Azure 網(wǎng)絡(luò)安全最佳做法,azure active directory 介紹-ESG跨境

Azure 網(wǎng)絡(luò)安全最佳做法,azure active directory 介紹

Azure 網(wǎng)絡(luò)安全最佳做法

本文介紹一系列Azure最佳做法以增強網(wǎng)絡(luò)安全。這些最佳實踐衍生自我們的Azure網(wǎng)絡(luò)經(jīng)驗和客戶的經(jīng)驗。

對于每項最佳實踐，本文將說明：

最佳實踐是什么

為何要啟用該最佳實踐

如果無法啟用該最佳實踐，可能的結(jié)果是什么

最佳實踐的可能替代方案

如何學(xué)習(xí)啟用最佳實踐

這些最佳做法以共識以及Azure平臺功能和特性集（因為在編寫本文時已存在）為基礎(chǔ)?？捶ê图夹g(shù)將隨著時間改變，本文會定期更新以反映這些更改。

使用強網(wǎng)絡(luò)控制

你可以將Azure虛擬機(VM)和設(shè)備放在Azure虛擬網(wǎng)絡(luò)上，從而將它們連接到其他網(wǎng)絡(luò)設(shè)備。也就是說，可以將虛擬網(wǎng)絡(luò)接口卡連接到虛擬網(wǎng)絡(luò)，允許啟用了網(wǎng)絡(luò)的設(shè)備之間進行基于TCP/IP的通信。連接到Azure虛擬網(wǎng)絡(luò)的虛擬機能夠連接到相同虛擬網(wǎng)絡(luò)、不同虛擬網(wǎng)絡(luò)、Internet或自己的本地網(wǎng)絡(luò)上的設(shè)備。

規(guī)劃網(wǎng)絡(luò)和網(wǎng)絡(luò)安全性時，建議集中執(zhí)行以下操作：

管理核心網(wǎng)絡(luò)功能，如ExpressRoute、虛擬網(wǎng)絡(luò)和子網(wǎng)預(yù)配以及IP尋址。

治理網(wǎng)絡(luò)安全元素，如ExpressRoute、虛擬網(wǎng)絡(luò)和子網(wǎng)預(yù)配以及IP尋址等網(wǎng)絡(luò)虛擬設(shè)備功能。

如果使用一組通用的管理工具來監(jiān)視網(wǎng)絡(luò)和網(wǎng)絡(luò)的安全性，則可清楚地了解這兩者。一種簡單、統(tǒng)一的安全策略可減少錯誤，因為這會改善人員理解和自動化可靠性。

以邏輯方式分段子網(wǎng)

Azure虛擬網(wǎng)絡(luò)類似于本地網(wǎng)絡(luò)上的LAN。Azure虛擬網(wǎng)絡(luò)背后的思路是創(chuàng)建基于單個專用IP地址空間的網(wǎng)絡(luò)，以將所有Azure虛擬機置于其上?？捎玫膶Ｓ肐P地址空間位于類別A(10.0.0.0/8)、類別B(172.16.0.0/12)和類別C(192.168.0.0/16)范圍內(nèi)。

以邏輯方式對子網(wǎng)進行分段的最佳做法包括：

最佳做法：不要分配具有廣泛范圍的允許規(guī)則（例如，允許0.0.0.0到255.255.255.255）。

詳細信息：確保故障排除過程不會建議或禁止設(shè)置這些類型的規(guī)則。這些允許規(guī)則會導(dǎo)致錯誤的安全感，經(jīng)常被紅隊發(fā)現(xiàn)并利用。

最佳做法：將較大的地址空間分段成子網(wǎng)。

詳細信息：使用基于CIDR的子網(wǎng)原理來創(chuàng)建子網(wǎng)。

最佳做法：在子網(wǎng)之間創(chuàng)建網(wǎng)絡(luò)訪問控制。子網(wǎng)之間的路由會自動發(fā)生，不需要手動配置路由表。默認(rèn)情況下，在Azure虛擬網(wǎng)絡(luò)上創(chuàng)建的子網(wǎng)之間沒有任何網(wǎng)絡(luò)訪問控制。

詳細信息：使用網(wǎng)絡(luò)安全組防止未經(jīng)請求的流量進入Azure子網(wǎng)。網(wǎng)絡(luò)安全組是簡單的有狀態(tài)數(shù)據(jù)包檢查設(shè)備，使用5元組方法（源IP、源端口、目標(biāo)IP、目標(biāo)端口和第4層協(xié)議）來創(chuàng)建網(wǎng)絡(luò)流量的允許/拒絕規(guī)則?？梢栽试S或拒絕流往或來自單個IP地址、多個IP地址或整個子網(wǎng)的流量。

將網(wǎng)絡(luò)安全組用于子網(wǎng)之間的網(wǎng)絡(luò)訪問控制時，可將屬于同一安全區(qū)域或角色的資源置于其本身的子網(wǎng)中。

最佳做法：避免小型虛擬網(wǎng)絡(luò)和子網(wǎng)，以確保簡易性和靈活性。

詳細信息：大多數(shù)組織會添加比最初計劃更多的資源，重新分配地址是勞動密集型工作。使用小型子網(wǎng)會增加有限的安全值，將網(wǎng)絡(luò)安全組映射到每個子網(wǎng)會增加開銷。廣泛定義子網(wǎng)，以確保具有增長靈活性。

最佳做法：通過定義應(yīng)用程序安全組來簡化網(wǎng)絡(luò)安全組規(guī)則管理。

詳細信息：為你認(rèn)為將來可能會更改或是在許多網(wǎng)絡(luò)安全組間使用的IP地址列表定義一個應(yīng)用程序安全組。務(wù)必清楚地命名應(yīng)用程序安全組，以便其他人可以理解其內(nèi)容和用途。

采用零信任方法

基于外圍的網(wǎng)絡(luò)在工作時假設(shè)網(wǎng)絡(luò)中的所有系統(tǒng)都可以受信任。但當(dāng)前的員工會通過各種設(shè)備和應(yīng)用，從任何位置訪問其組織的資源，這使得外圍安全控制不適用。僅關(guān)注可以訪問資源的用戶的訪問控制策略是不夠的。為了掌握安全與效率之間的平衡，安全管理員還需要考慮訪問資源的方式。

網(wǎng)絡(luò)需要從傳統(tǒng)防御進行演化，因為網(wǎng)絡(luò)可能容易受到侵害：攻擊者可能會破壞受信任邊界內(nèi)的單個終結(jié)點，然后在整個網(wǎng)絡(luò)中快速擴展立足點。零信任網(wǎng)絡(luò)消除了基于外圍中的網(wǎng)絡(luò)位置的信任概念。相反，零信任體系結(jié)構(gòu)使用設(shè)備和用戶信任聲明來獲取組織數(shù)據(jù)和資源的訪問權(quán)限。對于新計劃，采用在訪問時驗證信任的零信任方法。

最佳做法包括：

最佳做法：基于設(shè)備、標(biāo)識、保證、網(wǎng)絡(luò)位置等提供對資源的條件訪問。

詳細信息：Azure AD條件訪問使你可以根據(jù)所需條件實現(xiàn)自動訪問控制決策，從而應(yīng)用正確的訪問控制。有關(guān)詳細信息，請參閱使用條件訪問管理對Azure管理的訪問。

最佳做法：僅在工作流審批之后才啟用端口訪問。

詳細信息：可以使用Azure Security Center中的實時VM訪問來鎖定發(fā)往Azure VM的入站流量，降低遭受攻擊的可能性，同時在需要時還允許輕松連接到VM。

最佳做法：授予執(zhí)行特權(quán)任務(wù)的臨時權(quán)限，防止惡意用戶或未授權(quán)用戶在權(quán)限過期后獲得訪問權(quán)限。只有在用戶需要的情況下，才會授予訪問權(quán)限。

詳細信息：使用Azure AD Privileged Identity Management或第三方解決方案中的實時訪問來授予執(zhí)行特權(quán)任務(wù)的權(quán)限。

零信任是網(wǎng)絡(luò)安全的下一步發(fā)展。網(wǎng)絡(luò)攻擊的狀態(tài)促使組織采用“假定違規(guī)”思維方式，但這種方法不應(yīng)受到限制。零信任網(wǎng)絡(luò)可保護公司數(shù)據(jù)和資源，同時確保組織可以使用相關(guān)技術(shù)來構(gòu)建新式工作區(qū)，這些技術(shù)使員工能夠以任何方式隨時隨地提高工作效率。

控制路由行為

將虛擬機置于Azure虛擬網(wǎng)絡(luò)時，即使其他VM位于不同的子網(wǎng)，VM也可以連接到同一虛擬網(wǎng)絡(luò)上的任何其他VM。這是可能的，原因是默認(rèn)啟用的系統(tǒng)路由集合允許這種類型的通信。這些默認(rèn)路由可讓相同虛擬網(wǎng)絡(luò)上的VM彼此發(fā)起連接，以及與Internet連接（僅適用于Internet的出站通信）。

盡管默認(rèn)系統(tǒng)路由適用于許多部署方案，但有時也需要針對部署自定義路由配置?？梢耘渲孟乱粋€躍點地址，用于訪問特定目標(biāo)。

建議你在為虛擬網(wǎng)絡(luò)部署安全設(shè)備時配置用戶定義的路由。我們將在后面的標(biāo)題為保護關(guān)鍵的Azure服務(wù)資源，只允許在客戶自己的虛擬網(wǎng)絡(luò)中對其進行訪問的部分中討論此問題。

備注

不需要用戶定義的路由，默認(rèn)的系統(tǒng)路通常有效。

使用虛擬網(wǎng)絡(luò)設(shè)備

網(wǎng)絡(luò)安全組和用戶定義的路由可以在網(wǎng)絡(luò)和OSI模型的傳輸層上提供一定的網(wǎng)絡(luò)安全措施。但在某些情況下，建議在高級別堆棧中啟用安全性。在此類情況下，建議部署Azure合作伙伴所提供的虛擬網(wǎng)絡(luò)安全設(shè)備。

Azure網(wǎng)絡(luò)安全設(shè)備可提供比網(wǎng)絡(luò)級控制所提供的更高的安全性。虛擬網(wǎng)絡(luò)安全設(shè)備的網(wǎng)絡(luò)安全功能包括：

防火墻

入侵檢測/入侵防護

漏洞管理

應(yīng)用程序控制

基于網(wǎng)絡(luò)的異常檢測

Web篩選

防病毒

僵尸網(wǎng)絡(luò)防護

要查找可用的Azure虛擬網(wǎng)絡(luò)安全設(shè)備，請轉(zhuǎn)到Azure市場并搜索“安全”和“網(wǎng)絡(luò)安全”。

為安全區(qū)部署外圍網(wǎng)絡(luò)

外圍網(wǎng)格（也稱為DMZ）是物理或邏輯網(wǎng)絡(luò)區(qū)段，可在資產(chǎn)與Internet之間提供額外的安全層。外圍網(wǎng)絡(luò)邊緣的專用網(wǎng)絡(luò)訪問控制設(shè)備只允許所需流量流入虛擬網(wǎng)絡(luò)。

外圍網(wǎng)絡(luò)非常有用，因為可以將網(wǎng)絡(luò)訪問控制管理、監(jiān)視、日志記錄和報告的重點放在位于Azure虛擬網(wǎng)絡(luò)邊緣的設(shè)備上。在外圍網(wǎng)絡(luò)中通常將啟用分布式拒絕服務(wù)(DDoS)預(yù)防、入侵檢測/入侵防護系統(tǒng)(IDS/IPS)、防火墻規(guī)則和策略、Web篩選、網(wǎng)絡(luò)反惡意軟件等。網(wǎng)絡(luò)安全設(shè)備位于Internet與Azure虛擬網(wǎng)絡(luò)之間，在兩個網(wǎng)絡(luò)上均有接口。

盡管這是外圍網(wǎng)絡(luò)的基本設(shè)計，但有許多不同的設(shè)計，例如背靠背式、三閘式、多閘式。

基于前面提到的零信任概念，建議考慮將外圍網(wǎng)絡(luò)用于所有高安全性部署，以增強Azure資源的網(wǎng)絡(luò)安全和訪問控制級別。可以使用Azure或第三方解決方案在資產(chǎn)與Internet之間提供額外的安全層：

Azure本機控制。Azure防火墻和應(yīng)用程序網(wǎng)關(guān)中的Web應(yīng)用程序防火墻通過完全有狀態(tài)防火墻即服務(wù)、內(nèi)置高可用性、無限制的云可伸縮性、FQDN篩選、對OWASP核心規(guī)則集的支持以及簡單的設(shè)置和配置，來提供基本安全性。

第三方產(chǎn)品/服務(wù)。在Azure市場中搜索下一代防火墻(NGFW)和其他第三方產(chǎn)品/服務(wù)，它們可提供熟悉的安全工具和顯著增強的網(wǎng)絡(luò)安全級別。配置可能會更加復(fù)雜，但第三方產(chǎn)品/服務(wù)可能會允許你使用現(xiàn)有功能和技能組。

避免向具有專用WAN鏈接的Internet公開

許多組織選擇了混合IT路由。使用混合IT時，有些企業(yè)的信息資產(chǎn)是在Azure中，而有些企業(yè)則維持在本地。在許多情況下，服務(wù)的某些組件在Azure中運行，而其他組件則維持在本地。

在混合IT方案中，通常有某種類型的跨界連接?？缃邕B接可讓公司將其本地網(wǎng)絡(luò)連接到Azure虛擬網(wǎng)絡(luò)。可用的跨界連接解決方案有兩種：

站點到站點VPN。它是一種值得信賴、可靠且成熟的技術(shù)，但連接是通過Internet進行的。帶寬限制在1.25 Gbps左右。在某些情況下，站點到站點VPN是一個理想選擇。

Azure ExpressRoute。建議使用ExpressRoute進行跨界連接。使用ExpressRoute可通過連接服務(wù)提供商所提供的專用連接，將本地網(wǎng)絡(luò)擴展到Microsoft云。借助ExpressRoute，你可以與Microsoft云服務(wù)（如Azure、Microsoft 365和Dynamics 365）建立連接。ExpressRoute是你本地位置與Microsoft Exchange托管提供商之間專用的WAN鏈接。因為這是電信運營商連接，所以數(shù)據(jù)不會通過Internet傳輸，也不會暴露在Internet通信的潛在風(fēng)險中。

ExpressRoute連接的位置可能會影響防火墻容量、可伸縮性、可靠性和網(wǎng)絡(luò)流量可見性。需要確定在現(xiàn)有（本地）網(wǎng)絡(luò)中終止ExpressRoute的位置?？梢裕?/p>

如果需要查看流量、需要繼續(xù)執(zhí)行隔離數(shù)據(jù)中心的現(xiàn)有做法或者只是將extranet資源放在Azure上，請在防火墻之外終止（外圍網(wǎng)絡(luò)范例）。

在防火墻之內(nèi)終止（網(wǎng)絡(luò)擴展范例）。這是默認(rèn)建議。在所有其他情況下，建議將Azure視為第n個數(shù)據(jù)中心。

優(yōu)化運行時間和性能

如果服務(wù)已關(guān)閉，便無法訪問信息。如果性能太差而無法使用數(shù)據(jù)，則可以將此數(shù)據(jù)視為無法訪問。從安全角度來看，需要盡可能確保服務(wù)有最佳的運行時間和性能。

用于增強可用性和性能的常用且有效的方法是負載均衡。負載均衡是將網(wǎng)絡(luò)流量分布于服務(wù)中各服務(wù)器的方法。例如，如果服務(wù)中有前端Web服務(wù)器，可以使用負載均衡將流量分布于多臺前端Web服務(wù)器。

這種流量分布將提高可用性，因為如果其中一臺Web服務(wù)器不可用，負載均衡器停止將流量發(fā)國際快遞該服務(wù)器，并將它重定向到仍在運行的服務(wù)器。負載均衡還對性能有幫助，因為處理請求的處理器、網(wǎng)絡(luò)和內(nèi)存開銷將分布于所有負載均衡的服務(wù)器之間。

建議盡可能為服務(wù)采用適當(dāng)?shù)呢撦d均衡。以下是Azure虛擬網(wǎng)絡(luò)級別和全球級別的方案，以及每個級別的負載均衡選項。

情形：你有如下應(yīng)用程序：

要求來自同一用戶/客戶端會話的請求訪問相同后端虛擬機。此類示例如購物車應(yīng)用和Web郵件服務(wù)器。

僅接受安全連接，因此與服務(wù)器進行未加密的通信是不可接受的選項。

要求將長時間運行的同一TCP連接上多個HTTP請求路由到或負載均衡到不同的后端服務(wù)器。

負載均衡選項：使用Azure應(yīng)用程序網(wǎng)關(guān)，一個HTTP Web流量負載均衡器。應(yīng)用程序網(wǎng)關(guān)支持網(wǎng)關(guān)上的端到端TLS加密和TLS終止。然后，Web服務(wù)器可以免受加密和解密開銷以及未加密流向后端服務(wù)器的流量的負擔(dān)。

情形：需要在位于Azure虛擬網(wǎng)絡(luò)中的服務(wù)器之間對來自Internet的傳入連接進行負載均衡。也就是說當(dāng)：

具有接受來自Internet的傳入請求的無狀態(tài)應(yīng)用程序時。

不需要粘性會話或TLS卸載時。粘性會話是與應(yīng)用程序負載均衡一起使用的方法，用于實現(xiàn)服務(wù)器關(guān)聯(lián)。

負載均衡選項：使用Azure門戶創(chuàng)建外部負載均衡器，該均衡器將多個VM之間的傳入請求進行分散，以提供更高級別的可用性。

情形：需要從不在Internet上的VM對連接進行負載均衡。大多數(shù)情況下，接受的用于進行負載均衡的連接由Azure虛擬網(wǎng)絡(luò)上的設(shè)備發(fā)起，例如SQL Server實例或內(nèi)部Web服務(wù)器。

負載均衡選項：使用Azure門戶創(chuàng)建內(nèi)部負載均衡器，該均衡器將多個VM之間的傳入請求進行分散，以提供更高級別的可用性。

情形：你需要全球負載均衡，因為：

擁有廣泛分布在多個地區(qū)的云解決方案，并且需要可能的最高級別的正常運行時間（可用性）。

需要可能的最高級別的正常運行時間，以確保即使整個數(shù)據(jù)中心不可用，服務(wù)仍然可用。

負載均衡選項：使用Azure流量管理器。流量管理器可以根據(jù)用戶的位置，對服務(wù)的連接進行負載均衡。

例如，如果用戶從歐盟對服務(wù)發(fā)出請求，此連接會被定向到位于歐盟數(shù)據(jù)中心的服務(wù)。這一部分的流量管理器全局負載均衡有助于改善性能，因為連接到最近的數(shù)據(jù)中心比連接到遠處的數(shù)據(jù)中心還要快。

禁用對虛擬機的RDP/SSH訪問

使用遠程桌面協(xié)議(RDP)和安全外殼(SSH)協(xié)議可以訪問Azure虛擬機。這些協(xié)議支持遠程管理VM，并且是數(shù)據(jù)中心計算中的標(biāo)準(zhǔn)協(xié)議。

在Internet上使用這些協(xié)議的潛在安全問題是，攻擊者可以使用暴力破解技術(shù)來訪問Azure虛擬機。攻擊者獲取訪問權(quán)限后，就可以使用VM作為破壞虛擬網(wǎng)絡(luò)上其他計算機的啟動點，甚至攻擊Azure之外的網(wǎng)絡(luò)設(shè)備。

我們建議禁用從Internet對Azure虛擬機的直接RDP和SSH訪問。禁用從Internet的直接RDP和SSH訪問之后，有其他選項可用于訪問這些VM以便進行遠程管理。

情形：可讓單個用戶通過Internet連接到Azure虛擬網(wǎng)絡(luò)。

選項：點到站點VPN是遠程訪問VPN客戶端/服務(wù)器連接的另一種說法。建立點到站點連接之后，用戶能夠使用RDP或SSH連接到位于用戶通過點到站點VPN連接的Azure虛擬網(wǎng)絡(luò)上的任何VM。此處假設(shè)用戶有權(quán)訪問這些VM。

點到站點VPN比直接RDP或SSH連接更安全，因為用戶必須事先通過兩次身份驗證才將連接到VM。首先，用戶需要進行身份驗證（并獲得授權(quán)）以建立點到站點VPN連接。其次，用戶需要進行身份驗證（并獲得授權(quán)）以建立RDP或SSH會話。

情形：使本地網(wǎng)絡(luò)上的用戶能夠連接到Azure虛擬網(wǎng)絡(luò)上的VM。

選項：站點到站點VPN通過Internet將整個網(wǎng)絡(luò)連接到另一個網(wǎng)絡(luò)?？梢允褂谜军c到站點VPN將本地網(wǎng)絡(luò)連接到Azure虛擬網(wǎng)絡(luò)。本地網(wǎng)絡(luò)上的用戶通過站點到站點VPN使用RDP或SSH協(xié)議進行連接。不必允許通過Internet進行的直接RDP或SSH訪問。

情形：使用專用的WAN鏈接提供類似于站點到站點VPN的功能。

選項：使用ExpressRoute。它提供類似于站點到站點VPN的功能。它們的主要區(qū)別包括：

專用的WAN鏈接不會遍歷Internet。

專用的WAN鏈接通常更穩(wěn)定且性能更佳。

保護關(guān)鍵的Azure服務(wù)資源，只允許在客戶自己的虛擬網(wǎng)絡(luò)中對其進行訪問

使用虛擬網(wǎng)絡(luò)服務(wù)終結(jié)點可通過直接連接將虛擬網(wǎng)絡(luò)專用地址空間和虛擬網(wǎng)絡(luò)標(biāo)識擴展到Azure服務(wù)。使用終結(jié)點可以保護關(guān)鍵的Azure服務(wù)資源，只允許在客戶自己的虛擬網(wǎng)絡(luò)中對其進行訪問。從虛擬網(wǎng)絡(luò)發(fā)往Azure服務(wù)的流量始終保留在Microsoft Azure主干網(wǎng)絡(luò)中。

服務(wù)終結(jié)點提供以下優(yōu)勢：

提高了Azure服務(wù)資源的安全性：使用服務(wù)終結(jié)點，可在虛擬網(wǎng)絡(luò)中保護Azure服務(wù)資源。在虛擬網(wǎng)絡(luò)中保護服務(wù)資源可以完全消除通過公共Internet對這些資源進行訪問，只允許來自客戶自己的虛擬網(wǎng)絡(luò)的流量，從而提高了安全性。

來自虛擬網(wǎng)絡(luò)的Azure服務(wù)流量的最佳路由：虛擬網(wǎng)絡(luò)中強制Internet流量通過本地和/或虛擬設(shè)備（稱為強制隧道）的任何路由也會強制Azure服務(wù)流量采用與Internet流量相同的路由。服務(wù)終結(jié)點為Azure流量提供最佳路由。

終結(jié)點始終將服務(wù)流量直接從虛擬網(wǎng)絡(luò)帶至Azure主干網(wǎng)絡(luò)上的服務(wù)。將流量保留在Azure主干網(wǎng)絡(luò)上可以通過強制隧道持續(xù)審核和監(jiān)視來自虛擬網(wǎng)絡(luò)的出站Internet流量，而不會影響服務(wù)流量。詳細了解用戶定義的路由和強制隧道。

設(shè)置簡單，管理開銷更少：不再需要使用虛擬網(wǎng)絡(luò)中的保留公共IP地址通過IP防火墻保護Azure資源。無需使用NAT或網(wǎng)關(guān)設(shè)備即可設(shè)置服務(wù)終結(jié)點。只需單擊一下子網(wǎng)，即可配置服務(wù)終結(jié)點。不會產(chǎn)生與終結(jié)點維護相關(guān)的額外開銷。

要了解服務(wù)終結(jié)點及可使用服務(wù)終結(jié)點的Azure服務(wù)和區(qū)域的詳細信息，請參閱虛擬網(wǎng)絡(luò)服務(wù)終結(jié)點。

后續(xù)步驟

有關(guān)通過Azure設(shè)計、部署和管理云解決方案時可以使用的更多安全最佳做法，請參閱Azure安全最佳做法和模式。

特別聲明：以上文章內(nèi)容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關(guān)于作品內(nèi)容、版權(quán)或其它問題請于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。