Применение принципов нулевого доверия для прекращения устаревшей технологии сетевой безопасности
В этой статье приводятся рекомендации по применению принципов нулевого доверия для прекращения устаревшей технологии сетевой безопасности в средах Azure. Ниже приведены принципы нулевого доверия.
| Принцип нулевого доверия | Определение |
|---|---|
| Прямая проверка | Всегда выполняйте аутентификацию и авторизацию на основе всех доступных точек данных. |
| Использование доступа с минимальными привилегиями | Ограничьте доступ пользователей с помощью технологий JIT/JEA, а также адаптивных политик на основе рисков и средств защиты данных. |
| Предполагайте наличие бреши в системе безопасности | Минимизируйте радиус поражения и возможность доступа к сегменту. Используйте сквозное шифрование и аналитику для обеспечения видимости, обнаружения угроз и усиления защиты. Улучшение защиты среды Azure путем удаления или обновления устаревших сетевых служб для более высокого уровня безопасности. |
Эта статья является частью серии статей, демонстрирующих применение принципов нулевого доверия к сетям Azure.
Сетевые области Azure для проверки прекращения использования устаревших технологий сетевой безопасности:
- Сетевые базовые службы
- Балансировка нагрузки и службы доставки содержимого
- Службы гибридного подключения
Переход от использования устаревших технологий сетевой безопасности может препятствовать злоумышленнику получать доступ к средам или перемещаться по ним, чтобы нанести широко распространенный ущерб (принцип "Предполагать нарушение нулевого доверия").
Эталонная архитектура
На следующей схеме показана эталонная архитектура этого руководства по обеспечению нулевого доверия для прекращения устаревшей технологии сетевой безопасности для компонентов в среде Azure.
Эта эталонная архитектура включает:
- Рабочие нагрузки IaaS Azure, выполняемые на виртуальных машинах Azure.
- Службы Azure.
- Виртуальная сеть безопасности, содержащая VPN-шлюз Azure и Шлюз приложений Azure.
- Виртуальная сеть Internet Edge, содержащая Azure Load Balancer.
- Azure Front Door на границе среды Azure.
Что такое в этой статье?
Принципы нулевого доверия применяются к эталонной архитектуре, от пользователей и администраторов в Интернете или локальной сети к среде Azure и в ней. В следующей таблице перечислены основные задачи прекращения устаревших технологий безопасности сети в этой архитектуре для принципа "Предполагать нарушение нулевого доверия".
| Шаг | Задача |
|---|---|
| 1 | Просмотрите службы сетевых фондов. |
| 2 | Просмотрите службы доставки содержимого и балансировки нагрузки. |
| 3 | Просмотрите службы гибридного подключения. |
Шаг 1. Проверка служб сетевых фондов
Проверка служб сетевой основы включает в себя:
- Переход с номера SKU общедоступного общедоступного IP-адреса уровня "Базовый" на номер SKU общедоступного IP-адреса уровня "Стандартный".
- Убедитесь, что IP-адреса виртуальной машины используют явный исходящий доступ.
На этой схеме показаны компоненты для обновления служб сетевой основы Azure в эталонной архитектуре.
SKU общедоступного IP-адреса уровня "Базовый"
IP-адреса (общедоступные и частные) являются частью IP-служб в Azure, которые обеспечивают обмен данными между частными и общедоступными ресурсами. Общедоступные IP-адреса связаны со службами, такими как шлюзы виртуальных сетей, шлюзы приложений и другие, требующие исходящего подключения к Интернету. Частные IP-адреса обеспечивают внутреннее взаимодействие между ресурсами Azure.
Номер SKU общедоступного ОБЩЕДОСТУПНОго IP-адреса рассматривается как устаревший сегодня и имеет больше ограничений, чем номер SKU общедоступного общедоступного IP-адреса уровня "Стандартный". Одним из основных ограничений для номера SKU общедоступного ОБЩЕДОСТУПНОго IP-адреса уровня "Нулевое доверие" является то, что использование групп безопасности сети не требуется, но рекомендуется, хотя это обязательно с номером SKU общедоступного IP-адреса уровня "Стандартный".
Еще одной важной функцией SKU общедоступного IP-адреса категории "Стандартный" является возможность выбора предпочтения маршрутизации, например маршрутизации через глобальную сеть Майкрософт. Эта функция защищает трафик в магистральной сети Майкрософт, когда это возможно, и исходящий трафик выходит как можно ближе к службе или пользователю.
Дополнительные сведения см. в статье Azure виртуальная сеть IP-службы.
Примечание.
Номер SKU "Базовый общедоступный IP-адрес" будет прекращен в сентябре 2025 года.
Исходящий доступ по умолчанию
По умолчанию Azure предоставляет исходящий доступ к Интернету. Подключение из ресурсов предоставляется по умолчанию с системными маршрутами и правилами исходящего трафика по умолчанию для групп безопасности сети. Другими словами, если не настроен явный метод исходящего подключения, Azure настраивает IP-адрес исходящего доступа по умолчанию. Однако без явного исходящего доступа возникают определенные риски безопасности.
Корпорация Майкрософт рекомендует не оставлять IP-адрес виртуальной машины открытым для интернет-трафика. Нет контроля над исходящим IP-адресом и IP-адресами по умолчанию, а также их зависимостями, может измениться. Для виртуальных машин, оснащенных несколькими сетевыми картами (сетевыми адаптерами), не рекомендуется разрешать доступ ко всем IP-адресам сетевого адаптера для исходящего трафика Через Интернет. Вместо этого следует ограничить доступ только к необходимым сетевым адаптерам.
Корпорация Майкрософт рекомендует настроить явный исходящий доступ с помощью одного из следующих параметров:
-
Для максимальных портов преобразования сетевых адресов источника (SNAT) корпорация Майкрософт рекомендует шлюзу NAT Azure для исходящего подключения.
Стандартный номер SKU Azure Load Balancers
Для этого требуется правило балансировки нагрузки для программы SNAT, которое может быть не столь эффективным, как шлюз NAT Azure.
Ограниченное использование общедоступных IP-адресов
Назначение прямого общедоступного IP-адреса виртуальной машине должно выполняться только для тестирования или разработки сред из-за соображений масштабируемости и безопасности.
Шаг 2. Просмотр служб доставки содержимого и балансировки нагрузки
В Azure есть множество служб доставки приложений, которые помогают отправлять и распространять трафик в веб-приложения. Иногда новая версия или уровень службы улучшает интерфейс и предоставляет последние обновления. Средство миграции можно использовать в каждой из служб доставки приложений, чтобы легко перейти на новую версию службы и воспользоваться новыми и расширенными функциями.
Проверка доставки содержимого и служб балансировки нагрузки включает:
- Перенос уровня Azure Front Door с классического уровня на уровни "Премиум" или "Стандартный".
- Перенос Шлюз приложений Azure на WAF_v2.
- Миграция на SKU Azure Load Balancer уровня "Стандартный".
На этой схеме показаны компоненты для обновления служб доставки содержимого Azure и балансировки нагрузки.
Azure Front Door
Azure Front Door имеет три различных уровня: "Премиум", "Стандартный" и "Классический". Уровни "Стандартный" и "Премиум" объединяют функции из классического уровня Azure Front Door, Azure сеть доставки содержимого и Azure Брандмауэр веб-приложений (WAF) в одну службу.
Корпорация Майкрософт рекомендует перенести классические профили Azure Front Door на уровни "Премиум" или "Стандартный", чтобы воспользоваться этими новыми функциями и обновлениями. Уровень "Премиум" фокусируется на улучшенных функциях безопасности, таких как частное подключение к внутренним службам, правилам WAF майкрософт и защите ботов для веб-приложений.
Помимо улучшенных функций, Azure Front Door Premium включает отчеты о безопасности, встроенные в службу без дополнительных затрат. Эти отчеты помогают анализировать правила безопасности WAF и видеть, какие атаки могут столкнуться с веб-приложениями. Отчет по безопасности также позволяет анализировать метрики по разным измерениям, которые помогают понять, откуда происходит трафик, и разбивка основных событий по критериям.
Уровень Azure Front Door Premium предоставляет наиболее надежные меры безопасности Интернета между клиентами и веб-приложениями.
Шлюз приложений Azure
Шлюз приложений Azure имеют два типа SKU, версии 1 и v2, а также версию WAF, которую можно применить к номеру SKU. Корпорация Майкрософт рекомендует перенести Шлюз приложений Azure на номер SKU WAF_v2, чтобы воспользоваться обновлениями производительности и новыми функциями, такими как автомасштабирование, пользовательские правила WAF и поддержка Приватный канал Azure.
Пользовательские правила WAF позволяют указать условия для оценки каждого запроса, который проходит через Шлюз приложений Azure. Эти правила имеют более высокий приоритет, чем правила в управляемых наборах правил и могут быть настроены в соответствии с потребностями приложения и безопасности. Пользовательские правила WAF также могут ограничить доступ к веб-приложениям по странам или регионам, сопоставляя IP-адрес с кодом страны.
Еще одним преимуществом миграции в WAFv2 является возможность подключения к Шлюз приложений Azure через службу Приватный канал Azure при доступе из другой виртуальной сети или другой подписки. Эта функция позволяет блокировать общедоступный доступ к Шлюз приложений Azure, разрешая доступ только пользователям и устройствам через частную конечную точку. При подключении Приватный канал Azure необходимо утвердить каждое подключение к частной конечной точке, что гарантирует, что доступ может получить только правильная сущность. Дополнительные сведения о различиях между номером SKU версии 1 и версии 2 см. в Шлюз приложений Azure версии 2.
Azure Load Balancer
С запланированным выходом на пенсию номера SKU общедоступного IP-адреса уровня "Базовый" в сентябре 2025 г. необходимо обновить службы, использующие IP-адреса SKU уровня "Базовый общедоступный IP-адрес". Корпорация Майкрософт рекомендует перенести текущие SKU Azure Load Balancers уровня "Базовый" в SKU Azure Load Balancers уровня "Стандартный" для реализации мер безопасности, не включенных в номер SKU "Базовый".
С помощью SKU Azure Load Balancer уровня "Стандартный" вы по умолчанию защищены. Весь входящий интернет-трафик к общедоступной подсистеме балансировки нагрузки блокируется, если не разрешено правилами примененной группы безопасности сети. Это поведение по умолчанию предотвращает случайное разрешение интернет-трафика на виртуальные машины или службы, прежде чем вы будете готовы и убедитесь, что вы управляете трафиком, который может получить доступ к вашим ресурсам.
Azure Load Balancer уровня "Стандартный" использует Приватный канал Azure для создания подключений к частной конечной точке, что полезно в тех случаях, когда вы хотите разрешить частный доступ к ресурсам за подсистемой балансировки нагрузки, но вы хотите, чтобы пользователи могли получить доступ к нему из своей среды.
Шаг 3. Проверка служб гибридного подключения
Обзор служб гибридного подключения включает использование новых номеров SKU для Azure VPN-шлюз.
На этой схеме показаны компоненты для обновления служб гибридного подключения Azure в эталонной архитектуре.
Самый эффективный способ подключения гибридных сетей в Azure в настоящее время — с новыми номерами SKU для Azure VPN-шлюз. Хотя вы можете продолжать использовать классические VPN-шлюзы, они устарели и менее надежны и эффективны. Классические VPN-шлюзы поддерживают не более 10 туннелей безопасности интернет-протокола (IPsec), в то время как более новые номера SKU Azure VPN-шлюз могут масштабировать до 100 туннелей.
Новые номера SKU работают с более новой моделью драйверов и включают последние обновления программного обеспечения безопасности. Старые модели драйверов основаны на устаревших технологиях Майкрософт, которые не подходят для современных рабочих нагрузок. Новые модели драйверов предлагают не только более высокую производительность и оборудование, но и обеспечивают повышенную устойчивость. Набор SKU виртуальных машин AZ для VPN-шлюзов можно разместить в зонах доступности и поддерживать активные подключения с несколькими общедоступными IP-адресами, что повышает устойчивость и предлагает улучшенные варианты аварийного восстановления.
Кроме того, для динамических потребностей маршрутизации классические VPN-шлюзы не могли запускать протокол BGP, использовался только IKEv1 и не поддерживали динамическую маршрутизацию. В итоге классические VPN-шлюзы SKU предназначены для небольших рабочих нагрузок, низкой пропускной способности и статических подключений.
Классические VPN-шлюзы также имеют ограничения безопасности и функциональности своих туннелей IPsec. Они поддерживают только режим на основе политик с протоколом IKEv1 и ограниченным набором алгоритмов шифрования и хэширования, которые более подвержены нарушениям. Корпорация Майкрософт рекомендует перейти на новые номера SKU, которые предлагают более широкий спектр вариантов для протоколов этапа 1 и 2. Ключевым преимуществом является то, что VPN-шлюз на основе маршрутов могут использовать основной режим IKEv1 и IKEv2, обеспечивая большую гибкость реализации и более надежные алгоритмы шифрования и хэширования.
Если требуется более высокая безопасность, чем значения шифрования по умолчанию, VPN-шлюз на основе маршрутов позволяют настраивать параметры этапа 1 и 2 для выбора определенных шифров и длины ключей. Более сильные группы шифрования включают группу 14 (2048-разрядную), группу 24 (2048-разрядную группу MODP) или ECP (группы эллиптических кривых) 256-разрядную или 384-разрядную (группу 19 и группу 20 соответственно). Кроме того, можно указать, какие диапазоны префиксов разрешены для отправки зашифрованного трафика с помощью параметра селектора трафика для дальнейшей защиты согласования туннеля от несанкционированного трафика.
Дополнительные сведения см. в статье azure VPN-шлюз криптографии.
SKU azure VPN-шлюз упрощают VPN-подключения типа "точка — сеть" (P2S) для использования протоколов IPsec на основе стандартных протоколов IKEv2 и VPN на основе ПРОТОКОЛА SSL/TLS, таких как OpenVPN и протокол SSTP. Эта поддержка предоставляет пользователям различные методы реализации и позволяет им подключаться к Azure с помощью различных операционных систем устройств. Номера SKU VPN-шлюз Azure также предлагают множество вариантов проверки подлинности клиента, включая проверку подлинности сертификата, проверку подлинности идентификатора Microsoft Entra ID и проверку подлинности домен Active Directory служб (AD DS).
Примечание.
Классические шлюзы IPSec будут прекращены 31 августа 2024 г.
Рекомендуемое обучение
- Настройка виртуальных сетей для администраторов Azure и управление ими
- Защита и изоляция доступа к ресурсам Azure с помощью групп безопасности сети и конечных точек служб
- Общие сведения о Azure Front Door
- Общие сведения о Шлюз приложений Azure
- Общие сведения о Azure Брандмауэр веб-приложений
- Общие сведения о Приватный канал Azure
- Подключение локальной сети к Azure с помощью VPN-шлюз
Next Steps
Дополнительные сведения о применении нулевого доверия к сети Azure см. в следующем разделе:
- Шифрование сетевого взаимодействия на основе Azure
- Сегментирование сетевого взаимодействия на основе Azure
- Получение видимости сетевого трафика
- Защита сетей с помощью модели "Никому не доверяй"
- Периферийные виртуальные сети в Azure
- Виртуальные сети концентратора в Azure
- Периферийные виртуальные сети со службами Azure PaaS
- Виртуальная глобальная сеть Azure
Ссылки
Ознакомьтесь с этими ссылками, чтобы узнать о различных службах и технологиях, упомянутых в этой статье.