Azure 最佳架构安全评估 - 网络 （续）

Azure 网络安全最佳实践

本文会介绍Azure加固网络安全的最佳实践。

本文会介绍：

1. 最佳实践是啥样？
2. 为什么你要实现最佳实践？
3. 如果不实现最佳实践的话会怎么样？
4. 实践最佳实践的几种方式？
5. 实现最佳实践你能学习到什么？

使用强的网络控制

将虚拟机和网络设备放在虚拟网络中，这样就可以将设备进行互通互联了。所以你可以将网络网卡连接到虚拟网络上，从而允许不通设备之间基于TCP\IP的通信。当你进行网络规划的时候，或者进行网络安全规划，我们建议你集中管理如下的资源：

1. 集中管理ExpressRoute，虚拟网络、子网、IP地址
2. 实现网络安全的自我管理，比如ER，VNet，子网，IP
   建议采用简单直接统一的安全策略来管控网络，这样可以避免人工犯错，也可以增强自动化的可信度。

进行逻辑子网划分

Azure 虚拟网络有点类似本地网络LAN，虚拟网络可以创建私有IP地址空间网络，私有IP地址可以是A类 B类 C类。
Class A (10.0.0.0/8), Class B (172.16.0.0/12), and Class C (192.168.0.0/16) ranges.
最佳实践是将子网进行逻辑分区。
最佳实践：不要创建太狂的允许规则，比如允许0.0.0.0到255.255.255.255
细节：确保流程里面有禁止配置这样的规则，这种规则很容易受攻击者攻击。
最佳实践：将大的网络空间划分为小的子网
细节：使用CIDR的网络划分策略来创建子网。
最佳实践：控制子网之间的网络控制，子网之间默认是可以进行通信的，所以不需要手动来配置子网之间的路由。
细节：使用NSG来管理子网之间的流量，NSG很简单，全面地进行网络包分析，使用（源IP地址、源端口、目的IP、目的端口、四层的策略）来允许和阻止网络流量。你可以可以基于IP地址来控制流量，或者基于整个子网来控制流量。
将同一个安全区域或者相同角色的资源放在一个子网中 进行统一管控。
最佳实践：避免小型虚拟网络和子网来确保简单性和灵活性。
细节：大多数的企业会在计划的ip规划中，添加更多的资源，但是进行重新规划，成本很好，使用小的子网会兼职安全管理，增加管理NSG的成本。比较宽广地定义子网可以确保有一点的增长空间。
最佳实践：定义ASG来简化NSG
细节：定义ASG的IP地址列表，确保ASG的虚拟机很好地进行命名和归类以便将来可以进行复用。

采用零信任模型

基于边界的网络的运行模式就是意味着边界内的网络是可信任的，但是限制企业可以通过。但是如今员工一般都会从各种设备、app来随时随地访问公司的资源，这就打破了边缘网络的概念。所以一旦攻击者从一个终结点攻击进入受信的网络内部，那么整个受信任的内网就会被完全攻破。零信任模型就摒弃了这种基于边缘网络的信任关系。取而代之，零信任网络会基于设备、用户，这样的个体来进行身份验证，从而来访问企业的内部数据。
最佳实践：基于设备、身份表术、网络登因素来配置条件访问策略 AAD Conditional Access
最佳实践：对于搞特权的操作，使用临时的特权权限，确保在操作完成之后，权限及时失效，而不会有残留的特权。
最佳实践：对于端口的访问采用批准模式，使用JIT access来锁住所有的入站流量，减少虚拟机对外的暴露。
零信任模型是下一代网络安全的革新，所有的网络设备都要有可能会被攻击的思维模式，零信任模型在保护企业资源安全的同时，也不断地赋能企业员工，进行高效随时随地的办公模式。

控制路由行为

在VNet里面的所有VM都是互通的，因为默认VNet内部本身就是打通的，但是也可以配置自定义的路由来决定网络的下一跳。我们推荐采用UDR来配置网络安全设备。

使用虚拟网络设备

虽然NSG UDR可以提供某种程度的网络安全管理，但是很多时候，你也需要更高级的网络管理，这时候我们会建议使用专门的网络安全设备。（Azure Marketplace里面有）
比如：

• 防火墙
• 入侵检测、防范
• 漏洞管理
• 应用管控
• 网络异常检测
• 网络过滤
• 杀毒软件

给安全区域配置边缘网络

边缘网络也可以称为DMZ，是一个物理或者逻辑网络分区，DMZ是用来隔离互联网和企业内网的，DMZ网络会基于网络策略进行流量过滤，只有符合条件的流量才能进入虚拟网络
边缘网络很重要因为他专注管理、监控、日志、警告。边缘网络一般会启用DDoS防护，IDS IPS，防火墙策略、网络过滤、杀毒软件等等。网络安全设备会位于互联网和Azure虚拟网络中间。
边缘网络是个基本概念，但是有三种不通的设计方式，比如BACK-TO-BACK TRI-HOME MULTI-HOME。
基于零信任模型，我们建议在边缘网络配置高级的安全部署来加固网络安全。
在DMZ层可以配置一下方案：

1. Azure原生的管控，比如Azure FIrewall WAF。
2. 第三方防火墙。

尽量避免将WAN 连接暴露给公网

很多企业的IT架构都是混合模式，一些在云上，一些在本地。这种混合模式就需要将本地和云上进行打通，打通的模式有如下：

1. Site-to-Site VPN。 这是一种受信、可靠、成熟的技术，但是这种连接通过互联网连接实现，带宽最大也就1.25Gbps，一般情况企业会采用Site-to-Site VPN
2. Azure ExpressRoute。我们建议你采用ER来连接本地和云上，ER是通过专门的网络供应商的专用连接，ER可以连接Azure M365 D365云。ER是一种专门的WAN专线。这种专线走的移动供应商的链路，而不走互联网，不会有暴露的风险。

ER的所属地点会影响防火墙性能、扩展性、可靠性等等，所以必须明确ER在哪里开始、哪里结束

• Terminate outside the firewall (the perimeter network paradigm) if you require visibility into the traffic, if you need to continue an existing practice of isolating datacenters, or if you’re solely putting extranet resources on Azure.
• Terminate inside the firewall (the network extension paradigm). This is the default recommendation. In all other cases, we recommend treating Azure as an nth datacenter.

优化上线时间和性能

为了确保服务上线的持续性，尽量采用负载均衡来分配流量。

禁止RDP/SSH 访问虚拟机

RDP SSH暴露在公网上容易受到暴力破解的攻击。我们建议直接禁用RDP SSH访问。
但是禁用之后又怎么管理呢？
情况1：仅允许单个用户通过互联网访问。Point-to-Site VPN是另一种远程访问客户端的方式。当建立Point-to-Site VPN之后，这个用户就可以使用RDP SHH连接虚拟机了。Point-to-Site VPN比RDP SSH安全很多，因为用户在连接虚拟机的时候需要做两次验证，第一次验证来创建VPN连接，第二次登录RDP。
情况2：将本地用户通过互联网连接到Azure云上虚拟机，建立Site-to-site VPN，将本地网络和云上网络通过互联网VPN连接。
情况3：使用专线连接，ER进行连接。

确保核心的Azure服务只走虚拟网络，而不走互联网

建议使用私有终结点来访问Azure PaaS服务。私有终结点允许你的服务只走私有网络，而不走互联网。