Azure 安全網(wǎng)絡(luò)篇 DMZ 區(qū)域設(shè)計(jì)實(shí)踐,azure 數(shù)據(jù)安全-ESG跨境

Azure 安全網(wǎng)絡(luò)篇 DMZ 區(qū)域設(shè)計(jì)實(shí)踐,azure 數(shù)據(jù)安全

Azure安全網(wǎng)絡(luò)章節(jié)DMZ區(qū)域設(shè)計(jì)實(shí)踐

應(yīng)讀者要求，今天我將向大家介紹如何在Azure上建立一個(gè)DMZ區(qū)域。為什么說這個(gè)話題？安全不是小事。很多用戶上云前期沒有做好安全規(guī)劃，導(dǎo)致后期存在隱患。你為什么選擇DMZ網(wǎng)絡(luò)安全設(shè)計(jì)？如果你想先富起來，先修路，這和IDC在云端是一樣的。想致富先修路，網(wǎng)絡(luò)先行。同時(shí)，DMZ區(qū)域是整個(gè)網(wǎng)絡(luò)安全設(shè)計(jì)的重點(diǎn)，流量屬性最復(fù)雜，安全重要性最高。其次，關(guān)于云原生，很多用戶上了云之后，希望更多的使用云平臺(tái)第一方的托管服務(wù)。在過去的一年多時(shí)間里，Azure在安全產(chǎn)品上發(fā)布了很多新產(chǎn)品，我也希望這篇文章能幫助用戶知道Azure上有哪些牌，打好這副牌。在本次DMZ區(qū)域設(shè)計(jì)實(shí)踐中，我們將涉及Azure云上的幾個(gè)重要安全產(chǎn)品，Azure VNET(虛擬網(wǎng)絡(luò)服務(wù))、Azure DDoS(拒絕服務(wù)攻擊防御服務(wù))、Azure WAF(WEB安全防火墻服務(wù))、Azure防火墻(防火墻服務(wù))、Azure NSG(網(wǎng)絡(luò)安全組服務(wù))和Azure Bastion(跳板機(jī)服務(wù))。

DMZ是英文demilitarized zone的縮寫，中文名稱為Isolated Zone，又稱非軍事區(qū)。它是介于非安全系統(tǒng)和安全系統(tǒng)之間的緩沖區(qū)，解決安裝防火墻后外網(wǎng)用戶無法訪問內(nèi)網(wǎng)服務(wù)器的問題。這個(gè)緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域。在這個(gè)小小的網(wǎng)絡(luò)區(qū)域里，可以放置一些必須公開的服務(wù)器設(shè)施，比如企業(yè)Web服務(wù)器、FTP服務(wù)器、論壇等。另一方面，通過這樣的DMZ區(qū)域，內(nèi)部網(wǎng)絡(luò)得到更有效的保護(hù)。由于這種網(wǎng)絡(luò)部署，與一般的防火墻方案相比，對(duì)于來自外網(wǎng)的攻擊者來說，又多了一層?！罢园俣劝倏?。

簡單來說，DMZ的概念就是分而治之。如果按照服務(wù)對(duì)象對(duì)運(yùn)行在云端的應(yīng)用服務(wù)進(jìn)行分類，有面向互聯(lián)網(wǎng)用戶公開的外網(wǎng)應(yīng)用，也有面向內(nèi)網(wǎng)用戶公開的內(nèi)網(wǎng)應(yīng)用。如果按照同樣的安全策略來管理，外網(wǎng)的應(yīng)用就會(huì)成為眾矢之的，一旦被攻破，就會(huì)成為滲透內(nèi)網(wǎng)的跳板。事實(shí)上，分而治之的理念貫穿于整個(gè)網(wǎng)絡(luò)安全的各個(gè)方面。零信任安全(ZeroTrust sersecurity)假設(shè)任何人的應(yīng)用都可能成為潛在的安全隱患。因此，在涉及網(wǎng)絡(luò)安全時(shí)，要按照按需分配的原則對(duì)用戶和應(yīng)用系統(tǒng)進(jìn)行分類，按照最小權(quán)限分配的原則對(duì)用戶和應(yīng)用系統(tǒng)分配安全策略。在Azure VNet中，外網(wǎng)應(yīng)用和承載系統(tǒng)的內(nèi)網(wǎng)應(yīng)用先通過子網(wǎng)劃分將VNet拆分成多個(gè)網(wǎng)段，方便我們對(duì)網(wǎng)段內(nèi)的系統(tǒng)啟用不同的安全策略。這里，我們將外部網(wǎng)絡(luò)應(yīng)用程序段定義為DMZSubnet，將內(nèi)部網(wǎng)絡(luò)應(yīng)用程序段定義為OthersSubnet。

有了網(wǎng)段后，根據(jù)外部網(wǎng)絡(luò)應(yīng)用網(wǎng)段(DMZ子網(wǎng))和內(nèi)部網(wǎng)絡(luò)應(yīng)用網(wǎng)段(其他子網(wǎng))定義不同的訪問安全策略。在傳統(tǒng)的數(shù)據(jù)中心中，DMZ區(qū)域通常由防火墻實(shí)現(xiàn)，通過定義不同的區(qū)域來實(shí)現(xiàn)訪問隔離。Azure VNet中沒有Zone的概念。我們可以將不同的網(wǎng)段(即子網(wǎng))映射到傳統(tǒng)的區(qū)域概念。在DMZ實(shí)踐中，安全隔離是通過定義訪問策略實(shí)現(xiàn)的?？偟牟呗赃壿嬍?不允許互聯(lián)網(wǎng)訪問DMZ區(qū)域，不允許內(nèi)網(wǎng)訪問DMZ區(qū)域，不允許內(nèi)網(wǎng)訪問DMZ區(qū)域。以上邏輯可以通過Azure NSG(網(wǎng)絡(luò)安全組服務(wù))來實(shí)現(xiàn)，在其中我們可以定義訪問策略規(guī)則，邏輯與傳統(tǒng)防火墻ACL一致?？梢栽谔摂M主機(jī)的子網(wǎng)或Nic上啟用Azure NSG規(guī)則。在實(shí)踐中，建議在子網(wǎng)上為子網(wǎng)中的所有虛擬主機(jī)配置一致的策略，在網(wǎng)卡上為單個(gè)主機(jī)配置特殊的策略，這樣簡單且易于管理。

在上面的NSG接入策略規(guī)則規(guī)劃中，我們還有很多空白的地方，比如DMZDMZ，即DMZ內(nèi)的互訪，OthersOthers，即intranet內(nèi)的互訪，以及DMZ，Others對(duì)Internet的訪問。讓我們先來看看內(nèi)部網(wǎng)場(chǎng)景。雖然幾組應(yīng)用系統(tǒng)同時(shí)屬于同一個(gè)段，但是它們之間不一定存在依賴關(guān)系(即不需要相互訪問)。根據(jù)零信任網(wǎng)絡(luò)模型中的最小訪問權(quán)限原則，同一網(wǎng)段中的不同應(yīng)用系統(tǒng)也需要通過訪問控制策略進(jìn)行隔離。做同樣的事情，段！我們通過子網(wǎng)實(shí)現(xiàn)分割，并在子網(wǎng)內(nèi)繼續(xù)對(duì)系統(tǒng)進(jìn)行微分割，我們稱之為微分割。在傳統(tǒng)的網(wǎng)絡(luò)實(shí)踐中，通常為同一子網(wǎng)中的主機(jī)設(shè)置基于IP地址的詳細(xì)訪問規(guī)則。這種方法可以實(shí)現(xiàn)安全目標(biāo)，但是不容易維護(hù)。隨著主機(jī)數(shù)量的增加，規(guī)則數(shù)量會(huì)成比例增加，不適合后期維護(hù)管理。Azure中的應(yīng)用安全組功能為微分段的實(shí)現(xiàn)帶來了便利。用戶可以根據(jù)虛擬主機(jī)的微分段創(chuàng)建相應(yīng)的應(yīng)用安全組，然后通過NSG策略中的應(yīng)用安全組直接定義訪問策略。接入安全策略的定義剝離了對(duì)IP的依賴，使得后期維護(hù)簡單快捷。

通過微分段，分段內(nèi)的安全訪問控制可以進(jìn)一步加強(qiáng)網(wǎng)絡(luò)安全。讓我們分章節(jié)來看看DMZ等訪問互聯(lián)網(wǎng)的安全設(shè)計(jì)。在傳統(tǒng)的數(shù)據(jù)中心中，這部分被稱為互聯(lián)網(wǎng)邊緣，通過防火墻實(shí)現(xiàn)DMZ等對(duì)互聯(lián)網(wǎng)的訪問。隨著安全產(chǎn)品的不斷發(fā)展和演進(jìn)，從三四層防御到具有應(yīng)用感知的七層防御，從靜態(tài)策略到動(dòng)態(tài)策略，企業(yè)網(wǎng)絡(luò)的安全級(jí)別不斷加強(qiáng)和升級(jí)。在Azure中，可以通過Azure防火墻(防火墻服務(wù))來實(shí)現(xiàn)。Azure防火墻可以提供訪問日志審計(jì)、FQDN訪問控制策略、基于IP信譽(yù)的安全策略等功能，實(shí)現(xiàn)VNet訪問互聯(lián)網(wǎng)的安全保護(hù)。

我們之前設(shè)計(jì)的所有安全訪問策略主要是針對(duì)業(yè)務(wù)流量相關(guān)的策略?，F(xiàn)在很多安全事件都是從控制層面滲透進(jìn)來的，比如主機(jī)被破解SSH/RDP登錄等等。所以從整個(gè)安全設(shè)計(jì)上來說，外網(wǎng)區(qū)域和內(nèi)網(wǎng)區(qū)域的隔離，其實(shí)就是把應(yīng)用暴露在最小范圍的公網(wǎng)，那么沒有公網(wǎng)接入的主機(jī)怎么管理呢？市場(chǎng)上有很多成熟的跳板解決方案來解決遠(yuǎn)程登錄管理的問題。在Azure中，Bastion service可以提供跳板服務(wù)，跳板服務(wù)可以幫助管理員和用戶通過指定的門戶管理VNet中的主機(jī)。Bastion service作為一種受管理的跳板服務(wù)，聚合了管理員用戶對(duì)統(tǒng)一門戶的訪問。對(duì)于VNet內(nèi)部的主機(jī)，只需要釋放對(duì)Bastion服務(wù)地址的登錄訪問。

此外，七層網(wǎng)絡(luò)安全防御和DDoS防御也是受到廣泛關(guān)注的安全實(shí)踐。Azure WAF(Web安全防火墻服務(wù))和Azure DDoS服務(wù)(拒絕服務(wù)攻擊防御服務(wù))可以幫助用戶實(shí)現(xiàn)防御。Azure WAF支持在Azure FrontDoor服務(wù)和Azure應(yīng)用網(wǎng)關(guān)服務(wù)上開放。面向互聯(lián)網(wǎng)的2C應(yīng)用，F(xiàn)rontDoor上的WAF可以通過FrontDoor服務(wù)的全局接入點(diǎn)實(shí)現(xiàn)全局分布式親和防御。Azure DDoS服務(wù)借助微軟云豐富的網(wǎng)絡(luò)帶寬資源和基于machine 學(xué)習(xí)的自適應(yīng)流量策略模型，為用戶提供全球DDoS防護(hù)服務(wù)。

通過以上介紹，DMZ的設(shè)計(jì)已經(jīng)完成，我們借助Azure的第一方網(wǎng)絡(luò)安全組件，構(gòu)建了一個(gè)基于零信任網(wǎng)絡(luò)模型的安全可靠的網(wǎng)絡(luò)環(huán)境。希望對(duì)大家有幫助，安全無小事。以后有機(jī)會(huì)給大家介紹身份安全、數(shù)據(jù)安全等話題。

圖表參考圖標(biāo):

要了解有關(guān)微軟云安全的更多信息，請(qǐng)?jiān)L問:

https://www . Microsoft . com/zhcn/security/business/cloudsecurity

特別聲明：以上文章內(nèi)容僅代表作者本人觀點(diǎn)，不代表ESG跨境電商觀點(diǎn)或立場(chǎng)。如有關(guān)于作品內(nèi)容、版權(quán)或其它問題請(qǐng)于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。