Azure 安全網(wǎng)絡篇 DMZ 區(qū)域設計實踐,azure 數(shù)據(jù)安全-ESG跨境

Azure 安全網(wǎng)絡篇 DMZ 區(qū)域設計實踐,azure 數(shù)據(jù)安全

Azure安全網(wǎng)絡章節(jié)DMZ區(qū)域設計實踐

應讀者要求，今天我將向大家介紹如何在Azure上建立一個DMZ區(qū)域。為什么說這個話題？安全不是小事。很多用戶上云前期沒有做好安全規(guī)劃，導致后期存在隱患。你為什么選擇DMZ網(wǎng)絡安全設計？如果你想先富起來，先修路，這和IDC在云端是一樣的。想致富先修路，網(wǎng)絡先行。同時，DMZ區(qū)域是整個網(wǎng)絡安全設計的重點，流量屬性最復雜，安全重要性最高。其次，關(guān)于云原生，很多用戶上了云之后，希望更多的使用云平臺第一方的托管服務。在過去的一年多時間里，Azure在安全產(chǎn)品上發(fā)布了很多新產(chǎn)品，我也希望這篇文章能幫助用戶知道Azure上有哪些牌，打好這副牌。在本次DMZ區(qū)域設計實踐中，我們將涉及Azure云上的幾個重要安全產(chǎn)品，Azure VNET(虛擬網(wǎng)絡服務)、Azure DDoS(拒絕服務攻擊防御服務)、Azure WAF(WEB安全防火墻服務)、Azure防火墻(防火墻服務)、Azure NSG(網(wǎng)絡安全組服務)和Azure Bastion(跳板機服務)。

DMZ是英文demilitarized zone的縮寫，中文名稱為Isolated Zone，又稱非軍事區(qū)。它是介于非安全系統(tǒng)和安全系統(tǒng)之間的緩沖區(qū)，解決安裝防火墻后外網(wǎng)用戶無法訪問內(nèi)網(wǎng)服務器的問題。這個緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間的小網(wǎng)絡區(qū)域。在這個小小的網(wǎng)絡區(qū)域里，可以放置一些必須公開的服務器設施，比如企業(yè)Web服務器、FTP服務器、論壇等。另一方面，通過這樣的DMZ區(qū)域，內(nèi)部網(wǎng)絡得到更有效的保護。由于這種網(wǎng)絡部署，與一般的防火墻方案相比，對于來自外網(wǎng)的攻擊者來說，又多了一層。“摘自百度百科。

簡單來說，DMZ的概念就是分而治之。如果按照服務對象對運行在云端的應用服務進行分類，有面向互聯(lián)網(wǎng)用戶公開的外網(wǎng)應用，也有面向內(nèi)網(wǎng)用戶公開的內(nèi)網(wǎng)應用。如果按照同樣的安全策略來管理，外網(wǎng)的應用就會成為眾矢之的，一旦被攻破，就會成為滲透內(nèi)網(wǎng)的跳板。事實上，分而治之的理念貫穿于整個網(wǎng)絡安全的各個方面。零信任安全(ZeroTrust sersecurity)假設任何人的應用都可能成為潛在的安全隱患。因此，在涉及網(wǎng)絡安全時，要按照按需分配的原則對用戶和應用系統(tǒng)進行分類，按照最小權(quán)限分配的原則對用戶和應用系統(tǒng)分配安全策略。在Azure VNet中，外網(wǎng)應用和承載系統(tǒng)的內(nèi)網(wǎng)應用先通過子網(wǎng)劃分將VNet拆分成多個網(wǎng)段，方便我們對網(wǎng)段內(nèi)的系統(tǒng)啟用不同的安全策略。這里，我們將外部網(wǎng)絡應用程序段定義為DMZSubnet，將內(nèi)部網(wǎng)絡應用程序段定義為OthersSubnet。

有了網(wǎng)段后，根據(jù)外部網(wǎng)絡應用網(wǎng)段(DMZ子網(wǎng))和內(nèi)部網(wǎng)絡應用網(wǎng)段(其他子網(wǎng))定義不同的訪問安全策略。在傳統(tǒng)的數(shù)據(jù)中心中，DMZ區(qū)域通常由防火墻實現(xiàn)，通過定義不同的區(qū)域來實現(xiàn)訪問隔離。Azure VNet中沒有Zone的概念。我們可以將不同的網(wǎng)段(即子網(wǎng))映射到傳統(tǒng)的區(qū)域概念。在DMZ實踐中，安全隔離是通過定義訪問策略實現(xiàn)的?？偟牟呗赃壿嬍?不允許互聯(lián)網(wǎng)訪問DMZ區(qū)域，不允許內(nèi)網(wǎng)訪問DMZ區(qū)域，不允許內(nèi)網(wǎng)訪問DMZ區(qū)域。以上邏輯可以通過Azure NSG(網(wǎng)絡安全組服務)來實現(xiàn)，在其中我們可以定義訪問策略規(guī)則，邏輯與傳統(tǒng)防火墻ACL一致。可以在虛擬主機的子網(wǎng)或Nic上啟用Azure NSG規(guī)則。在實踐中，建議在子網(wǎng)上為子網(wǎng)中的所有虛擬主機配置一致的策略，在網(wǎng)卡上為單個主機配置特殊的策略，這樣簡單且易于管理。

在上面的NSG接入策略規(guī)則規(guī)劃中，我們還有很多空白的地方，比如DMZDMZ，即DMZ內(nèi)的互訪，OthersOthers，即intranet內(nèi)的互訪，以及DMZ，Others對Internet的訪問。讓我們先來看看內(nèi)部網(wǎng)場景。雖然幾組應用系統(tǒng)同時屬于同一個段，但是它們之間不一定存在依賴關(guān)系(即不需要相互訪問)。根據(jù)零信任網(wǎng)絡模型中的最小訪問權(quán)限原則，同一網(wǎng)段中的不同應用系統(tǒng)也需要通過訪問控制策略進行隔離。做同樣的事情，段！我們通過子網(wǎng)實現(xiàn)分割，并在子網(wǎng)內(nèi)繼續(xù)對系統(tǒng)進行微分割，我們稱之為微分割。在傳統(tǒng)的網(wǎng)絡實踐中，通常為同一子網(wǎng)中的主機設置基于IP地址的詳細訪問規(guī)則。這種方法可以實現(xiàn)安全目標，但是不容易維護。隨著主機數(shù)量的增加，規(guī)則數(shù)量會成比例增加，不適合后期維護管理。Azure中的應用安全組功能為微分段的實現(xiàn)帶來了便利。用戶可以根據(jù)虛擬主機的微分段創(chuàng)建相應的應用安全組，然后通過NSG策略中的應用安全組直接定義訪問策略。接入安全策略的定義剝離了對IP的依賴，使得后期維護簡單快捷。

通過微分段，分段內(nèi)的安全訪問控制可以進一步加強網(wǎng)絡安全。讓我們分章節(jié)來看看DMZ等訪問互聯(lián)網(wǎng)的安全設計。在傳統(tǒng)的數(shù)據(jù)中心中，這部分被稱為互聯(lián)網(wǎng)邊緣，通過防火墻實現(xiàn)DMZ等對互聯(lián)網(wǎng)的訪問。隨著安全產(chǎn)品的不斷發(fā)展和演進，從三四層防御到具有應用感知的七層防御，從靜態(tài)策略到動態(tài)策略，企業(yè)網(wǎng)絡的安全級別不斷加強和升級。在Azure中，可以通過Azure防火墻(防火墻服務)來實現(xiàn)。Azure防火墻可以提供訪問日志審計、FQDN訪問控制策略、基于IP信譽的安全策略等功能，實現(xiàn)VNet訪問互聯(lián)網(wǎng)的安全保護。

我們之前設計的所有安全訪問策略主要是針對業(yè)務流量相關(guān)的策略。現(xiàn)在很多安全事件都是從控制層面滲透進來的，比如主機被破解SSH/RDP登錄等等。所以從整個安全設計上來說，外網(wǎng)區(qū)域和內(nèi)網(wǎng)區(qū)域的隔離，其實就是把應用暴露在最小范圍的公網(wǎng)，那么沒有公網(wǎng)接入的主機怎么管理呢？市場上有很多成熟的跳板解決方案來解決遠程登錄管理的問題。在Azure中，Bastion service可以提供跳板服務，跳板服務可以幫助管理員和用戶通過指定的門戶管理VNet中的主機。Bastion service作為一種受管理的跳板服務，聚合了管理員用戶對統(tǒng)一門戶的訪問。對于VNet內(nèi)部的主機，只需要釋放對Bastion服務地址的登錄訪問。

此外，七層網(wǎng)絡安全防御和DDoS防御也是受到廣泛關(guān)注的安全實踐。Azure WAF(Web安全防火墻服務)和Azure DDoS服務(拒絕服務攻擊防御服務)可以幫助用戶實現(xiàn)防御。Azure WAF支持在Azure FrontDoor服務和Azure應用網(wǎng)關(guān)服務上開放。面向互聯(lián)網(wǎng)的2C應用，F(xiàn)rontDoor上的WAF可以通過FrontDoor服務的全局接入點實現(xiàn)全局分布式親和防御。Azure DDoS服務借助微軟云豐富的網(wǎng)絡帶寬資源和基于machine 學習的自適應流量策略模型，為用戶提供全球DDoS防護服務。

通過以上介紹，DMZ的設計已經(jīng)完成，我們借助Azure的第一方網(wǎng)絡安全組件，構(gòu)建了一個基于零信任網(wǎng)絡模型的安全可靠的網(wǎng)絡環(huán)境。希望對大家有幫助，安全無小事。以后有機會給大家介紹身份安全、數(shù)據(jù)安全等話題。

圖表參考圖標:

要了解有關(guān)微軟云安全的更多信息，請訪問:

https://www . Microsoft . com/zhcn/security/business/cloudsecurity

特別聲明：以上文章內(nèi)容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關(guān)于作品內(nèi)容、版權(quán)或其它問題請于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。