Teljes felügyelet alapelvek alkalmazása az Azure-alapú hálózati kommunikáció szegmentálására
Ez a cikk útmutatást nyújt az Azure-környezetek hálózatainak szegmentálására vonatkozó Teljes felügyelet alapelveinek alkalmazásához. Íme a Teljes felügyelet alapelvei.
| Teljes felügyelet elv | Definíció |
|---|---|
| Explicit ellenőrzés | Mindig hitelesítse és engedélyezze az összes rendelkezésre álló adatpont alapján. |
| A legkevésbé kiemelt hozzáférés használata | Korlátozza a felhasználói hozzáférést a Just-In-Time és a Just-Enough-Access (JIT/JEA), a kockázatalapú adaptív szabályzatokkal és az adatvédelemmel. |
| A szabálysértés feltételezése | Minimalizálja a sugár- és szegmenshozzáférést. Ellenőrizze a teljes körű titkosítást, és használja az elemzést a láthatóság eléréséhez, a fenyegetésészleléshez és a védelem javításához. Az Azure-infrastruktúra különböző szintjein végzett hálózati szegmentálással minimalizálhatja a kibertámadások sugár- és szegmenshozzáférését. |
Ez a cikk egy cikksorozat része, amely bemutatja, hogyan alkalmazhatja a Teljes felügyelet alapelveit az Azure-hálózatkezelésre.
Ahogy a szervezetek kisvállalkozásokból nagyvállalatokká nőnek, gyakran egyetlen Azure-előfizetésről több előfizetésre kell váltaniuk az egyes részlegek erőforrásainak elkülönítéséhez. Fontos, hogy gondosan megtervezze a hálózat szegmentálását, hogy logikai határokat és elkülönítést hozzon létre a környezetek között.
Minden környezetnek, amely általában a szervezet egy külön részlegét tükrözi, saját hozzáférési engedélyekkel és szabályzatokkal kell rendelkeznie adott számítási feladatokhoz. A belső szoftverfejlesztői előfizetés felhasználóinak például nem szabad hozzáféréssel rendelkezniük a hálózati erőforrások kezeléséhez és üzembe helyezéséhez a kapcsolati előfizetésben. Ezeknek a környezeteknek azonban továbbra is hálózati kapcsolatra van szükségük ahhoz, hogy elérjék a szükséges funkciókat az alapvető szolgáltatásokhoz, például a DNS-hez, a hibrid kapcsolatokhoz, és hogy más erőforrásokat is elérhessenek különböző Azure-beli virtuális hálózatokon (virtuális hálózatokon).
Az Azure-infrastruktúra szegmentálása nem csak elkülönítést biztosít, hanem olyan biztonsági határokat is létrehozhat, amelyek megakadályozzák, hogy a támadók áttérnek a környezetek között, és további károkat okozzanak (a behatolás feltételezése Teljes felügyelet alapelv).
Referenciaarchitektúra
Az Azure-ban különböző szegmentálási szinteket használhat az erőforrások jogosulatlan hozzáféréssel vagy rosszindulatú támadásokkal szembeni védelméhez. Ezek a szegmentálási szintek az előfizetés szintjén kezdődnek, és egészen a virtuális gépeken futó alkalmazásokig vezetnek. A szegmentálás létrehoz egy határt, amely elválasztja az egyik környezetet a másiktól, és mindegyik saját szabályokkal és szabályzatokkal rendelkezik. Azzal a feltételezéssel, hogy biztonsági rések fordulhatnak elő, a hálózatokat szegmentálással kell megakadályozni.
Az Azure-hálózatkezelés a szegmentálás alábbi szintjeire van alkalmazva:
Előfizetések
Az Azure-előfizetés az erőforrások kiosztására használt logikai tároló a Azure-ban. Egy Azure-fiókhoz van társítva egy Microsoft Entra ID-bérlőben, és egyetlen számlázási egységként szolgál az előfizetéshez rendelt Azure-erőforrásokhoz. Az Azure-előfizetés az előfizetésben található erőforrásokhoz való hozzáférés logikai határa is. A különböző előfizetésekben lévő erőforrásokhoz való hozzáféréshez explicit engedélyek szükségesek.
Virtuális hálózatok
Az Azure-beli virtuális hálózat egy elkülönített magánhálózat, amely alapértelmezés szerint lehetővé teszi, hogy a benne lévő összes virtuális gép kommunikáljon egymással. Alapértelmezés szerint a virtuális hálózatok nem tudnak kommunikálni más virtuális hálózatokkal, kivéve, ha társviszony-létesítéssel, VPN-kapcsolatokkal vagy ExpressRoute-tal hoz létre kapcsolatokat közöttük. Az egyes virtuális hálózatok megbízhatósági határként használhatók, amelyek különböző alkalmazásokat, számítási feladatokat, részlegeket vagy szervezeteket osztanak meg.
Az Azure Virtual Network Manager (AVNM) egy hálózatkezelési szolgáltatás, amely lehetővé teszi, hogy egyetlen felügyeleti csapat felügyelje a virtuális hálózatokat, és globálisan több előfizetésre vonatkozó biztonsági szabályokat kényszerítsen ki. Az AVNM használatával hálózati csoportokat határozhat meg annak meghatározásához, hogy mely virtuális hálózatok kommunikálhatnak egymással. Az AVNM-et a hálózati konfiguráció változásainak figyelésére is használhatja.
Virtuális hálózaton belüli számítási feladatok
A virtuális hálózaton belüli számítási feladatok ( például virtuális gépek vagy a virtuális hálózatok integrációját támogató PaaS-szolgáltatások, például az Azure Databricks és az App Service) esetében a kommunikáció alapértelmezés szerint engedélyezett, mivel ugyanazon a virtuális hálózaton belül vannak, és hálózati biztonsági csoportokkal kell tovább védeni őket. A virtuális hálózaton belüli szegmentáláshoz szükséges eszközök és szolgáltatások a következők:
Azure Firewall
Az Azure Firewall egy virtuális hálózaton üzembe helyezett szolgáltatás, amely szűri a felhőbeli erőforrások, a helyszíni és az internet közötti forgalmat. Az Azure Firewall használatával szabályokat és szabályzatokat határozhat meg a hálózati és alkalmazásrétegek forgalmának engedélyezéséhez vagy letiltásához. Az Azure Firewall által biztosított speciális veszélyforrások elleni védelmi funkciók, például az Intrusion Detection and Prevention System (IDPS), a Transport Layer Security (TLS) vizsgálata és a fenyegetésintelligencia-alapú szűrés is hasznos lehet.
Hálózati biztonsági csoport
A hálózati biztonsági csoport egy hozzáférés-vezérlési mechanizmus, amely szűri az Azure-erőforrások, például a virtuális hálózatokon belüli virtuális gépek közötti hálózati forgalmat. A hálózati biztonsági csoportok olyan biztonsági szabályokat tartalmaznak, amelyek engedélyezik vagy letiltják a forgalmat egy virtuális hálózat alhálózati vagy virtuálisgép-szintjein. A hálózati biztonsági csoportok gyakran használják a különböző alhálózatokban lévő virtuális gépek csoportjainak szegmentálását.
Alkalmazásbiztonsági csoport
Az alkalmazásbiztonsági csoport egy hálózati biztonsági csoport kiterjesztése, amely lehetővé teszi a virtuális gépek hálózati adaptereinek csoportosítását szerepköreik és funkcióik alapján. Ezután nagy méretekben használhatja az alkalmazásbiztonsági csoportokat egy hálózati biztonsági csoportban anélkül, hogy meg kellene határoznia a virtuális gépek IP-címét.
Azure Front Door
Az Azure Front Door a Microsoft modern felhőalapú Tartalomkézbesítési hálózata (CDN), amely gyors, megbízható és biztonságos hozzáférést biztosít a felhasználók és az alkalmazások statikus és dinamikus webes tartalmai között világszerte.
Az alábbi ábra a szegmentálási szintek referenciaarchitektúráját mutatja be.
A diagramon az egyszínű piros vonalak a szegmentálási szinteket jelölik a következők között:
- Azure-előfizetések
- Virtuális hálózatok egy előfizetésben
- Alhálózatok egy virtuális hálózatban
- Az internet és a virtuális hálózat
Az ábrán az AVNM által felügyelt virtuális hálózatok is láthatók, amelyek az Azure-előfizetésekre is kiterjedhetnek.
Mi található ebben a cikkben?
Teljes felügyelet alapelveket az Azure-felhő referenciaarchitektúráiban alkalmazzák. Az alábbi táblázat azokat a javaslatokat ismerteti, amelyek alapján a hálózatok az architektúra egészére szegmentálásra épülnek, hogy betartsák a biztonsági rések feltételezése Teljes felügyelet elvet.
| Lépés | Task |
|---|---|
| 0 | Szegmens az egyes virtuális hálózatokon belül. |
| 2 | Több virtuális hálózat csatlakoztatása társviszony-létesítéssel. |
| 3 | Több virtuális hálózat csatlakoztatása egy központi és küllős konfigurációban. |
1. lépés: Szegmens az egyes virtuális hálózatokon belül
Egy Azure-előfizetés egyetlen virtuális hálózatán belül alhálózatok használatával érheti el az erőforrások elkülönítését és szegmentálását. Egy virtuális hálózaton belül lehet például egy alhálózat az adatbázis-kiszolgálókhoz, egy másik webalkalmazásokhoz, valamint egy dedikált alhálózat egy Azure Firewallhoz vagy egy webalkalmazási tűzfallal rendelkező Azure-alkalmazás átjáróhoz. Alapértelmezés szerint az alhálózatok közötti összes kommunikáció engedélyezve van egy virtuális hálózaton belül.
Az alhálózatok közötti elkülönítés létrehozásához alkalmazhat hálózati biztonsági csoportokat vagy alkalmazásbiztonsági csoportokat, hogy ip-címek, portok vagy protokollok alapján engedélyezze vagy tiltsa le az adott hálózati forgalmat. A hálózati biztonsági csoportok és alkalmazásbiztonsági csoportok tervezése és karbantartása azonban felügyeleti többletterhelést is okozhat.
Ez az ábra egy háromrétegű alkalmazás általános és ajánlott konfigurációját mutatja be, amely minden szinten külön alhálózatokkal rendelkezik, valamint a hálózati biztonsági csoportok és az alkalmazásbiztonsági csoportok használatával szegmentált határokat hoz létre az egyes alhálózatok között.
Az erőforrások szegmentálását úgy is el lehet érni, hogy az alhálózatok közötti forgalmat felhasználó által definiált útvonalakkal (UDR- k) irányítják, amelyek egy Azure-tűzfalra vagy egy külső hálózati virtuális berendezésre (NVA) mutatnak. Az Azure Firewall és az NVA-k a 3. réteg és a 7. réteg vezérlőinek használatával is engedélyezhetik vagy letiltják a forgalmat. A szolgáltatások többsége speciális szűrési képességeket biztosít.
További információkért tekintse meg az 1. minta egy virtuális hálózatra vonatkozó útmutatását.
2. lépés: Több virtuális hálózat csatlakoztatása társviszony-létesítéssel
Alapértelmezés szerint nincs engedélyezett kommunikáció egyetlen Azure-előfizetéssel vagy több előfizetéssel rendelkező virtuális hálózatok között. Több virtuális hálózat, amelyek mindegyike különböző entitásokhoz tartozik, saját hozzáférés-vezérléssel rendelkezik. Virtuális hálózatok közötti társviszony-létesítéssel csatlakozhatnak egymáshoz vagy egy központosított központi virtuális hálózathoz, ahol az Azure Firewall vagy egy külső NVA az összes forgalmat ellenőrzi.
Ez az ábra két virtuális hálózat közötti társviszony-létesítési kapcsolatot és az Azure Firewall használatát mutatja be a kapcsolat mindkét végén.
A központi virtuális hálózatok általában megosztott összetevőket, például tűzfalakat, identitásszolgáltatókat és hibrid kapcsolati összetevőket tartalmaznak, többek között. Az UDR-kezelés egyszerűbbé válik, mivel a mikroszegmentáláshoz az UDR-ek adott előtagjának hozzáadása csak akkor lenne szükséges, ha a virtuális hálózaton belüli forgalom követelmény. Mivel azonban a virtuális hálózatnak saját határai vannak, a biztonsági vezérlők már érvényben vannak.
Az alábbi útmutatók további információkat kínálnak:
- Tűzfal és Application Gateway virtuális hálózatokhoz
- 2. minta: Több virtuális hálózat közöttük létesített társviszony
- Teljes felügyelet alapelvek alkalmazása küllős virtuális hálózatra az Azure-ban
- Teljes felügyelet alapelvek alkalmazása egy Azure-beli központi virtuális hálózatra
3. lépés: Több virtuális hálózat csatlakoztatása küllős konfigurációban
A küllős és a küllős konfigurációban lévő több virtuális hálózat esetében meg kell fontolnia, hogyan szegmentálta a hálózati forgalmat az alábbi határokhoz:
- Internethatár
- Helyszíni hálózati határ
- A globális Azure-szolgáltatások határai
Internethatár
Az internetes forgalom védelme a hálózati biztonság egyik alapvető prioritása, amely magában foglalja az internetről érkező bejövő forgalom (nem megbízható) és az Azure-számítási feladatokból az internetre irányuló kimenő forgalom (megbízható) kezelését.
A Microsoft azt javasolja, hogy az internetről érkező bejövő forgalom egyetlen belépési ponttal rendelkezik. A Microsoft nagy mértékben arra ösztönzi, hogy a bejövő forgalom egy Azure PaaS-erőforráson, például az Azure Firewallon, az Azure Front Dooron vagy Azure-alkalmazás Gatewayen keresztül halad át. Ezek a PaaS-erőforrások több képességet kínálnak, mint egy nyilvános IP-címmel rendelkező virtuális gép.
Azure Firewall
Ez az ábra azt mutatja be, hogy az Azure Firewall a saját alhálózatában hogyan működik központi belépési pontként és szegmentálási határként az internet és egy háromszintű számítási feladat között egy Azure-beli virtuális hálózatban.
További információ: Azure Firewall a Microsoft Azure Well-Architected Frameworkben.
Azure Front Door
Az Azure Front Door határként működhet az internet és az Azure-ban üzemeltetett szolgáltatások között. Az Azure Front Door támogatja a Private Link-kapcsolatot olyan erőforrásokhoz, mint a belső terheléselosztás (ILB) a virtuális hálózatokhoz való hozzáféréshez, a statikus webhelyekhez és blobtárolókhoz tartozó tárfiókok, valamint Azure-alkalmazás szolgáltatások. Az Azure Front Door általában nagy léptékű üzemelő példányokhoz készült.
Az Azure Front Door több, mint terheléselosztási szolgáltatás. Az Azure Front Door-infrastruktúra beépített DDoS-védelemmel rendelkezik. Ha a gyorsítótárazás engedélyezve van, a tartalom lekérhető a jelenléti pontokról (POP) ahelyett, hogy folyamatosan hozzáférnének a háttérkiszolgálókhoz. Amikor a gyorsítótár lejár, az Azure Front Door lekéri a kért erőforrást, és frissíti a gyorsítótárat. A kiszolgálókhoz hozzáférő végfelhasználók helyett az Azure Front Door split TCP-t használ két különálló kapcsolathoz. Ez nem csak javítja a végfelhasználói élményt, de megakadályozza, hogy a rosszindulatú szereplők közvetlenül hozzáférjenek az erőforrásokhoz.
Ez az ábra bemutatja, hogyan biztosít szegmentálást az Azure Front Door az internetfelhasználók és az Azure-erőforrások között, amelyek tárfiókokban lehetnek.
További információ: Azure Front Door az Azure Well-Architected Frameworkben.
Azure Application Gateway
Az internetes belépési pont a bejövő pontok kombinációja is lehet. A HTTP/HTTPS-forgalom például egy webalkalmazási tűzfal vagy az Azure Front Door által védett Application Gatewayen keresztül is be tud haladni. A nem HTTP-/HTTPS-forgalom, például az RDP/SSH az Azure Firewallon vagy egy NVA-n keresztül tud bemenően haladni. Ezt a két elemet a tandemben használhatja a mélyebb ellenőrzéshez és a forgalom szabályozásához az UDR-ek használatával.
Ez az ábra bemutatja az internetes bejövő forgalmat, valamint az Application Gateway használatát a HTTP/HTTPS-forgalomhoz használható webalkalmazási tűzfallal és egy Azure Firewall-tal az összes többi forgalomhoz.
Két gyakran ajánlott forgatókönyv:
- Helyezzen el egy Azure Firewallt vagy egy NVA-t párhuzamosan egy Application Gateway használatával.
- Helyezzen el egy Azure Firewallt vagy egy NVA-t az Application Gateway után további forgalomvizsgálathoz, mielőtt elérené a célhelyet.
További információ: Azure-alkalmazás Gateway a Microsoft Azure Well-Architected Frameworkben.
Íme az internetes forgalom további gyakori mintái.
Bejövő forgalom több interfész használatával
Az egyik megközelítés több hálózati adapter használatát foglalja magában a virtuális gépeken az NVA-k használatakor: az egyik interfész a nem megbízható forgalomhoz (külső elérésű), a másik pedig a megbízható forgalomhoz (belső elérésű). A forgalom szempontjából a bejövő forgalmat a helyszíni forgalomból az NVA-ba kell irányítania UDR-ek használatával. Az NVA által fogadott internetes bejövő forgalmat a megfelelő virtuális hálózaton vagy alhálózaton a cél számítási feladathoz kell irányítani a vendég operációsrendszer-berendezés és az UDR-ek statikus útvonalainak kombinációjával.
Kimenő forgalom és UDR-ek
Az internetre irányuló virtuális hálózatot elhagyó forgalom esetén egy UDR-t alkalmazhat egy útvonaltáblával a kiválasztott NVA-val a következő ugrásként. Az összetettség csökkentése érdekében üzembe helyezhet egy Azure-tűzfalat vagy NVA-t az Azure Virtual WAN-központban , és útválasztási szándékkal bekapcsolhatja az internetbiztonságot. Ez biztosítja, hogy a nem Azure-beli virtuális IP-címekre (IP-címekre) irányuló észak-déli forgalom (hálózati hatókörből érkező és kimenő) és a kelet-nyugati (hálózati hatókörön belüli eszközök közötti) forgalom is vizsgálva legyen.
Kimenő forgalom és alapértelmezett útvonal
Egyes metódusok az alapértelmezett útvonal (0.0.0.0/0) különböző metódusokkal történő kezelését foglalják magukban. Általános szabályként ajánlott, hogy az Azure-ból származó kimenő forgalom az Azure Firewall vagy NVA-k által kezelt átviteli sebesség miatt használja a kilépési pontokat és az ellenőrzést az Azure-infrastruktúrával, ami a legtöbb esetben sokkal nagyobb és rugalmasabb lehet. Ebben az esetben egy alapértelmezett útvonal konfigurálása a számítási feladatok alhálózatainak UDR-jeiben kényszerítheti a forgalmat ezekre a kilépési pontokra. Előfordulhat, hogy a kimenő forgalmat a helyszínről az Azure-ba szeretné irányítani kilépési pontként. Ebben az esetben használja az Azure Route Servert egy NVA-val kombinálva, hogy egy alapértelmezett útvonalat hirdessen a helyszíni felé a Border Gateway Protocol (BGP) használatával.
Vannak különleges esetek, amikor az összes kimenő forgalmat vissza kell irányítani a helyszínre egy alapértelmezett útvonal meghirdetésével a BGP-n keresztül. Ez arra kényszeríti a virtuális hálózatot elhagyó forgalmat, hogy a helyszíni hálózaton keresztül egy tűzfalra bújtassunk ellenőrzés céljából. Ez az utolsó megközelítés a legkevésbé kívánt az Azure által biztosított megnövekedett késés és a biztonsági vezérlők hiánya miatt. Ezt a gyakorlatot széles körben elfogadják a kormányzati és banki szektorok, amelyek a helyszíni környezetükön belüli forgalomvizsgálatra vonatkozó különleges követelményekkel rendelkeznek.
Skálázás szempontjából:
- Egyetlen virtuális hálózat esetében használhat hálózati biztonsági csoportokat, amelyek szigorúan megfelelnek a 4. réteg szemantikájának, vagy használhat olyan Azure Firewallt, amely a 4. és a 7. réteg szemantikáját is követi.
- Több virtuális hálózat esetén egyetlen Azure Firewall akkor is használható, ha elérhető, vagy üzembe helyezhet egy Azure-tűzfalat minden virtuális hálózaton, és UDR-kkel irányíthatja a forgalmat.
Nagyvállalati elosztott hálózatok esetén továbbra is használhatja a küllős modellt és a közvetlen forgalmat az UDR-ekkel. Ez azonban felügyeleti többletterheléshez és virtuális hálózatok közötti társviszony-létesítési korlátokhoz vezethet. A könnyű használat érdekében az Azure Virtual WAN ezt akkor érheti el, ha üzembe helyez egy Azure Firewallt a virtuális központban, és aktiválja az útválasztási szándékot az internetbiztonság érdekében. Ez az alapértelmezett útvonalakat injektálja az összes küllőn és ághálózaton, és internetkapcsolattal rendelkező forgalmat küld az Azure Firewallnak ellenőrzés céljából. Az RFC 1918 címblokkokba irányuló privát forgalom az Azure Virtual WAN-központ kijelölt következő ugrásaként az Azure Firewall vagy az NVA számára lesz elküldve.
Helyszíni hálózati határ
Az Azure-ban a helyszíni hálózatokkal való kapcsolat létrehozásának fő módszerei közé tartoznak az Internet Protocol-alagutak, az ExpressRoute-alagutak vagy a szoftveralapú WAN-(SD-WAN-) alagutak. Általában azure site-to-site (S2S) VPN-kapcsolatot használ kisebb, kisebb sávszélességet igénylő számítási feladatokhoz. A dedikált szolgáltatási útvonalat és nagyobb átviteli sebességet igénylő számítási feladatok esetében a Microsoft az ExpressRoute használatát javasolja.
Ez az ábra az Azure-környezet és a helyszíni hálózat közötti kapcsolati módszerek különböző típusait mutatja be.
Bár az Azure VPN-kapcsolatok több alagutat is támogatnak, az ExpressRoute gyakran nagyobb nagyvállalati hálózatokhoz van konfigurálva, amelyek nagyobb sávszélességet és privát kapcsolatokat igényelnek egy kapcsolati partneren keresztül. Az ExpressRoute esetében ugyanannak a virtuális hálózatnak több kapcsolatcsoporthoz is csatlakoztatható, de szegmentálási célokból ez gyakran nem ideális, mivel lehetővé teszi, hogy a virtuális hálózatok ne csatlakozzanak egymáshoz.
A szegmentálás egyik módszere, ha nem használ távoli átjárót küllős virtuális hálózatokon, vagy letiltja a BGP-útvonalak propagálását, ha útvonaltáblákat használ. Továbbra is szegmentelheti az ExpressRoute-hoz csatlakoztatott központokat NVA-kkal és tűzfalakkal. A központokkal társviszonyban lévő küllők esetében dönthet úgy, hogy nem használja a távoli átjárót a virtuális hálózatok társviszony-létesítési tulajdonságai között. Így a küllők csak a közvetlenül csatlakoztatott központokat ismerhetik meg, a helyszíni útvonalakat nem.
A helyszíni és a helyszíni forgalom szegmentálásának egy másik új megközelítése az SD-WAN technológiák használata. Az ághelyeket az Azure SD-WAN-ra is kiterjesztheti, ha az Azure-ban külső NVA-k használatával szegmentálást hoz létre az NVA-berendezések különböző ágaiból érkező SD-WAN-alagutak alapján. Az Azure Route Server használatával injektálhatja az SD-WAN-alagutak címelőtagjait egy küllős topológia Azure-platformjába.
Virtuális WAN-topológia esetén a külső SD-WAN NVA közvetlen integrálható a virtuális központban. BGP-végpontokkal is engedélyezheti az SD-WAN-megoldások használatát, így a virtuális központ integrált NVA-jából alagutakat hozhat létre.
Mindkét modell esetében használhatja az ExpressRoute-ot a mögöttes privát vagy nyilvános kapcsolatok privát társviszony-létesítéssel vagy Microsoft-társviszony-létesítéssel való szegmentálására. A biztonság érdekében gyakori eljárás az alapértelmezett útvonal meghirdetása az ExpressRoute-on keresztül. Ez arra kényszeríti a virtuális hálózatot elhagyó összes forgalmat, hogy a helyszíni hálózatra bújtatják ellenőrzés céljából. Hasonlóképpen, a VPN-en és az ExpressRoute-on keresztül érkező forgalom is elküldhető egy NVA-nak további ellenőrzés céljából. Ez az Azure-t elhagyó forgalomra is vonatkozik. Ezek a módszerek egyszerűek, ha a környezet kisebb, például egy vagy két régió.
Nagy, elosztott hálózatok esetén az Azure Virtual WAN-t úgy is használhatja, hogy aktiválja a magánforgalom-ellenőrzést az Útválasztási szándékkal. Ez az NVA magánhálózati IP-címére irányuló összes forgalmat ellenőrzés céljából irányítja. A fenti módszerekhez hasonlóan ez is sokkal egyszerűbben kezelhető, ha a környezet több régióra is kiterjed.
Az Azure Virtual WAN másik megközelítése az egyéni útvonaltáblák használata elkülönítési határokhoz. Létrehozhat egyéni útvonalakat, és csak az adott útvonaltáblákhoz használni kívánt virtuális hálózatokat társíthatja és propagálhatja. Ez a képesség azonban ma nem kombinálható útválasztási szándékkal. Az ágak elkülönítéséhez címkéket rendelhet hozzá az ágakhoz. Az alapértelmezett címkére való propagálást hubonként is letilthatja. Az Azure-ban jelenleg nem lehet külön elkülöníteni az egyes ágakat egyetlen hubon. Az SD-WAN például nem különíthető el az ExpressRoute-tól. Egy teljes központban azonban letilthatja a propagálást az alapértelmezett címkére.
A globális Azure-szolgáltatások határai
Az Azure-ban a legtöbb szolgáltatás alapértelmezés szerint az Azure globális WAN-on keresztül érhető el. Ez az Azure PaaS-szolgáltatásokhoz való nyilvános hozzáférésre is vonatkozik. Az Azure Storage például beépített tűzfallal rendelkezik, amely korlátozhatja a virtuális hálózatokhoz való hozzáférést, és letilthatja a nyilvános hozzáférést. Azonban gyakran van szükség részletesebb vezérlésre. Jellemzően az Azure-beli IP-címekhez való privát csatlakozást részesíti előnyben a megadott alapértelmezett nyilvános IP-címek használata helyett.
A PaaS-erőforrásokhoz való hozzáférés korlátozásának leggyakoribb módja az Azure Private Link. Privát végpont létrehozásakor a rendszer beszúrja a virtuális hálózatba. Az Azure ezzel a privát IP-címmel bújtat a szóban forgó PaaS-erőforráshoz. Az Azure egy DNS A rekordot képez le a privát végpontra az Azure saját DNS Zones használatával, és egy CNAME rekordot képez le a privát kapcsolatú PaaS-erőforráshoz.
A szolgáltatásvégpontok alternatív módszert kínálnak a PaaS-ip-címekhez való csatlakozáshoz. A szolgáltatáscímkék kiválasztásával engedélyezheti az adott címkén belüli összes PaaS-erőforráshoz való csatlakozást, és privát kapcsolatot biztosíthat a PaaS-erőforrással.
Egy másik elterjedt módszer a Microsoft Peering for ExpressRoute használata. Ha helyszíni PaaS-IP-címekhez szeretne csatlakozni, beállíthatja a Microsoft Peeringet. Kiválaszthatja a használandó IP-címekhez tartozó BGP-közösséget, és ezt a Microsoft társviszony-létesítési útvonalon hirdeti meg.
Az alábbi útmutatók további információkat kínálnak:
- Tűzfal és Application Gateway virtuális hálózatokhoz
- 3. minta: Több virtuális hálózat egy küllős modellben
Szegmentálás összegzése
Ez a táblázat a szegmentálás és a biztonsági módszerek különböző szintjeit foglalja össze.
| a következő időpontok között: | Alapértelmezett viselkedés | A kommunikációt a... | Szegmentálási biztonsági módszer(ek) |
|---|---|---|---|
| Előfizetések | Nincs kommunikáció | - Virtuális hálózatok közötti társviszony-létesítés - VPN-átjárók |
Azure Firewall |
| Virtuális hálózatok | Nincs kommunikáció | - Virtuális hálózatok közötti társviszony-létesítés - VPN-átjárók |
Azure Firewall |
| Virtuális hálózaton belüli alhálózatok számítási feladatai | Nyílt kommunikáció | n/a | - Hálózati biztonsági csoportok - Alkalmazásbiztonsági csoportok |
| Az internet és a virtuális hálózat | Nincs kommunikáció | - Load Balancer - Nyilvános IP-cím - Application Gateway - Azure Front Door |
- Azure-alkalmazás átjáró webalkalmazási tűzfallal - Azure Firewall - Azure Front Door webalkalmazási tűzfallal |
| Az internet és a helyszíni hálózatok | Nincs kommunikáció | - Azure S2S VPN - IPSec-alagút - ExpressRoute-alagút - SD-WAN-alagút |
Azure Firewall |
| Az internet és a virtuális gépek egy virtuális hálózatban | Nincs kommunikáció, ha a virtuális gépek csak magánhálózati IP-címekkel rendelkeznek | Nyilvános IP-cím hozzárendelése a virtuális géphez | Helyi virtuálisgép-tűzfal |
Ajánlott képzés
- Virtuális hálózatok konfigurálása és kezelése Azure-rendszergazdák számára
- Bevezetés az Azure Web Application Firewall használatába
- Az Azure-erőforrásokhoz való hozzáférés védelme és elkülönítése hálózati biztonsági csoportok és szolgáltatásvégpontok használatával
- Az Azure Front Door bemutatása
- A Azure-alkalmazás Gateway bemutatása
- Az Azure Private Link bemutatása
- Az Azure Virtual WAN bemutatása
- Helyszíni hálózat csatlakoztatása az Azure-hoz VPN Gateway használatával
Következő lépések
A Teljes felügyelet Azure-hálózatkezelésre való alkalmazásával kapcsolatos további információkért lásd:
- Azure-alapú hálózati kommunikáció titkosítása
- A hálózati forgalom láthatóságának fokozása
- Régi hálózati biztonsági technológia megszüntetése
- Hálózatok védelme Teljes felügyelet
- Küllős virtuális hálózatok az Azure-ban
- Virtuális hálózatok központba helyezése az Azure-ban
- Küllős virtuális hálózatok azure PaaS-szolgáltatásokkal
- Azure Virtual WAN
Hivatkozások
Ezekre a hivatkozásokra kattintva megismerheti a cikkben említett különböző szolgáltatásokat és technológiákat.
- Azure Virtual Network Manager
- Azure Firewall
- Hálózati biztonsági csoportok
- Alkalmazás biztonsági csoportjai
- Azure Front Door
- Azure Application Gateway
- Webalkalmazási tűzfal
- Azure Private Link
- Azure Virtual WAN
- Internetbiztonság útválasztási szándékkal
- Azure Site-to-Site (S2S) VPN-kapcsolat
- Azure Route Server