Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo fornisce indicazioni per l'applicazione dei principi di Zero Trust per la segmentazione delle reti in ambienti Azure. Ecco i principi Zero Trust.
| Principio zero trust | Definizione |
|---|---|
| Verificare esplicitamente | Eseguire sempre l'autenticazione e l'autorizzazione in base a tutti i punti dati disponibili. |
| Usare l'accesso con privilegi minimi | Limitare l'accesso degli utenti con JUST-In-Time e Just-Enough-Access (JIT/JEA), criteri adattivi basati sui rischi e protezione dei dati. |
| Presunzione di violazione | Ridurre al minimo il raggio di attacco e l'accesso al segmento. Verificare la crittografia end-to-end e usare l'analisi per ottenere visibilità, guidare il rilevamento delle minacce e migliorare le difese. Questo principio viene soddisfatto usando l'analisi per ottenere visibilità sul traffico di rete nell'infrastruttura di Azure. |
Questo articolo fa parte di una serie di articoli che illustrano come applicare i principi di Zero Trust alla rete di Azure.
I tipi di traffico di rete trattati in questo articolo sono:
- Centralizzato
- Traffico est-ovest, che sono flussi di traffico tra le reti virtuali di Azure e i servizi di Azure e la rete locale
- Nord-sud, che sono flussi di traffico tra l'ambiente di Azure e Internet
Architettura di riferimento
Il diagramma seguente illustra l'architettura di riferimento per questa guida Zero Trust per l'ispezione del traffico tra reti virtuali locali e reti virtuali di Azure, tra reti virtuali di Azure e servizi di Azure e tra l'ambiente di Azure e Internet.
Questa architettura di riferimento include:
- Carichi di lavoro IaaS di Azure in esecuzione in macchine virtuali di Azure.
- Servizi di Azure.
- Una rete virtuale perimetrale Internet che contiene Azure DDoS Protection, un Firewall di Azure e un Firewall per Applicazioni Web di Azure (WAF).
- Frecce che mostrano flussi di traffico est-ovest e nord-sud.
Che cos'è in questo articolo?
I principi Zero Trust vengono applicati nell'architettura di riferimento. Nella tabella seguente vengono descritte le raccomandazioni per garantire la visibilità del traffico di rete in questa architettura per il principio Presunzione di violazione Zero Trust.
| Passaggio | Attività |
|---|---|
| 1 | Implementare un punto di ispezione del traffico centralizzato. |
| 2 | Implementare l'ispezione del traffico est-ovest. |
| 3 | Implementare l'ispezione del traffico nord-sud. |
Passaggio 1: Implementare un punto di ispezione del traffico centralizzato
L'ispezione centralizzata del traffico consente di controllare e visualizzare il traffico in uscita e in uscita dalla rete. Hub e spoke VNets e Azure Virtual WAN sono le due topologie di rete più comuni in Azure. Hanno capacità e funzionalità diverse per il modo in cui connettono le reti. In entrambe le progettazioni, la rete virtuale dell'hub è la rete centrale e viene usata per suddividere i carichi di lavoro in applicazioni e carichi di lavoro dalla rete virtuale hub alle reti virtuali spoke. L'ispezione centralizzata include il traffico che scorre a nord-sud, est-ovest o entrambi.
Topologia hub-spoke
Una delle caratteristiche di un modello hub-spoke è che le reti virtuali sono tutte gestite dall'utente. Una rete virtuale gestita dall'hub del cliente funge da rete virtuale condivisa a cui si connettono altre reti virtuali spoke. Questa rete virtuale centralizzata viene in genere usata:
- Per stabilire la connettività ibrida alle reti locali.
- Per l'ispezione e la segmentazione del traffico tramite appliance virtuali di rete di terze parti o Firewall di Azure.
- Per centralizzare l'ispezione del servizio di distribuzione delle applicazioni come Azure Application Gateway con WAF.
In questa topologia, si inserisce un Firewall di Azure o un NVA nella rete virtuale dell'hub e si configurano route definite dall'utente per indirizzare il traffico dalle reti virtuali degli spoke e dalla rete locale alla rete virtuale dell'hub. Il Firewall di Azure o l'appliance virtuale di rete possono fungere anche da motore di instradamento per instradare il traffico tra le reti virtuali spoke. Una delle funzionalità più importanti di un modello hub e spoke della rete virtuale gestita dal cliente è il controllo granulare del traffico tramite UDR (Route Definite dall'Utente) e la possibilità di modificare manualmente il routing, la segmentazione e la propagazione di queste route.
Rete WAN virtuale di Azure
Azure Virtual WAN è una rete virtuale hub gestita di Azure che contiene istanze del servizio di instradamento che supervisionano la propagazione degli instradamenti da e verso tutte le filiali e tutti gli spoke. Consente in modo efficace la connettività any-to-any.
Una delle grandi differenze con una rete virtuale gestita (denominata hub virtuale gestito) è che la granularità del controllo di routing è astratta per gli utenti. Alcuni dei vantaggi principali includono:
- Gestione semplificata delle route con connettività any-to-any nativa. Se è necessario l'isolamento del traffico, è possibile configurare manualmente tabelle di route personalizzate o route statiche all'interno della tabella di route predefinita.
- Solo i gateway di rete virtuale, i firewall di Azure e le appliance virtuali di rete (NVA) approvate o i dispositivi SD-WAN approvati possono essere distribuiti all'interno dell'hub. I servizi centralizzati, ad esempio DNS e gateway applicazione, devono trovarsi nelle normali reti virtuali spoke. Gli spoke devono essere collegati agli hub virtuali usando il peering reti virtuali.
Le reti virtuali gestite sono più adatte per:
- Distribuzioni su larga scala tra aree che necessitano di connettività di transito che forniscono l'ispezione del traffico da e verso qualsiasi posizione.
- Più di 30 siti rami o più di 100 tunnel IPsec (Internet Protocol Security).
Alcune delle migliori funzionalità di rete WAN virtuale sono l'infrastruttura di routing di scalabilità e l'interconnettività. Esempi di scalabilità includono la velocità effettiva di 50 Gbps per hub e 1.000 siti di succursale. Per aumentare la scalabilità, più hub virtuali possono essere interconnessi per creare una rete mesh di rete WAN virtuale più grande. Un altro vantaggio di rete WAN virtuale è la possibilità di semplificare il routing per l'ispezione del traffico inserendo prefissi con il clic di un pulsante.
Ogni design presenta vantaggi e svantaggi specifici. La scelta appropriata deve essere determinata in base ai requisiti previsti per la crescita futura e il sovraccarico di gestione.
Passaggio 2: Implementare l'ispezione del traffico east-west
I flussi di traffico east-west includono VNet-a-VNet e VNet-a-on-premises. Per esaminare il traffico tra est-ovest, è possibile distribuire un Firewall di Azure o un'appliance virtuale di rete nella rete virtuale dell'hub. Ciò richiede che le route definite dall'utente indirizzano il traffico privato all'Firewall di Azure o all'appliance virtuale di rete per l'ispezione. All'interno dello stesso VNet è possibile usare i gruppi di sicurezza di rete per il controllo di accesso, ma se è necessario un controllo più approfondito con l'ispezione, è possibile usare un firewall locale o un firewall centralizzato nella rete virtuale hub con l'uso delle UDR (route definite dall'utente).
Con Azure rete WAN virtuale, è possibile avere il Firewall di Azure o un'appliance virtuale di rete all'interno dell'hub virtuale per il routing centralizzato. È possibile usare Azure Firewall Manager o routing intent per ispezionare tutto il traffico privato. Se si vuole personalizzare l'ispezione, è possibile avere il Firewall di Azure o l'appliance virtuale di rete nell'hub virtuale per controllare il traffico desiderato. Il modo più semplice per indirizzare il traffico in un ambiente rete WAN virtuale consiste nell'abilitare la finalità di routing per il traffico privato. Questa funzionalità invia i prefissi di indirizzi privati (RFC 1918) a tutti gli spoke connessi all'hub. Qualsiasi traffico destinato a un indirizzo IP privato verrà indirizzato all'hub virtuale per l'ispezione.
Ogni metodo presenta vantaggi e svantaggi. Il vantaggio dell'uso dell'intento di routing è la semplificazione della gestione della route definita dall'utente, ma non è possibile personalizzare l'ispezione per ogni connessione. Il vantaggio di non usare l'intento di routing o Firewall Manager consiste nella possibilità di personalizzare l'ispezione. Lo svantaggio è che non è possibile eseguire l'ispezione del traffico tra aree.
Il diagramma seguente illustra il traffico east-west all'interno dell'ambiente Azure.
Per la visibilità del traffico di rete in Azure, Microsoft consiglia l'implementazione di un Firewall di Azure o di un'appliance virtuale di rete nella rete virtuale. Il firewall di Azure può esaminare il traffico sia a livello di rete che a livello di applicazione. Inoltre, Firewall di Azure offre funzionalità aggiuntive, ad esempio il rilevamento e la prevenzione delle intrusioni (IDPS), l'ispezione TLS (Transport Layer Security), il filtro URL e il filtro delle categorie Web.
L'inclusione di Azure Firewall o appliance virtuale di rete nella rete di Azure è fondamentale per aderire al principio Zero Trust di "Violazione presunta" per la rete. Dato che le violazioni possono verificarsi ogni volta che i dati attraversano una rete, è essenziale comprendere e controllare quale traffico è consentito raggiungere la sua destinazione. Firewall di Azure, le route definite dall'utente e i gruppi di sicurezza di rete svolgono un ruolo fondamentale nell'abilitare un modello di traffico sicuro consentendo o negando il traffico tra carichi di lavoro.
Per visualizzare altri dettagli sui flussi di traffico della rete virtuale, è possibile abilitare i VNet flow logs o i NSG flow logs. I dati dei log dei flussi vengono archiviati in un account Archiviazione di Azure in cui è possibile accedervi ed esportarli in uno strumento di visualizzazione, ad esempio Analisi del traffico di Azure. Con Analisi del traffico di Azure è possibile trovare traffico sconosciuto o indesiderato, monitorare il livello di traffico e l'utilizzo della larghezza di banda o filtrare il traffico specifico per comprendere il comportamento dell'applicazione.
Passaggio 3: Implementare l'ispezione del traffico nord-sud
Il traffico nord-sud include in genere il traffico tra reti private e Internet. Per esaminare il traffico nord-sud in una topologia hub-spoke, è possibile usare le UDR per indirizzare il traffico a un'istanza di Azure Firewall o a una NVA. Per gli annunci dinamici, è possibile usare un Route Server di Azure con un'appliance virtuale di rete che supporta BGP per indirizzare tutto il traffico destinato a Internet dalle reti virtuali all'appliance virtuale di rete.
In Azure WAN virtuale, per indirizzare il traffico nord-sud dai VNets al firewall di Azure o all'NVA supportato nell'hub virtuale, è possibile usare questi scenari comuni:
- Usare un'appliance virtuale di rete o un Firewall di Azure nell'hub virtuale controllato con Routing-Intent o con Azure Firewall Manager per indirizzare il traffico nord-sud.
- Se l'appliance di rete virtuale non è supportata all'interno dell'hub virtuale, è possibile distribuirla in una rete virtuale spoke e indirizzare il traffico con UDR per l'ispezione. Lo stesso vale per Firewall di Azure. In alternativa, è possibile fare il peering BGP di un NVA in uno spoke con l'hub virtuale per pubblicare un percorso predefinito (0.0.0.0/0).
Il diagramma seguente illustra il traffico nord-sud tra un ambiente Azure e Internet.
Azure offre i seguenti servizi di rete progettati per offrire visibilità sul traffico di rete che entra e esce dall'ambiente Azure.
Protezione di Azure dagli attacchi DDoS
La protezione DDoS di Azure può essere abilitata in qualsiasi rete virtuale con risorse IP pubbliche per monitorare e ridurre i possibili attacchi DDoS (Distributed Denial of Service). Questo processo di mitigazione comporta l'analisi dell'utilizzo del traffico rispetto alle soglie predefinite nei criteri DDoS, seguito dalla registrazione di queste informazioni per un ulteriore esame. Per prepararsi meglio agli eventi imprevisti futuri, Le protezioni DDoS di Azure offrono la possibilità di eseguire simulazioni contro gli indirizzi IP pubblici e i servizi, fornendo informazioni dettagliate preziose sulla resilienza e sulla risposta dell'applicazione durante un attacco DDoS.
Firewall di Azure
Firewall di Azure fornisce una raccolta di strumenti per monitorare, controllare e analizzare il traffico di rete.
Log e metriche
Firewall di Azure raccoglie log dettagliati tramite l'integrazione con le aree di lavoro di Azure Log Analytics. È possibile usare query Kusto Query Language (KQL) per estrarre informazioni aggiuntive sulle principali categorie di regole, ad esempio le regole di applicazione e di rete. È anche possibile recuperare i log specifici per risorsa che ampliano gli schemi e le strutture dal livello di rete ai log di intelligence sulle minacce e IDPS. Per altre informazioni, vedere log strutturati di Firewall di Azure.
Cartelle di lavoro
Firewall di Azure fornisce cartelle di lavoro che presentano i dati raccolti usando grafici di attività nel tempo. Questo strumento consente anche di visualizzare più risorse Firewall di Azure combinandole in un'interfaccia unificata. Per altre informazioni, vedere Uso di cartelle di lavoro di Firewall di Azure.
Analisi dei criteri
Firewall di Azure Analisi dei criteri offre una panoramica dei criteri implementati e basati su informazioni dettagliate sui criteri, analisi delle regole e analisi del flusso del traffico, ottimizza e modifica i criteri implementati per adattarsi ai modelli di traffico e alle minacce. Per ulteriori informazioni, vedere Analisi delle policy del firewall di Azure.
Queste funzionalità assicurano che Firewall di Azure rimanga una soluzione affidabile per proteggere il traffico di rete fornendo agli amministratori gli strumenti necessari per una gestione efficace della rete.
Gateway Applicativo
Application Gateway offre funzionalità importanti per monitorare, verificare e analizzare il traffico a scopo di sicurezza. Abilitando Log Analytics e usando query KQL predefinite o personalizzate, è possibile visualizzare i codici di errore HTTP, inclusi quelli negli intervalli 4xx e 5xx critici per identificare i problemi.
I log di accesso di gateway applicazione forniscono anche informazioni critiche sui parametri correlati alla sicurezza chiave, ad esempio indirizzi IP client, URI della richiesta, versione HTTP e valori di configurazione specifici di SSL/TLS, ad esempio protocolli, suite di crittografia TLS e quando è abilitata la crittografia SSL.
Frontdoor di Azure
Frontdoor di Azure usa Anycast TCP per instradare il traffico al punto di presenza del data center più vicino (PoP). Come un servizio di bilanciamento del carico convenzionale, è possibile inserire un Firewall di Azure o una Network Virtual Appliance (NVA) nel pool di back-end di Azure Front Door, noto anche come origine. L'unico requisito è che l'indirizzo IP nell'origine sia pubblico.
Dopo aver configurato Frontdoor di Azure per ricevere le richieste, genera report sul traffico per mostrare il comportamento del profilo frontdoor di Azure. Quando si usa il livello Premium di Frontdoor di Azure, i report di sicurezza sono disponibili anche per visualizzare le corrispondenze con le regole WAF, incluse le regole OWASP (Open Worldwide Application Security Project), le regole di protezione del bot e le regole personalizzate.
Azure WAF (Firewall per applicazioni Web di Azure)
WAF di Azure è una funzionalità di sicurezza aggiuntiva che controlla il traffico di livello 7 e può essere attivata sia per Gateway Applicazione che per Azure Front Door con determinati livelli tariffari. Questo offre un ulteriore livello di sicurezza per il traffico che non ha origine in Azure. È possibile configurare WAF in modalità di prevenzione e rilevamento usando le definizioni delle regole di base OWASP.
Strumenti di monitoraggio
Per il monitoraggio completo dei flussi di traffico nord-sud, è possibile usare strumenti come i log dei flussi del gruppo di sicurezza di rete, Analisi del traffico di Azure e i log dei flussi della rete virtuale per migliorare la visibilità nella rete.
Formazione consigliata
- Configurare e gestire reti virtuali per gli amministratori di Azure
- Introduzione a Web application firewall di Azure
- Introduzione alla rete WAN virtuale di Azure
- Introduzione a Frontdoor di Azure
- Introduzione al gateway applicativo di Azure
Passaggi successivi
Per altre informazioni sull'applicazione di Zero Trust alla rete di Azure, vedere:
- Crittografare le comunicazioni di rete basate su Azure
- Segmentare le comunicazioni di rete su base Azure
- Interrompere la tecnologia di sicurezza di rete legacy
- Proteggere le reti con Zero Trust
- Reti virtuali spoke di Azure
- Reti virtuali hub in Azure
- Reti virtuali spoke con servizi PaaS di Azure
- Rete WAN virtuale di Azure
Riferimenti
Fare riferimento a questi collegamenti per informazioni sui vari servizi e tecnologie menzionati in questo articolo.
- Protezione di Azure dagli attacchi DDoS
- Firewall di Azure
- Web application firewall di Azure
- Rete WAN virtuale di Azure
- Gateway delle applicazioni di Azure
- Route definite dall'utente
- Gestione firewall di Azure
- Log dei flussi di rete virtuale
- Log di flusso NSG
- Analisi del traffico di Azure
- Azure Route Server
- Log strutturati di Azure Firewall
- Uso di cartelle di lavoro di Firewall di Azure
- Analisi dei criteri di Firewall di Azure
- Frontdoor di Azure