可以提供 Internet 边缘安全控制和监视:

  • 云服务提供商本机控制 (Azure 防火墙 + [Web 应用程序防火墙 (WAF) ]/azure/application-gateway/waf-overview) )

  • 合作伙伴虚拟网络设备(Azure 市场中提供的防火墙和 WAF 供应商)

  • 云服务提供商本机控制通常提供足以应对常见攻击(例如 OWASP 排名前 10 的攻击)的基本安全保护。

  • 相比之下,云服务提供商合作伙伴功能通常提供更高级的功能,可以防御复杂(但通常不常见)的攻击。 合作伙伴解决方案的成本始终高于本机控制措施。 此外,合作伙伴解决方案的配置可能非常复杂,并会因不与云的结构控制器集成而比本机控制措施脆弱。

使用本机控制措施还是合作伙伴控制措施的决定应基于组织的经验和要求。 如果高级防火墙解决方案的功能无法提供足够的投资回报,则可以考虑使用设计为轻松配置和缩放的本机功能。

停止使用旧的网络安全技术

停止使用基于签名的网络入侵检测/网络入侵防护 (NIDS/NIPS) 系统以及网络数据泄漏/丢失防护 (DLP)。

主要云服务提供商已经可以筛选格式错误的数据包和常见的网络层攻击,因此无需 NIDS/NIPS 解决方案来检测这些对象。 此外,传统 NIDS/NIPS 解决方案通常由基于签名的方法(被认为已过时)驱动,容易被攻击者规避且通常会产生较高的误报率。

基于网络的 DLP 在识别无意和有意数据丢失方面逐渐失去效果。 原因在于大部分新式协议和攻击者都使用网络级加密进行入站和出站通信。 唯一可行的解决方法是“SSL 桥接”,该方法提供可以终止加密网络连接并随后重新建立加密网络连接的“授权中间人”。 SSL 桥接方法已失宠,原因在于运行该解决方案的合作伙伴所需的信任级别以及所使用的技术。

因此,我们提供一劳永逸的建议,即停止使用这些旧的网络安全技术。 但是,如果组织在过去感受到这些技术对预防和检测实际攻击具有明显影响,则可以考虑将其移植到云环境中。

设计虚拟网络子网安全

设计虚拟网络和子网以实现增长。

大部分组织最终会向网络添加比最初计划的数量更多的资源。 发生这种情况时,需要对 IP 寻址和子网划分方案进行重构,以容纳额外的资源。 这是一个需要耗费大量精力的过程。 创建大量小型子网,然后尝试将网络访问控制(例如安全组)映射到其中每个子网的做法可以带来的安全价值有限。

我们建议基于常用角色和功能来计划子网,以将通用协议用于这些角色和功能。 这让你能够将资源添加到子网中,而无需更改实施网络级访问控制的安全组。

请勿使用“全部开放”规则处理往返于子网的入站和出站流量。 使用网络“最小特权”方法,并且仅允许使用相关协议。 这将缩小子网上的整体网络攻击面。

所有开放式规则(允许往返 0.0.0.0-255.255.255.255 的入站/出站流量)提供一种虚假的安全感,因为此类规则根本不实施任何安全措施。

但是,只想将安全组用于网络日志记录的情况是例外。 我们不建议这样做,但如果部署了其他网络访问控制解决方案,则可以选择此方法。

可以通过这种方式设计 Azure 虚拟网络子网

缓解 DDoS 攻击

为所有业务关键型 Web 应用程序和服务启用分布式拒绝服务 (DDoS) 缓解措施。

DDoS 攻击非常普遍,并且很容易被不熟练的攻击者实施。 暗网上甚至还有“DDoS 即服务”选项。 DDoS 攻击可能极具破坏性,会完全阻止对服务的访问,甚至让服务停止运行,具体取决于 DDoS 攻击的类型。

主要云服务提供商为服务提供的 DDoS 防护的有效性和能力各不相同。 云服务提供商通常提供两个 DDoS 防护选项:

  • 云网络结构级别 DDoS 防护 - 云服务提供商的所有客户都将受益于这些防护措施。 防护通常集中在网络(第 3 层)级别。

  • 可分析服务的更高级别 DDoS 防护 - 此类防护将为你的部署设定基线,然后使用机器学习技术来检测异常流量,并在服务降级之前根据其保护措施主动进行保护

我们建议为停机时间将对业务造成负面影响的所有服务采用高级防护。

高级 DDoS 防护的一个示例是 Azure DDoS 防护服务

决定 Internet 入口/出口策略

选择通过本地安全设备路由发往 Internet 的流量,或允许通过基于云的网络安全设备进行 Internet 连接。

通过本地网络安全设备路由 Internet 流量也称为“强制隧道”。 在强制隧道方案中,到 Internet 的所有连接都将通过跨界 WAN 链接强制返回本地网络安全设备。 目标是为网络安全团队提供更好的安全性和 Internet 流量可见性。 即使云中的资源尝试响应来自 Internet 的传入请求,响应也将通过本地网络安全设备实施。

此外,强制隧道符合“数据中心扩展”范例,可以很好地用于快速概念证明,但由于增加的流量负载、延迟和成本,可伸缩性很差。

建议生产企业使用的方法是允许云资源直接通过 Internet 边缘策略定义的云网络安全设备来发起和响应 Internet 请求。

直接 Internet 方法符合第 N 个数据中心范例(例如,Azure 数据中心是企业的自然组成部分)。 此方法可以针对企业部署更好地缩放,因为它消除了增加负载、延迟和成本的跃点。

出于上述原因,我们建议避免使用强制隧道

实现网络可见性增强

应通过将网络日志集成到安全信息和事件管理 (SIEM) (如 Microsoft Sentinel)或第三个合作伙伴解决方案(如 Splunk、QRadar 或 ArcSight ESM)来启用增强的网络可见性。

集成来自网络设备的日志,甚至集成原始网络流量本身,都可以使你更好地了解通过网络流动的潜在安全威胁。 此日志信息可以集成到高级 SIEM 解决方案或其他分析平台中。 基于新式机器学习技术的分析平台支持引入大量信息,并且可以非常快速地分析大型数据集。 此外,可以优化这些解决方案以大幅减少误报。

提供可见性的网络日志的示例包括:

后续步骤

有关 Microsoft 的其他安全指导,请参阅 Microsoft 安全文档