Teljes felügyelet alapelvek alkalmazása az örökölt hálózati biztonsági technológia megszüntetéséhez
Ez a cikk útmutatást nyújt a Teljes felügyelet alapelveinek alkalmazásához az örökölt hálózati biztonsági technológia Azure-környezetekben történő megszüntetéséhez. Íme a Teljes felügyelet alapelvei.
| Teljes felügyelet elv | Definíció |
|---|---|
| Explicit ellenőrzés | Mindig hitelesítse és engedélyezze az összes rendelkezésre álló adatpont alapján. |
| A legkevésbé kiemelt hozzáférés használata | Korlátozza a felhasználói hozzáférést a Just-In-Time és a Just-Enough-Access (JIT/JEA), a kockázatalapú adaptív szabályzatokkal és az adatvédelemmel. |
| A szabálysértés feltételezése | Minimalizálja a sugár- és szegmenshozzáférést. Ellenőrizze a teljes körű titkosítást, és használja az elemzést a láthatóság eléréséhez, a fenyegetésészleléshez és a védelem javításához. Az Azure-környezet védelmének javítása az örökölt hálózati szolgáltatások eltávolításával vagy frissítésével a magasabb szintű biztonság érdekében. |
Ez a cikk egy cikksorozat része, amely bemutatja, hogyan alkalmazhatja a Teljes felügyelet alapelveit az Azure-hálózatkezelésre.
A régi hálózati biztonsági technológiák használatának megszüntetéséhez felülvizsgálandó Azure-hálózatkezelési területek a következők:
- Hálózatkezelési alapszolgáltatások
- Terheléselosztási és tartalomkézbesítési szolgáltatások
- Hibrid kapcsolati szolgáltatások
Az örökölt hálózati biztonsági technológiák használatától való eltávolodás megakadályozhatja, hogy a támadó hozzáférjen a környezetekhez, vagy áttérjen rajtuk, hogy széles körű károkat okozzon (a szabálysértés feltételezése Teljes felügyelet alapelv).
Referenciaarchitektúra
Az alábbi ábra a Teljes felügyelet útmutató referenciaarchitektúráját mutatja be az Azure-környezet összetevőinek örökölt hálózati biztonsági technológiájának megszüntetéséhez.
Ez a referenciaarchitektúra a következőket tartalmazza:
- Azure-beli virtuális gépeken futó Azure IaaS-számítási feladatok.
- Azure-szolgáltatások.
- Biztonsági virtuális hálózat (VNet), amely azure VPN Gatewayt és Azure-alkalmazás Gatewayt tartalmaz.
- Egy Azure Load Balancert tartalmazó internetszéles virtuális hálózat.
- Az Azure Front Door az Azure-környezet peremén.
Mi található ebben a cikkben?
A referenciaarchitektúra Teljes felügyelet alapelveit alkalmazza az internet felhasználóitól és rendszergazdáitól, illetve a helyszíni hálózattól az Azure-környezetig és azon belül. Az alábbi táblázat felsorolja az örökölt hálózati biztonsági technológia ezen architektúrán keresztüli megszakításának fő feladatait a "Szabálysértés feltételezése Teljes felügyelet" elv esetében.
| Lépés | Task |
|---|---|
| 0 | Tekintse át a hálózati alapozási szolgáltatásokat. |
| 2 | Tekintse át a tartalomkézbesítési és terheléselosztási szolgáltatásokat. |
| 3 | Tekintse át a hibrid kapcsolati szolgáltatásokat. |
1. lépés: A hálózati alapszolgáltatások áttekintése
A hálózati alapszolgáltatások áttekintése a következőket tartalmazza:
- Váltás az alapszintű nyilvános IP-termékváltozatról a standard nyilvános IP-termékváltozatra.
- Annak biztosítása, hogy a virtuális gép IP-címei explicit kimenő hozzáférést használnak.
Ez az ábra az Azure network foundation-szolgáltatások referenciaarchitektúrában való frissítésének összetevőit mutatja be.
Alapszintű nyilvános IP-termékváltozat
Az IP-címek (nyilvános és privát) az Azure-beli IP-szolgáltatások részét képezik, amelyek lehetővé teszik a privát és a nyilvános erőforrások közötti kommunikációt. A nyilvános IP-címek olyan szolgáltatásokhoz kapcsolódnak, mint a virtuális hálózati átjárók, az alkalmazásátjárók és más olyan szolgáltatások, amelyeknek kimenő internetkapcsolatra van szükségük. A privát IP-címek belsőleg teszik lehetővé az Azure-erőforrások közötti kommunikációt.
Az alapszintű nyilvános IP-termékváltozat ma örököltnek tekinthető, és több korlátozást is jelent, mint a standard nyilvános IP-termékváltozat. Az alapszintű nyilvános IP-termékváltozat Teljes felügyelet egyik fő korlátozása, hogy a hálózati biztonsági csoportok használata nem kötelező, de ajánlott, míg a standard nyilvános IP-termékváltozat esetében kötelező.
A standard nyilvános IP-termékváltozat másik fontos funkciója az útválasztási beállítások kiválasztása, például a Microsoft globális hálózatán keresztüli útválasztás. Ez a funkció a Microsoft gerinchálózatán belüli forgalmat biztosítja, amikor csak lehetséges, és a kimenő forgalom a lehető legközelebb kerül a szolgáltatáshoz vagy a végfelhasználóhoz.
További információ: Azure Virtual Network IP Services.
Feljegyzés
Az alapszintű nyilvános IP-termékváltozat 2025 szeptemberében megszűnik.
Alapértelmezett kimenő hozzáférés
Alapértelmezés szerint az Azure kimenő hozzáférést biztosít az internethez. Az erőforrásokból való kapcsolódás alapértelmezés szerint a rendszerútvonalakkal és a érvényben lévő hálózati biztonsági csoportok alapértelmezett kimenő szabályaival történik. Más szóval, ha nincs konfigurálva explicit kimenő kapcsolati módszer, az Azure egy alapértelmezett kimenő hozzáférési IP-címet konfigurál. Explicit kimenő hozzáférés nélkül azonban bizonyos biztonsági kockázatok merülnek fel.
A Microsoft azt javasolja, hogy ne hagyja nyitva a virtuális gép IP-címét az internetes forgalom számára. Az alapértelmezett kimenő IP-hozzáférés és IP-címek, valamint a függőségeik nem módosíthatók. A több hálózati adapterrel (NIC) rendelkező virtuális gépek esetében nem ajánlott engedélyezni az összes hálózati adapter IP-címét, hogy internetkapcsolattal rendelkezzenek. Ehelyett csak a szükséges hálózati adapterekhez való hozzáférést kell korlátoznia.
A Microsoft azt javasolja, hogy az alábbi lehetőségek egyikével állítson be explicit kimenő hozzáférést:
-
A maximális forráshálózati címfordítási (SNAT-) portok esetében a Microsoft az Azure NAT Gatewayt javasolja a kimenő kapcsolatokhoz.
Standard SKU Azure Load Balancers
Ehhez terheléselosztási szabályra van szükség az SNAT programozásához, amely nem feltétlenül olyan hatékony, mint egy Azure NAT Gateway.
Nyilvános IP-címek korlátozott használata
A közvetlen nyilvános IP-cím virtuális géphez való hozzárendelése csak tesztelési vagy fejlesztési környezetekben végezhető el a méretezhetőség és a biztonsági szempontok miatt.
2. lépés: A tartalomkézbesítési és terheléselosztási szolgáltatások áttekintése
Az Azure számos alkalmazáskézbesítési szolgáltatással rendelkezik, amelyek segítenek a forgalom webalkalmazások számára történő küldésében és terjesztésében. Előfordulhat, hogy a szolgáltatás új verziója vagy szintje javítja a felhasználói élményt, és biztosítja a legújabb frissítéseket. Az egyes alkalmazáskézbesítési szolgáltatások áttelepítési eszközével egyszerűen válthat a szolgáltatás legújabb verziójára, és kihasználhatja az új és továbbfejlesztett funkciókat.
A tartalomkézbesítési és terheléselosztási szolgáltatások áttekintése a következőket tartalmazza:
- Az Azure Front Door-szint migrálása a klasszikus szintről a Prémium vagy Standard szintre.
- A Azure-alkalmazás-átjárók migrálása WAF_v2.
- Migrálás standard termékváltozatú Azure Load Balancerbe.
Ez az ábra az Azure-tartalomkézbesítési és terheléselosztási szolgáltatások frissítésének összetevőit mutatja be.
Azure Front Door
Az Azure Front Door három különböző szinttel rendelkezik: Prémium, Standard és Klasszikus. A standard és a prémium szintű szolgáltatások egyetlen szolgáltatásban egyesítik az Azure Front Door klasszikus rétegének, az Azure Content Delivery Networknek és az Azure Web Application Firewallnak (WAF) a funkcióit.
A Microsoft azt javasolja, hogy a klasszikus Azure Front Door-profilokat a Prémium vagy Standard szintre migrálja, hogy élvezhesse ezeket az új funkciókat és frissítéseket. A Prémium szint olyan továbbfejlesztett biztonsági funkciókra összpontosít, mint a háttérszolgáltatásokhoz való privát kapcsolat, a Microsoft által felügyelt WAF-szabályok és a webalkalmazások robotvédelme.
A továbbfejlesztett funkciók mellett az Azure Front Door Premium további költségek nélkül tartalmazza a szolgáltatásba beépített biztonsági jelentéseket. Ezek a jelentések segítenek elemezni a WAF biztonsági szabályait, és látni, hogy a webalkalmazások milyen támadásokkal szembesülhetnek. A biztonsági jelentés lehetővé teszi a metrikák különböző dimenziók szerinti vizsgálatát is, amelyek segítenek megérteni, hogy honnan származik a forgalom, és hogy a legfontosabb események milyen feltételek szerint vannak lebontva.
Az Azure Front Door Prémium szintű csomagja biztosítja az ügyfelek és a webalkalmazások közötti leg robusztusabb internetes biztonsági intézkedéseket.
Azure Application Gateway
Azure-alkalmazás átjárók két termékváltozattípussal rendelkeznek, 1-es és 2-es verzióval, valamint egy WAF-verzióval, amely bármelyik termékváltozatra alkalmazható. A Microsoft azt javasolja, hogy migrálja az Azure-alkalmazás-átjárót a WAF_v2 termékváltozatba, hogy kihasználhassa a teljesítményfrissítéseket és az olyan új funkciókat, mint az automatikus skálázás, az egyéni WAF-szabályok és az Azure Private Link támogatása.
Az egyéni WAF-szabályok lehetővé teszik a Azure-alkalmazás átjárón áthaladó összes kérés kiértékeléséhez szükséges feltételek megadását. Ezek a szabályok magasabb prioritással rendelkeznek, mint a felügyelt szabálykészletek szabályai, és testre szabhatók az alkalmazás és a biztonsági követelmények igényeinek megfelelően. Az egyéni WAF-szabályok ország vagy régió szerint is korlátozhatják a webalkalmazásokhoz való hozzáférést egy IP-cím országkódhoz való egyeztetésével.
A WAFv2-re való migrálás másik előnye, hogy az Azure Private Link szolgáltatáson keresztül csatlakozhat a Azure-alkalmazás-átjáróhoz egy másik virtuális hálózatról vagy egy másik előfizetésből való hozzáféréskor. Ezzel a funkcióval letilthatja a Azure-alkalmazás átjáróhoz való nyilvános hozzáférést, miközben csak a felhasználók és az eszközök férhetnek hozzá privát végponton keresztül. Az Azure Private Link-kapcsolattal minden privát végpontkapcsolatot jóvá kell hagynia, ami biztosítja, hogy csak a megfelelő entitás férhessen hozzá. A v1 és a v2 termékváltozat közötti különbségekről az Azure-alkalmazás Gateway v2 című témakörben talál további információt.
Azure Load Balancer
Az alapszintű nyilvános IP-termékváltozat 2025 szeptemberében tervezett kivonásával frissítenie kell az alapszintű nyilvános IP-termékváltozat IP-címeit használó szolgáltatásokat. A Microsoft azt javasolja, hogy migrálja a jelenlegi alapszintű Azure Load Balancers termékváltozatot az Azure Load Balancers standard termékváltozatába, hogy olyan biztonsági intézkedéseket implementáljon, amelyek nem szerepelnek az alapszintű termékváltozatban.
Az Azure Load Balancer standard termékváltozatával alapértelmezés szerint biztonságos. A nyilvános terheléselosztó felé irányuló összes bejövő internetes forgalom le lesz tiltva, hacsak az alkalmazott hálózati biztonsági csoport szabályai nem engedélyezik. Ez az alapértelmezett viselkedés megakadályozza, hogy véletlenül engedélyezhesse a virtuális gépek vagy szolgáltatások internetes forgalmát, mielőtt készen áll, és biztosítja, hogy ön felügyelje az erőforrásokhoz hozzáférő forgalmat.
A standard termékváltozatú Azure Load Balancer az Azure Private Link használatával hoz létre privát végpontkapcsolatokat, ami olyan esetekben hasznos, amikor engedélyezni szeretné a privát hozzáférést az erőforrásokhoz egy terheléselosztó mögött, de azt szeretné, hogy a felhasználók a környezetükből férhessenek hozzá.
3. lépés: A hibrid kapcsolati szolgáltatások áttekintése
A hibrid kapcsolati szolgáltatások áttekintése magában foglalja az Azure VPN Gatewayhez készült termékváltozatok új generációjának használatát.
Ez az ábra az Azure hibrid kapcsolati szolgáltatások referenciaarchitektúrában való frissítésének összetevőit mutatja be.
A hibrid hálózatok Azure-beli csatlakoztatásának leghatékonyabb módja jelenleg az Azure VPN Gatewayhez készült új generációs termékváltozatok használata. Bár továbbra is használhat klasszikus VPN-átjárókat, ezek elavultak és kevésbé megbízhatóak és hatékonyak. A klasszikus VPN-átjárók legfeljebb 10 IPsec-alagutat támogatnak, míg az újabb Azure VPN Gateway SKU-k akár 100 alagutat is skálázhatnak.
Az újabb termékváltozatok egy újabb illesztőprogram-modellen működnek, és tartalmazzák a legújabb biztonsági szoftverfrissítéseket. A régebbi illesztőprogram-modellek elavult Microsoft-technológiákon alapultak, amelyek nem alkalmasak a modern számítási feladatokhoz. Az újabb illesztőprogram-modellek nemcsak kiváló teljesítményt és hardvert kínálnak, hanem nagyobb rugalmasságot is biztosítanak. A VPN-átjárók AZ termékváltozatai a rendelkezésre állási zónákban helyezhetők el, és támogatják a több nyilvános IP-címmel rendelkező aktív-aktív kapcsolatokat, ami növeli a rugalmasságot, és továbbfejlesztett lehetőségeket kínál a vészhelyreállításhoz.
Emellett a dinamikus útválasztási igényekhez a klasszikus VPN-átjárók nem tudták futtatni a Border Gateway Protocol (BGP) protokollt, csak az IKEv1 protokollt használták, és nem támogatták a dinamikus útválasztást. Összefoglalva, a klasszikus SKU VPN-átjárók kisebb számítási feladatokhoz, alacsony sávszélességhez és statikus kapcsolatokhoz lettek kialakítva.
A klasszikus VPN-átjárók az IPsec-alagutak biztonsága és működése terén is korlátozottak. Csak az IKEv1 protokolllal, valamint korlátozott titkosítási és kivonatolási algoritmusokkal támogatják a szabályzatalapú módot, amelyek érzékenyebbek a behatolásokra. A Microsoft azt javasolja, hogy váltson át az új termékváltozatokra, amelyek az 1. és a 2. fázis protokolljainak szélesebb választékát kínálják. A fő előnye, hogy az útvonalalapú VPN-átjárók az IKEv1 és az IKEv2 fő módot is használhatják, így nagyobb megvalósítási rugalmasságot és robusztusabb titkosítási és kivonatolási algoritmusokat biztosítanak.
Ha az alapértelmezett titkosítási értékeknél nagyobb biztonságot igényel, az útvonalalapú VPN-átjárók lehetővé teszik az 1. és a 2. fázis paramétereinek testreszabását adott titkosítások és kulcshosszok kiválasztásához. Az erősebb titkosítási csoportok közé tartozik a 14. csoport (2048 bites), a 24. csoport (2048 bites MODP-csoport) vagy az ECP (háromliptikus görbecsoportok) 256 bites vagy 384 bites (19. és 20. csoport). Emellett megadhatja, hogy mely előtagtartományok küldhetnek titkosított forgalmat a Traffic Selector beállítással, hogy tovább védhesse az alagút-egyeztetést a jogosulatlan forgalomtól.
További információkért lásd az Azure VPN Gateway titkosítását.
Az Azure VPN Gateway SKU-k megkönnyítik a pont–hely (P2S) VPN-kapcsolatokat az IKEv2 szabványon alapuló IPsec-protokollok és az SSL/TLS-alapú VPN-protokollok, például az OpenVPN és a Secure Socket Tunneling Protocol (SSTP) használatával. Ez a támogatás különböző implementációs módszereket biztosít a felhasználóknak, és lehetővé teszi számukra, hogy különböző eszköz operációs rendszerekkel csatlakozzanak az Azure-hoz. Az Azure VPN Gateway termékváltozatai számos ügyfél-hitelesítési lehetőséget is kínálnak, beleértve a tanúsítványhitelesítést, a Microsoft Entra ID-hitelesítést és az Active Directory tartományi szolgáltatások (AD DS) hitelesítést.
Feljegyzés
A klasszikus IPSec-átjárók 2024. augusztus 31-én megszűnnek.
Ajánlott képzés
- Virtuális hálózatok konfigurálása és kezelése Azure-rendszergazdák számára
- Az Azure-erőforrásokhoz való hozzáférés védelme és elkülönítése hálózati biztonsági csoportok és szolgáltatásvégpontok használatával
- Az Azure Front Door bemutatása
- A Azure-alkalmazás Gateway bemutatása
- Bevezetés az Azure Web Application Firewall használatába
- Az Azure Private Link bemutatása
- Helyszíni hálózat csatlakoztatása az Azure-hoz VPN Gateway használatával
Következő lépések
A Teljes felügyelet Azure-hálózatkezelésre való alkalmazásával kapcsolatos további információkért lásd:
- Azure-alapú hálózati kommunikáció titkosítása
- Azure-alapú hálózati kommunikáció szegmentálása
- A hálózati forgalom láthatóságának fokozása
- Hálózatok védelme Teljes felügyelet
- Küllős virtuális hálózatok az Azure-ban
- Virtuális hálózatok központba helyezése az Azure-ban
- Küllős virtuális hálózatok azure PaaS-szolgáltatásokkal
- Azure Virtual WAN
Hivatkozások
Ezekre a hivatkozásokra kattintva megismerheti a cikkben említett különböző szolgáltatásokat és technológiákat.