Megosztás a következőn keresztül:

Teljes felügyelet alapelvek alkalmazása a hálózati forgalom láthatóságának biztosításához

  • Cikk

Ez a cikk útmutatást nyújt az Azure-környezetek hálózatainak szegmentálására vonatkozó Teljes felügyelet alapelveinek alkalmazásához. Íme a Teljes felügyelet alapelvei.

Teljes felügyelet elv Definíció
Explicit ellenőrzés Mindig hitelesítse és engedélyezze az összes rendelkezésre álló adatpont alapján.
A legkevésbé kiemelt hozzáférés használata Korlátozza a felhasználói hozzáférést a Just-In-Time és a Just-Enough-Access (JIT/JEA), a kockázatalapú adaptív szabályzatokkal és az adatvédelemmel.
A szabálysértés feltételezése Minimalizálja a sugár- és szegmenshozzáférést. Ellenőrizze a teljes körű titkosítást, és használja az elemzést a láthatóság eléréséhez, a fenyegetésészleléshez és a védelem javításához.

Ennek az alapelvnek az analitikával kell megfelelnie, hogy betekintést kapjon az Azure-infrastruktúrában lévő hálózati forgalomba.

Ez a cikk egy cikksorozat része, amely bemutatja, hogyan alkalmazhatja a Teljes felügyelet alapelveit az Azure-hálózatkezelésre.

A cikkben tárgyalt hálózati forgalom típusai a következők:

  • Központosított
  • Kelet-nyugati forgalom, amely az Azure-beli virtuális hálózatok (VNetek) és az Azure-szolgáltatások és a helyszíni hálózat közötti forgalom.
  • Észak-dél, amely az Azure-környezet és az internet közötti forgalom

Referenciaarchitektúra

Az alábbi ábra a Teljes felügyelet referenciaarchitektúráját mutatja be a helyszíni és az Azure-beli virtuális hálózatok, az Azure-beli virtuális hálózatok és az Azure-szolgáltatások, valamint az Azure-környezet és az internet közötti forgalomvizsgálathoz.

A referenciaarchitektúra és a kelet-nyugati és észak-déli forgalmi folyamatok ábrázolása.

Ez a referenciaarchitektúra a következőket tartalmazza:

  • Azure-beli virtuális gépeken futó Azure IaaS-számítási feladatok.
  • Azure-szolgáltatások.
  • Az Azure DDoS Protectiont, az Azure Firewallt és az Azure Web Application Firewallt (WAF) tartalmazó internetszéles virtuális hálózat.
  • A kelet-nyugati és az észak-déli forgalom áramlását mutató nyilak.

Mi található ebben a cikkben?

Teljes felügyelet alapelvek a referenciaarchitektúra egészére érvényesek. Az alábbi táblázat azokat a javaslatokat ismerteti, amelyek biztosítják a hálózati forgalom láthatóságát ezen az architektúrán a "Szabálysértés feltételezése Teljes felügyelet" elvhez.

Lépés Task
0 Központosított forgalomvizsgálati pont implementálása.
2 Kelet-nyugati forgalomvizsgálat megvalósítása.
3 Észak-déli forgalomvizsgálat megvalósítása.

1. lépés: Központosított forgalomvizsgálati pont megvalósítása

A központosított forgalomvizsgálat lehetővé teszi a hálózatba bejövő és kimenő forgalom szabályozását és vizualizációját. A küllős virtuális hálózatok és az Azure Virtual WAN az Azure két leggyakoribb hálózati topológiája. Különböző képességekkel és funkciókkal rendelkeznek a hálózatok csatlakoztatásában. Mindkét kialakításban a központi virtuális hálózat a központi hálózat, és a számítási feladatok alkalmazásokra és számítási feladatokra való felosztására szolgál a központi virtuális hálózatról a küllős virtuális hálózatokra. A központosított ellenőrzés magában foglalja az észak-déli, kelet-nyugati vagy mindkettő forgalmat.

Küllős topológia

A küllős és a küllős modell egyik jellemzője, hogy a virtuális hálózatokat ön kezeli. Az ügyfélközpont által felügyelt virtuális hálózatok megosztott virtuális hálózatként szolgálnak, amelyhez más küllős virtuális hálózatok csatlakoznak. Ez a központi virtuális hálózat általában a következő:

  • A helyszíni hálózatokkal való hibrid kapcsolat létesítése.
  • Forgalomvizsgálathoz és szegmentáláshoz az Azure Firewall vagy külső hálózati virtuális berendezések (NVA-k) használatával.
  • Az alkalmazáskézbesítési szolgáltatás ellenőrzésének központosítása, például Azure-alkalmazás Átjáró waf-nal.

Ebben a topológiában egy Azure-tűzfalat vagy egy NVA-t helyez el a központi virtuális hálózatban, és konfigurálja a felhasználó által megadott útvonalakat (UDR-eket ) a küllős virtuális hálózatokról és a helyszíni hálózatról a központi virtuális hálózatra történő forgalom irányításához. Az Azure Firewall vagy az NVA útvonalmotorként is szolgálhat a küllős virtuális hálózatok közötti forgalom irányításához. Az ügyfél által felügyelt virtuális hálózati központ és küllős modell egyik legfontosabb funkciója a forgalom részletes vezérlése az UDR-ek használatával, valamint az útvonalak útválasztásának, szegmentálásának és propagálásának manuális módosítása.

Azure Virtual WAN

Az Azure Virtual WAN egy Azure által felügyelt központi virtuális hálózat, amely a kapucni alatt található Route Service-példányokat tartalmazza, amelyek felügyelik az útvonalak propagálását az összes ágból és küllőből. Hatékonyan teszi lehetővé a bármilyen kapcsolattal való kapcsolatot.

A felügyelt virtuális hálózatok (úgynevezett felügyelt virtuális központ) között az egyik nagy különbség az, hogy az útválasztás-vezérlés részletessége absztrakcióra kerül a felhasználók számára. A legfontosabb előnyök közé tartoznak a következők:

  • Egyszerűsített útvonalkezelés natív bármely kapcsolattal. Ha forgalomelkülönítésre van szüksége, manuálisan konfigurálhatja az egyéni útvonaltáblákat vagy statikus útvonalakat az alapértelmezett útvonaltáblában.
  • Csak a virtuális hálózati átjárók, az Azure Firewall és a jóváhagyott NVA-k vagy szoftveralapú WAN-eszközök (SD-WAN) telepíthetők a központban. A központosított szolgáltatásoknak, például a DNS-nek és az Application Gateway-nek normál küllős virtuális hálózatokon kell lenniük. A küllőket virtuális hálózatok közötti társviszony-létesítéssel kell csatlakoztatni a virtuális központokhoz.

A felügyelt virtuális hálózatok a legmegfelelőbbek a következőkhöz:

  • Nagy léptékű üzembe helyezés olyan régiókban, ahol tranzitkapcsolatra van szükség, és a forgalomvizsgálatot bármely helyről lehetővé teszi.
  • Több mint 30 fiókhely vagy több mint 100 IPsec-alagút.

A Virtual WAN egyik legjobb funkciója a skálázhatósági útválasztási infrastruktúra és az összekapcsolhatóság. A méretezhetőség például 50 Gb/s hubonkénti átviteli sebesség és 1000 ághely. A további skálázás érdekében több virtuális központ is összekapcsolható egy nagyobb Virtual WAN mesh-hálózat létrehozásához. A Virtual WAN másik előnye, hogy egy gombnyomással előtagok beszúrásával egyszerűsítheti a forgalomvizsgálat útválasztását.

Minden kialakításnak megvannak a maga előnyei és hátrányai. A megfelelő választást a várható jövőbeli növekedési és felügyeleti többletterhelési követelmények alapján kell meghatározni.

2. lépés: A kelet-nyugati forgalom ellenőrzésének megvalósítása

A kelet-nyugati forgalmi folyamatok közé tartoznak a virtuális hálózatok közötti és a helyszíni virtuális hálózatok. A kelet-nyugati forgalom vizsgálatához üzembe helyezhet egy Azure Firewallt vagy egy NVA-t a központi virtuális hálózaton. Ehhez az UDR-eknek privát forgalmat kell irányítaniuk az Azure Firewallra vagy az NVA-ra ellenőrzés céljából. Ugyanazon a virtuális hálózaton belül hálózati biztonsági csoportokat használhat a hozzáférés-vezérléshez, de ha mélyebb ellenőrzésre van szüksége ellenőrzéssel, használhat helyi tűzfalat vagy központosított tűzfalat a központi virtuális hálózaton az UDR-ek használatával.

Az Azure Virtual WAN használatával az Azure Firewall vagy egy NVA is elérhető a virtuális központban a központosított útválasztáshoz. Az Azure Firewall Managerrel vagy az útválasztási szándékkal megvizsgálhatja az összes privát forgalmat. Ha testre szeretné szabni az ellenőrzést, az Azure Firewall vagy az NVA is elérhető a virtuális központban a kívánt forgalom vizsgálatához. A virtual WAN-környezetek forgalmának irányításának legegyszerűbb módja a magánforgalom útválasztási szándékának engedélyezése. Ez a funkció leküldi a privát címelőtagokat (RFC 1918) a központhoz csatlakoztatott összes küllőre. A magánhálózati IP-címre irányuló forgalmat a rendszer a virtuális központba irányítja ellenőrzés céljából.

Minden módszernek megvannak a maga előnyei és hátrányai. Az útválasztási szándék használatának előnye az UDR-felügyelet egyszerűsítése, de kapcsolatonként nem szabható testre az ellenőrzés. Az útválasztási szándék vagy a Firewall Manager használatának az az előnye, hogy testre szabhatja az ellenőrzést. A hátránya, hogy nem végezhet régiók közötti forgalomvizsgálatot.

Az alábbi ábra az Azure-környezetben belüli kelet-nyugati forgalmat mutatja be.

Az Azure-környezeten belüli kelet-nyugati forgalommal rendelkező referenciaarchitektúra ábrája.

Az Azure-beli hálózati forgalom láthatósága érdekében a Microsoft javasolja egy Azure Firewall vagy egy NVA implementálását a virtuális hálózaton. Az Azure Firewall a hálózati réteg és az alkalmazásréteg forgalmát is képes megvizsgálni. Az Azure Firewall emellett olyan további funkciókat is biztosít, mint az Intrusion Detection and Prevention System (IDPS), a Transport Layer Security (TLS) ellenőrzése, az URL-szűrés és a webkategóriák szűrése.

Az Azure Firewall vagy egy NVA felvétele az Azure-hálózatba elengedhetetlen ahhoz, hogy betartsaai Teljes felügyelet elvét a hálózatkezeléshez. Tekintettel arra, hogy a biztonsági rések akkor léphetnek fel, amikor az adatok áthaladnak egy hálózaton, elengedhetetlen annak megértése és szabályozása, hogy milyen forgalom érheti el a célhelyét. Az Azure Firewall, az UDR-ek és a hálózati biztonsági csoportok kulcsfontosságú szerepet játszanak a biztonságos forgalmi modell engedélyezésében a számítási feladatok közötti forgalom engedélyezésével vagy letiltásával.

Ha további részleteket szeretne látni a virtuális hálózat forgalmi folyamatairól, engedélyezheti a virtuális hálózati folyamatnaplókat vagy az NSG-folyamatnaplókat. A folyamatnapló adatai egy Azure Storage-fiókban vannak tárolva, ahol elérheti és exportálhatja őket egy vizualizációs eszközbe, például az Azure Traffic Analyticsbe. Az Azure Traffic Analytics segítségével ismeretlen vagy nemkívánatos forgalmat talál, figyelheti a forgalom szintjét és a sávszélesség-használatot, vagy szűrhet adott forgalomra az alkalmazás viselkedésének megértéséhez.

3. lépés: Észak-déli forgalmi ellenőrzés megvalósítása

Az észak-déli forgalom általában magában foglalja a magánhálózatok és az internet közötti forgalmat. A küllős topológiában lévő észak-déli forgalom vizsgálatához az UDR-ek használatával irányíthatja a forgalmat egy Azure Firewall-példányra vagy egy NVA-ra. Dinamikus hirdetés esetén az Azure Route Servert olyan NVA-val használhatja, amely támogatja a BGP-t a virtuális hálózatokról az NVA-ba irányuló összes internethez kötött forgalom irányításához.

Az Azure Virtual WAN-ban az észak-déli forgalmat a virtuális hálózatokról a virtuális központban támogatott Azure Firewallra vagy NVA-ra irányíthatja, az alábbi gyakori forgatókönyveket használhatja:

  • Az útválasztási szándékkal vagy az Azure Firewall Managerrel vezérelhető virtuális központban használjon NVA-t vagy Azure Firewall-t az észak-déli forgalom irányításához.
  • Ha az NVA nem támogatott a virtuális központban, küllős virtuális hálózaton telepítheti, és az UDR-ekkel irányíthatja a forgalmat ellenőrzés céljából. Ugyanez vonatkozik az Azure Firewallra is. Azt is megteheti, hogy a BGP egy küllőben társviszonyt létesít egy NVA-val a virtuális központtal egy alapértelmezett útvonal meghirdetéséhez (0.0.0.0/0).

Az alábbi ábra egy Azure-környezet és az internet közötti észak-déli forgalmat mutatja be.

Az Azure-környezet és az internet közötti referenciaarchitektúra és észak-déli forgalom ábrázolása.

Az Azure a következő hálózatkezelési szolgáltatásokat nyújtja, amelyek az Azure-környezetbe be- és kilépő hálózati forgalom láthatóságát biztosítják.

Azure DDoS Protection

Az Azure DDoS Protection bármely olyan virtuális hálózaton engedélyezhető, amely nyilvános IP-erőforrásokkal rendelkezik az elosztott szolgáltatásmegtagadási (DDoS) támadások monitorozására és enyhítésére. Ez a kockázatcsökkentési folyamat magában foglalja a forgalom kihasználtságának elemzését a DDoS-szabályzat előre meghatározott küszöbértékei alapján, majd ezt az információt további vizsgálat céljából naplózva. A jövőbeli incidensekre való jobb felkészülés érdekében az Azure DDoS Protections lehetővé teszi, hogy szimulációkat végezzen a nyilvános IP-címek és -szolgáltatások ellen, és értékes betekintést nyújt az alkalmazás rugalmasságába és válaszába egy DDoS-támadás során.

Azure Firewall

Az Azure Firewall eszközgyűjteményt biztosít a hálózati forgalom figyeléséhez, naplózásához és elemzéséhez.

  • Naplók és metrikák

    Az Azure Firewall részletes naplókat gyűjt az Azure Log Analytics-munkaterületekkel való integrációval. A Kusto lekérdezésnyelv (KQL) lekérdezésekkel további információkat nyerhet ki a szabályok fő kategóriáiról, például az alkalmazás- és hálózati szabályokról. Lekérheti az erőforrás-specifikus naplókat is, amelyek a hálózatkezelési szintről a fenyegetésfelderítési és IDPS-naplókra bontanak ki sémákat és struktúrákat. További információt az Azure Firewall strukturált naplóiban talál.

  • Munkafüzetek

    Az Azure Firewall olyan munkafüzeteket biztosít, amelyek az idő múlásával végzett tevékenységdiagramok használatával gyűjtött adatokat mutatják be. Ezzel az eszközzel több Azure Firewall-erőforrást is vizualizálhat, ha egyesített felületen egyesíti őket. További információ: Azure Firewall-munkafüzetek használata.

  • Szabályzatelemzés

    Az Azure Firewall Policy Analytics áttekintést nyújt a végrehajtott szabályzatokról, és a szabályzatelemzések, a szabályelemzések és a forgalomfolyamat-elemzések alapján a rendszer a forgalmi mintákhoz és fenyegetésekhez igazodva módosítja az implementált szabályzatokat. További információ: Azure Firewall Policy Analytics.

Ezek a képességek biztosítják, hogy az Azure Firewall továbbra is hatékony megoldást nyújtson a hálózati forgalom biztonságossá tételéhez azáltal, hogy a rendszergazdák számára biztosítja a hatékony hálózatkezeléshez szükséges eszközöket.

Alkalmazási átjáró

Az Application Gateway fontos képességeket biztosít a forgalom biztonsági célú monitorozásához, naplózásához és elemzéséhez. A naplóelemzés engedélyezésével és az előre definiált vagy egyéni KQL-lekérdezések használatával megtekintheti a HTTP-hibakódokat, beleértve azokat a 4xx és 5xx tartományokat is, amelyek kritikus fontosságúak a problémák azonosításához.

Az Application Gateway hozzáférési naplói emellett kritikus elemzéseket nyújtanak a legfontosabb, biztonsággal kapcsolatos paraméterekről, például az ügyfél IP-címéről, a kérelem URL-címéről, a HTTP-verzióról és az SSL-/TLS-specifikus konfigurációs értékekről, például a protokollokról, a TLS-titkosítási csomagokról és az SSL-titkosítás engedélyezéséről.

Azure Front Door

Az Azure Front Door az Anycast TCP-t használja a forgalom a legközelebbi adatközponti jelenléti ponthoz (PoP) való átirányításához. A hagyományos terheléselosztóhoz hasonlóan azure-tűzfalat vagy NVA-t is elhelyezhet az Azure Front Door háttérkészletében, más néven annak eredetét. Az egyetlen követelmény az, hogy a forrás IP-címe nyilvános legyen.

Miután konfigurálta az Azure Front Doort a kérések fogadására, forgalmi jelentéseket hoz létre, hogy bemutassuk, hogyan működik az Azure Front Door-profil. Az Azure Front Door Premium szint használatakor biztonsági jelentések is elérhetők a WAF-szabályokkal való egyezések megjelenítéséhez, beleértve az Open Worldwide Application Security Project (OWASP) szabályokat, a robotvédelmi szabályokat és az egyéni szabályokat.

Azure WAF

Az Azure WAF egy további biztonsági funkció, amely a 7. réteg forgalmát vizsgálja, és aktiválható az Application Gateway és az Azure Front Door esetében is bizonyos szinteken. Ez további biztonsági réteget biztosít a nem az Azure-ból származó forgalom számára. A WAF megelőzési és észlelési módban is konfigurálható az OWASP alapvető szabálydefinícióival.

Figyelési eszközök

Az észak-déli forgalmi folyamatok átfogó monitorozásához olyan eszközöket használhat, mint az NSG-folyamatnaplók, az Azure Traffic Analytics és a VNet-folyamatnaplók a hálózat láthatóságának növeléséhez.

Következő lépések

A Teljes felügyelet Azure-hálózatkezelésre való alkalmazásával kapcsolatos további információkért lásd:

Hivatkozások

Ezekre a hivatkozásokra kattintva megismerheti a cikkben említett különböző szolgáltatásokat és technológiákat.