Azure 網絡安全最佳做法,azure active directory 介紹

Azure 網絡安全最佳做法

本文介紹一系列Azure最佳做法以增強網絡安全。這些最佳實踐衍生自我們的Azure網絡經驗和客戶的經驗。

對于每項最佳實踐，本文將說明：

最佳實踐是什么

為何要啟用該最佳實踐

如果無法啟用該最佳實踐，可能的結果是什么

最佳實踐的可能替代方案

如何學習啟用最佳實踐

這些最佳做法以共識以及Azure平臺功能和特性集（因為在編寫本文時已存在）為基礎。看法和技術將隨著時間改變，本文會定期更新以反映這些更改。

使用強網絡控制

你可以將Azure虛擬機(VM)和設備放在Azure虛擬網絡上，從而將它們連接到其他網絡設備。也就是說，可以將虛擬網絡接口卡連接到虛擬網絡，允許啟用了網絡的設備之間進行基于TCP/IP的通信。連接到Azure虛擬網絡的虛擬機能夠連接到相同虛擬網絡、不同虛擬網絡、Internet或自己的本地網絡上的設備。

規劃網絡和網絡安全性時，建議集中執行以下操作：

管理核心網絡功能，如ExpressRoute、虛擬網絡和子網預配以及IP尋址。

治理網絡安全元素，如ExpressRoute、虛擬網絡和子網預配以及IP尋址等網絡虛擬設備功能。

如果使用一組通用的管理工具來監視網絡和網絡的安全性，則可清楚地了解這兩者。一種簡單、統一的安全策略可減少錯誤，因為這會改善人員理解和自動化可靠性。

以邏輯方式分段子網

Azure虛擬網絡類似于本地網絡上的LAN。Azure虛擬網絡背后的思路是創建基于單個專用IP地址空間的網絡，以將所有Azure虛擬機置于其上。可用的專用IP地址空間位于類別A(10.0.0.0/8)、類別B(172.16.0.0/12)和類別C(192.168.0.0/16)范圍內。

以邏輯方式對子網進行分段的最佳做法包括：

最佳做法：不要分配具有廣泛范圍的允許規則（例如，允許0.0.0.0到255.255.255.255）。

詳細信息：確保故障排除過程不會建議或禁止設置這些類型的規則。這些允許規則會導致錯誤的安全感，經常被紅隊發現并利用。

最佳做法：將較大的地址空間分段成子網。

詳細信息：使用基于CIDR的子網原理來創建子網。

最佳做法：在子網之間創建網絡訪問控制。子網之間的路由會自動發生，不需要手動配置路由表。默認情況下，在Azure虛擬網絡上創建的子網之間沒有任何網絡訪問控制。

詳細信息：使用網絡安全組防止未經請求的流量進入Azure子網。網絡安全組是簡單的有狀態數據包檢查設備，使用5元組方法（源IP、源端口、目標IP、目標端口和第4層協議）來創建網絡流量的允許/拒絕規則。可以允許或拒絕流往或來自單個IP地址、多個IP地址或整個子網的流量。

將網絡安全組用于子網之間的網絡訪問控制時，可將屬于同一安全區域或角色的資源置于其本身的子網中。

最佳做法：避免小型虛擬網絡和子網，以確保簡易性和靈活性。

詳細信息：大多數組織會添加比最初計劃更多的資源，重新分配地址是勞動密集型工作。使用小型子網會增加有限的安全值，將網絡安全組映射到每個子網會增加開銷。廣泛定義子網，以確保具有增長靈活性。

最佳做法：通過定義應用程序安全組來簡化網絡安全組規則管理。

詳細信息：為你認為將來可能會更改或是在許多網絡安全組間使用的IP地址列表定義一個應用程序安全組。務必清楚地命名應用程序安全組，以便其他人可以理解其內容和用途。

采用零信任方法

基于外圍的網絡在工作時假設網絡中的所有系統都可以受信任。但當前的員工會通過各種設備和應用，從任何位置訪問其組織的資源，這使得外圍安全控制不適用。僅關注可以訪問資源的用戶的訪問控制策略是不夠的。為了掌握安全與效率之間的平衡，安全管理員還需要考慮訪問資源的方式。

網絡需要從傳統防御進行演化，因為網絡可能容易受到侵害：攻擊者可能會破壞受信任邊界內的單個終結點，然后在整個網絡中快速擴展立足點。零信任網絡消除了基于外圍中的網絡位置的信任概念。相反，零信任體系結構使用設備和用戶信任聲明來獲取組織數據和資源的訪問權限。對于新計劃，采用在訪問時驗證信任的零信任方法。

最佳做法包括：

最佳做法：基于設備、標識、保證、網絡位置等提供對資源的條件訪問。

詳細信息：Azure AD條件訪問使你可以根據所需條件實現自動訪問控制決策，從而應用正確的訪問控制。有關詳細信息，請參閱使用條件訪問管理對Azure管理的訪問。

最佳做法：僅在工作流審批之后才啟用端口訪問。

詳細信息：可以使用Azure Security Center中的實時VM訪問來鎖定發往Azure VM的入站流量，降低遭受攻擊的可能性，同時在需要時還允許輕松連接到VM。

最佳做法：授予執行特權任務的臨時權限，防止惡意用戶或未授權用戶在權限過期后獲得訪問權限。只有在用戶需要的情況下，才會授予訪問權限。

詳細信息：使用Azure AD Privileged Identity Management或第三方解決方案中的實時訪問來授予執行特權任務的權限。

零信任是網絡安全的下一步發展。網絡攻擊的狀態促使組織采用“假定違規”思維方式，但這種方法不應受到限制。零信任網絡可保護公司數據和資源，同時確保組織可以使用相關技術來構建新式工作區，這些技術使員工能夠以任何方式隨時隨地提高工作效率。

控制路由行為

將虛擬機置于Azure虛擬網絡時，即使其他VM位于不同的子網，VM也可以連接到同一虛擬網絡上的任何其他VM。這是可能的，原因是默認啟用的系統路由集合允許這種類型的通信。這些默認路由可讓相同虛擬網絡上的VM彼此發起連接，以及與Internet連接（僅適用于Internet的出站通信）。

盡管默認系統路由適用于許多部署方案，但有時也需要針對部署自定義路由配置。可以配置下一個躍點地址，用于訪問特定目標。

建議你在為虛擬網絡部署安全設備時配置用戶定義的路由。我們將在后面的標題為保護關鍵的Azure服務資源，只允許在客戶自己的虛擬網絡中對其進行訪問的部分中討論此問題。

備注

不需要用戶定義的路由，默認的系統路通常有效。

使用虛擬網絡設備

網絡安全組和用戶定義的路由可以在網絡和OSI模型的傳輸層上提供一定的網絡安全措施。但在某些情況下，建議在高級別堆棧中啟用安全性。在此類情況下，建議部署Azure合作伙伴所提供的虛擬網絡安全設備。

Azure網絡安全設備可提供比網絡級控制所提供的更高的安全性。虛擬網絡安全設備的網絡安全功能包括：

防火墻

入侵檢測/入侵防護

漏洞管理

應用程序控制

基于網絡的異常檢測

Web篩選

防病毒

僵尸網絡防護

要查找可用的Azure虛擬網絡安全設備，請轉到Azure市場并搜索“安全”和“網絡安全”。

為安全區部署外圍網絡

外圍網格（也稱為DMZ）是物理或邏輯網絡區段，可在資產與Internet之間提供額外的安全層。外圍網絡邊緣的專用網絡訪問控制設備只允許所需流量流入虛擬網絡。

外圍網絡非常有用，因為可以將網絡訪問控制管理、監視、日志記錄和報告的重點放在位于Azure虛擬網絡邊緣的設備上。在外圍網絡中通常將啟用分布式拒絕服務(DDoS)預防、入侵檢測/入侵防護系統(IDS/IPS)、防火墻規則和策略、Web篩選、網絡反惡意軟件等。網絡安全設備位于Internet與Azure虛擬網絡之間，在兩個網絡上均有接口。

盡管這是外圍網絡的基本設計，但有許多不同的設計，例如背靠背式、三閘式、多閘式。

基于前面提到的零信任概念，建議考慮將外圍網絡用于所有高安全性部署，以增強Azure資源的網絡安全和訪問控制級別。可以使用Azure或第三方解決方案在資產與Internet之間提供額外的安全層：

Azure本機控制。Azure防火墻和應用程序網關中的Web應用程序防火墻通過完全有狀態防火墻即服務、內置高可用性、無限制的云可伸縮性、FQDN篩選、對OWASP核心規則集的支持以及簡單的設置和配置，來提供基本安全性。

第三方產品/服務。在Azure市場中搜索下一代防火墻(NGFW)和其他第三方產品/服務，它們可提供熟悉的安全工具和顯著增強的網絡安全級別。配置可能會更加復雜，但第三方產品/服務可能會允許你使用現有功能和技能組。

避免向具有專用WAN鏈接的Internet公開

許多組織選擇了混合IT路由。使用混合IT時，有些企業的信息資產是在Azure中，而有些企業則維持在本地。在許多情況下，服務的某些組件在Azure中運行，而其他組件則維持在本地。

在混合IT方案中，通常有某種類型的跨界連接。跨界連接可讓公司將其本地網絡連接到Azure虛擬網絡。可用的跨界連接解決方案有兩種：

站點到站點VPN。它是一種值得信賴、可靠且成熟的技術，但連接是通過Internet進行的。帶寬限制在1.25 Gbps左右。在某些情況下，站點到站點VPN是一個理想選擇。

Azure ExpressRoute。建議使用ExpressRoute進行跨界連接。使用ExpressRoute可通過連接服務提供商所提供的專用連接，將本地網絡擴展到Microsoft云。借助ExpressRoute，你可以與Microsoft云服務（如Azure、Microsoft 365和Dynamics 365）建立連接。ExpressRoute是你本地位置與Microsoft Exchange托管提供商之間專用的WAN鏈接。因為這是電信運營商連接，所以數據不會通過Internet傳輸，也不會暴露在Internet通信的潛在風險中。

ExpressRoute連接的位置可能會影響防火墻容量、可伸縮性、可靠性和網絡流量可見性。需要確定在現有（本地）網絡中終止ExpressRoute的位置。可以：

如果需要查看流量、需要繼續執行隔離數據中心的現有做法或者只是將extranet資源放在Azure上，請在防火墻之外終止（外圍網絡范例）。

在防火墻之內終止（網絡擴展范例）。這是默認建議。在所有其他情況下，建議將Azure視為第n個數據中心。

優化運行時間和性能

如果服務已關閉，便無法訪問信息。如果性能太差而無法使用數據，則可以將此數據視為無法訪問。從安全角度來看，需要盡可能確保服務有最佳的運行時間和性能。

用于增強可用性和性能的常用且有效的方法是負載均衡。負載均衡是將網絡流量分布于服務中各服務器的方法。例如，如果服務中有前端Web服務器，可以使用負載均衡將流量分布于多臺前端Web服務器。

這種流量分布將提高可用性，因為如果其中一臺Web服務器不可用，負載均衡器停止將流量發國際快遞該服務器，并將它重定向到仍在運行的服務器。負載均衡還對性能有幫助，因為處理請求的處理器、網絡和內存開銷將分布于所有負載均衡的服務器之間。

建議盡可能為服務采用適當的負載均衡。以下是Azure虛擬網絡級別和全球級別的方案，以及每個級別的負載均衡選項。

情形：你有如下應用程序：

要求來自同一用戶/客戶端會話的請求訪問相同后端虛擬機。此類示例如購物車應用和Web郵件服務器。

僅接受安全連接，因此與服務器進行未加密的通信是不可接受的選項。

要求將長時間運行的同一TCP連接上多個HTTP請求路由到或負載均衡到不同的后端服務器。

負載均衡選項：使用Azure應用程序網關，一個HTTP Web流量負載均衡器。應用程序網關支持網關上的端到端TLS加密和TLS終止。然后，Web服務器可以免受加密和解密開銷以及未加密流向后端服務器的流量的負擔。

情形：需要在位于Azure虛擬網絡中的服務器之間對來自Internet的傳入連接進行負載均衡。也就是說當：

具有接受來自Internet的傳入請求的無狀態應用程序時。

不需要粘性會話或TLS卸載時。粘性會話是與應用程序負載均衡一起使用的方法，用于實現服務器關聯。

負載均衡選項：使用Azure門戶創建外部負載均衡器，該均衡器將多個VM之間的傳入請求進行分散，以提供更高級別的可用性。

情形：需要從不在Internet上的VM對連接進行負載均衡。大多數情況下，接受的用于進行負載均衡的連接由Azure虛擬網絡上的設備發起，例如SQL Server實例或內部Web服務器。

負載均衡選項：使用Azure門戶創建內部負載均衡器，該均衡器將多個VM之間的傳入請求進行分散，以提供更高級別的可用性。

情形：你需要全球負載均衡，因為：

擁有廣泛分布在多個地區的云解決方案，并且需要可能的最高級別的正常運行時間（可用性）。

需要可能的最高級別的正常運行時間，以確保即使整個數據中心不可用，服務仍然可用。

負載均衡選項：使用Azure流量管理器。流量管理器可以根據用戶的位置，對服務的連接進行負載均衡。

例如，如果用戶從歐盟對服務發出請求，此連接會被定向到位于歐盟數據中心的服務。這一部分的流量管理器全局負載均衡有助于改善性能，因為連接到最近的數據中心比連接到遠處的數據中心還要快。

禁用對虛擬機的RDP/SSH訪問

使用遠程桌面協議(RDP)和安全外殼(SSH)協議可以訪問Azure虛擬機。這些協議支持遠程管理VM，并且是數據中心計算中的標準協議。

在Internet上使用這些協議的潛在安全問題是，攻擊者可以使用暴力破解技術來訪問Azure虛擬機。攻擊者獲取訪問權限后，就可以使用VM作為破壞虛擬網絡上其他計算機的啟動點，甚至攻擊Azure之外的網絡設備。

我們建議禁用從Internet對Azure虛擬機的直接RDP和SSH訪問。禁用從Internet的直接RDP和SSH訪問之后，有其他選項可用于訪問這些VM以便進行遠程管理。

情形：可讓單個用戶通過Internet連接到Azure虛擬網絡。

選項：點到站點VPN是遠程訪問VPN客戶端/服務器連接的另一種說法。建立點到站點連接之后，用戶能夠使用RDP或SSH連接到位于用戶通過點到站點VPN連接的Azure虛擬網絡上的任何VM。此處假設用戶有權訪問這些VM。

點到站點VPN比直接RDP或SSH連接更安全，因為用戶必須事先通過兩次身份驗證才將連接到VM。首先，用戶需要進行身份驗證（并獲得授權）以建立點到站點VPN連接。其次，用戶需要進行身份驗證（并獲得授權）以建立RDP或SSH會話。

情形：使本地網絡上的用戶能夠連接到Azure虛擬網絡上的VM。

選項：站點到站點VPN通過Internet將整個網絡連接到另一個網絡。可以使用站點到站點VPN將本地網絡連接到Azure虛擬網絡。本地網絡上的用戶通過站點到站點VPN使用RDP或SSH協議進行連接。不必允許通過Internet進行的直接RDP或SSH訪問。

情形：使用專用的WAN鏈接提供類似于站點到站點VPN的功能。

選項：使用ExpressRoute。它提供類似于站點到站點VPN的功能。它們的主要區別包括：

專用的WAN鏈接不會遍歷Internet。

專用的WAN鏈接通常更穩定且性能更佳。

保護關鍵的Azure服務資源，只允許在客戶自己的虛擬網絡中對其進行訪問

使用虛擬網絡服務終結點可通過直接連接將虛擬網絡專用地址空間和虛擬網絡標識擴展到Azure服務。使用終結點可以保護關鍵的Azure服務資源，只允許在客戶自己的虛擬網絡中對其進行訪問。從虛擬網絡發往Azure服務的流量始終保留在Microsoft Azure主干網絡中。

服務終結點提供以下優勢：

提高了Azure服務資源的安全性：使用服務終結點，可在虛擬網絡中保護Azure服務資源。在虛擬網絡中保護服務資源可以完全消除通過公共Internet對這些資源進行訪問，只允許來自客戶自己的虛擬網絡的流量，從而提高了安全性。

來自虛擬網絡的Azure服務流量的最佳路由：虛擬網絡中強制Internet流量通過本地和/或虛擬設備（稱為強制隧道）的任何路由也會強制Azure服務流量采用與Internet流量相同的路由。服務終結點為Azure流量提供最佳路由。

終結點始終將服務流量直接從虛擬網絡帶至Azure主干網絡上的服務。將流量保留在Azure主干網絡上可以通過強制隧道持續審核和監視來自虛擬網絡的出站Internet流量，而不會影響服務流量。詳細了解用戶定義的路由和強制隧道。

設置簡單，管理開銷更少：不再需要使用虛擬網絡中的保留公共IP地址通過IP防火墻保護Azure資源。無需使用NAT或網關設備即可設置服務終結點。只需單擊一下子網，即可配置服務終結點。不會產生與終結點維護相關的額外開銷。

要了解服務終結點及可使用服務終結點的Azure服務和區域的詳細信息，請參閱虛擬網絡服務終結點。

后續步驟

有關通過Azure設計、部署和管理云解決方案時可以使用的更多安全最佳做法，請參閱Azure安全最佳做法和模式。

特別聲明：以上文章內容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關于作品內容、版權或其它問題請于作品發表后的30日內與ESG跨境電商聯系。