大数据带来了新的机会,使我们可以获得新的见解和竞争优势。 以往网络已明确定义并通常特定于某个位置,这样的时代即将结束。 云、移动设备和其他
终结点
扩展了边界并改变了模式。 现在,我们不一定需要保护包含的/定义的网络。 相反,有大量的设备和网络,它们全都通过云链接到一起。
零信任策略认为违规行为不可避免,而不认为在公司防火墙的保护下一切都安全。 这意味着你必须将请求视为源自不受控制的网络,并验证每个请求,
标识
管理在这其中起着非常重要的作用。
在零信任模型中,以下三个主要目标与保护网络相关:
准备好在攻击发生之前对其进行处理。
将损坏的程度和扩散速度降至最低。
提高云占用空间遭受破坏的难度。
为实现此目的,我们遵循以下三个零信任原则:
显式验证。
始终根据所有可用的数据点进行身份验证和授权,这些数据点包括用户标识、位置、设备运行状况、服务或工作负载、数据分类和异常。
使用最低特权访问。
通过实时和最低访问权限 (JIT/JEA)、基于风险的自适应策略和数据保护来限制用户访问权限,从而保护数据并确保高效工作。
假想安全漏洞。
最大程度减小违规行为的影响范围,并通过按网络、用户设备和应用程序感知对访问进行分段来阻止横向移动。 验证所有会话是否进行了端到端加密。 使用分析来获取
可见性
、驱动威胁检测并改善防御。
网络零信任部署目标
在大多数组织开始零信任历程之前,他们的网络安全具有以下特征:
网络安全外围很少,网络是开放且扁平的。
威胁防护措施很少,流量筛选是动态的。
内部流量未加密。
I. 网络分段:多个入口/出口云微外围和一些微分段
组织的网络入口和出口不应只有单个大管道。 相反,在零信任方法中,网络分段为更小的孤岛,其中包含特定工作负载。 每个分段具有各自的入口和出口控制,以最大程度减小未经授权的数据访问的影响范围。 通过使用精细控制来实现软件定义的外围,可以提高未经授权的行动者在整个网络中传播的难度,从而减少威胁的横向移动。
没有任何体系结构设计能够满足所有组织的需求。 你可以在几种
常用的设计模式
之间进行选择,以根据零信任模型对网络进行分段。
本指南将指导你完成实现其中一种设计所需的步骤:微分段。
通过微分段,组织可以使用软件定义的微外围,从简单的集中式网络外围扩展至全面的分布式分段。
应用程序分区到不同的 Azure 虚拟网络 (VNet),并使用中心-分支模型连接到一起
执行以下步骤:
为不同的应用程序和/或应用程序组件
创建专用虚拟网络
。
创建中央 VNet,以设置应用间连接的安全状况,并在
中心-分支体系结构
中连接应用 Vnet。
在中心 VNet 中
部署 Azure 防火墙
,以检查并控制 VNet 之间的流量。
II. 威胁防护:针对已知威胁的云原生筛选和保护
向外部环境(例如 Internet 或本地占用空间)打开了终结点的云应用程序面临来自这些环境的攻击的风险。 因此,必须扫描流量以检查其是否存在恶意有效负载或逻辑。
这些类型的威胁分为两大类别:
已知攻击。 软件提供商或大型社区已发现的威胁。 在这种情况下,攻击签名可用,你需要确保根据这些签名检查每个请求。 关键是能够使用任何新发现的攻击快速更新检测引擎。
未知攻击。
这些威胁与任何已知签名都不完全匹配。 这些类型的威胁包括请求流量中的零日漏洞和异常模式。 检测此类攻击的能力取决于防御措施对正常情况和异常情况的了解程度。 防御措施应随着业务(和关联的流量)的发展不断学习并更新此类模式。
若要防范已知威胁,请执行以下步骤:
对于具有 HTTP/S 流量的终结点,使用
Azure Web 应用程序防火墙 (WAF)
进行保护,方法是:
启用默认规则集或
OWASP Top 10
防护规则集,以防范已知的 Web 层攻击
启用机器人防护规则集,以防止恶意机器人抓取信息和执行凭据撞库等。
添加自定义规则,以防范特定于你的企业的威胁。
可以使用以下两个选项之一:
Azure Front Door
在 Azure Front Door 上创建 Web 应用程序防火墙策略
。
为 Web 应用程序防火墙配置机器人防护
。
为 Web 应用程序防火墙创建自定义规则
。
Azure 应用程序网关
创建具有 Web 应用程序防火墙的应用程序网关
。
为 Web 应用程序防火墙配置机器人防护
。
创建并使用 Web 应用程序防火墙 v2 自定义规则
。
执行以下步骤:
通过
使用 Azure Front Door 将 HTTP 流量重定向到 HTTPS
,对面向 Internet 的 Web 应用程序强制实施仅 HTTPS 通信。
使用
Azure VPN 网关
将远程员工/合作伙伴连接到 Microsoft Azure。
为 Azure VPN 网关服务中的任何点到站点流量
启用加密
。
通过
Azure Bastion
使用加密通信安全地访问 Azure 虚拟机。
使用 SSH 连接到 Linux 虚拟机
。
使用 RDP 连接到 Windows 虚拟机
。
Internet 边界
如果应用由于需要通过中心 VNet 进行路由而必须建立 Internet 连接,请在中心 VNet 中
更新网络安全组规则
,以允许建立 Internet 连接。
启用 Azure DDoS 防护标准版
,保护中心 VNet 免受容量耗尽网络层攻击。
如果应用程序使用 HTTP/S 协议,请
启用 Azure Web 应用程序防火墙
,以防范第 7 层威胁。
如果应用需要连接到本地数据中心,请使用 Azure VPN 的
Azure ExpressRoute
连接到中心 VNet
。
在中心 VNet 中
配置 Azure 防火墙
,以检查并控制流量。
PaaS 服务边界
使用 Azure 提供的 PaaS 服务 (例如 Azure 存储、
Azure Cosmos DB
或
Azure Web 应用
时,请使用
PrivateLink
连接选项来确保所有数据交换都通过专用 IP 空间进行,并且流量永远不会离开 Microsoft 网络。
了解有关为数据实施端到端零信任策略的信息
。
V. 威胁防护:基于机器学习的威胁防护和使用基于上下文的信号的筛选
若要进一步提高威胁防护,请启用
Azure DDoS 防护标准版
以持续监视 Azure 托管的应用程序流量,使用基于机器学习的框架来设置基准和检测容量耗尽流量淹没,并应用自动缓解措施。
执行以下步骤:
配置并管理
Azure DDoS 防护标准版。
为 DDoS 防护指标
配置警报
。
VI. 加密:所有流量均已加密
最后,确保所有流量均已加密,以完成网络保护。
执行以下步骤:
对虚拟网络之间的应用程序后端流量进行加密
。
对本地和云之间的流量进行加密:
基于 ExpressRoute Microsoft 对等互连
配置站点到站点 VPN
。
为 ExpressRoute 专用对等互连
配置 IPsec 传输模式
。
VII. 停止使用旧的网络安全技术
停止使用基于签名的网络入侵检测/网络入侵防护 (NIDS/NIPS) 系统以及网络数据泄漏/丢失防护 (DLP)。
主要的云服务提供商已经筛选出格式错误的数据包和常见的网络层攻击,因此不需要 NIDS/NIPS 解决方案来检测这些攻击。 此外,传统 NIDS/NIPS 解决方案通常由基于签名的方法(被认为已过时)驱动,容易被攻击者规避且通常会产生较高的误报率。
基于网络的 DLP 在识别无意和有意数据丢失方面逐渐失去效果。 原因在于大部分新式协议和攻击者都使用网络级加密进行入站和出站通信。 唯一可行的解决方法是“SSL 桥接”,它提供一个“授权的中间人”,该人终止并重新建立加密的网络连接。 SSL 桥接方法已失宠,原因在于运行该解决方案的合作伙伴所需的信任级别以及所使用的技术。
因此,我们提供一劳永逸的建议,即停止使用这些旧的网络安全技术。 但是,如果组织在过去感受到这些技术对预防和检测实际攻击具有明显影响,则可以考虑将其移植到云环境中。
本指南中涵盖的产品
Microsoft Azure
Azure 网络
虚拟网络和子网
网络安全组
和
应用程序安全组
Azure 防火墙
Azure DDoS 防护
Azure Web 应用程序防火墙
Azure VPN 网关
Azure ExpressRoute
Azure 网络观察程序
保护网络是零信任策略取得成功的核心。 如需获取有关实施的详细信息或帮助,请联系客户成功团队,或通读本指南中的其他章节,其内容涵盖所有零信任要素。
零信任部署指南系列
