【Azure云】Azure网络安全最佳实践

本文讨论了增强网络安全的Azure最佳实践集合。这些最佳实践源于我们在Azure网络方面的经验以及像您这样的客户的经验。

对于每种最佳实践，本文都解释了：

最佳实践是什么
为什么要启用最佳实践
如果你不能启用最佳实践，结果会是什么
最佳实践的可能替代方案
如何学习实现最佳实践
这些最佳实践基于共识，以及撰写本文时存在的Azure平台功能和特性集。观点和技术会随着时间的推移而变化，本文将定期更新以反映这些变化。

使用强大的网络控制
您可以通过将Azure虚拟机（VM）和设备放置在Azure虚拟网络上，将它们连接到其他网络设备。也就是说，您可以将虚拟网络接口卡连接到虚拟网络，以允许网络设备之间基于TCP/IP的通信。连接到Azure虚拟网络的虚拟机可以连接到同一虚拟网络、不同虚拟网络、互联网或您自己的本地网络上的设备。

在规划网络和网络安全时，我们建议您集中：

管理核心网络功能，如ExpressRoute、虚拟网络和子网配置以及IP寻址。
网络安全元素的治理，如ExpressRoute、虚拟网络和子网配置以及IP寻址等网络虚拟设备功能。
如果你使用一套通用的管理工具来监控你的网络和网络的安全性，你就能清楚地了解这两者。一个简单、统一的安全策略可以减少错误，因为它增加了人类的理解和自动化的可靠性。

逻辑分段子网
Azure虚拟网络类似于本地网络上的局域网。Azure虚拟网络背后的想法是，您可以基于单个私有IP地址空间创建一个网络，在该网络上放置所有Azure虚拟机。可用的私有IP地址空间在A类（10.0.0.0/8）、B类（172.16.0.0/12）和C类（192.168.0.0/16）范围内。

逻辑分段子网的最佳实践包括：

最佳实践：不要分配范围很宽的允许规则（例如，允许0.0.0.0到255.255.255.255）。
细节：确保故障排除程序阻止或禁止设置这些类型的规则。这些允许规则导致错误的安全感，经常被红队发现和利用。

最佳实践：将较大的地址空间分割成子网。
详细信息：使用基于CIDR的子网划分原则创建子网。

最佳实践：在子网之间创建网络访问控制。子网之间的路由是自动进行的，您不需要手动配置路由表。默认情况下，在Azure虚拟网络上创建的子网之间没有网络访问控制。
详细信息：使用网络安全组来防止未经请求的流量进入Azure子网。网络安全组（NSG）是简单的、有状态的数据包检测设备。NSG使用5元组方法（源IP、源端口、目标IP、目标端口和第4层协议）为网络流量创建允许/拒绝规则。您可以允许或拒绝往返于单个IP地址、往返于多个IP地址或往返于整个子网的流量。

当您在子网之间使用网络安全组进行网络访问控制时，您可以将属于同一安全区域或角色的资源放入其自己的子网中。

最佳实践：避免小型虚拟网络和子网，以确保简单性和灵活性。细节：大多数组织增加的资源比最初计划的多，重新分配地址是劳动密集型的。使用小子网会增加有限的安全价值，而将网络安全组映射到每个子网会增加开销。广泛定义子网，以确保您有增长的灵活性。

最佳实践：通过定义应用程序安全组简化网络安全组规则管理。
详细信息：为您认为将来可能会更改或在许多网络安全组中使用的IP地址列表定义一个应用程序安全组。请确保清楚地命名应用程序安全组，以便其他人能够理解其内容和目的。

采用零信任方法
基于周界的网络在假设网络内的所有系统都是可信的情况下运行。但如今的员工可以从各种设备和应用程序的任何地方访问组织的资源，这使得周边安全控制变得无关紧要。仅关注谁可以访问资源的访问控制策略是不够的。为了掌握安全性和生产力之间的平衡，安全管理员还需要考虑如何访问资源。

网络需要从传统防御发展而来，因为网络可能容易受到攻击：攻击者可以在可信边界内破坏单个端点，然后在整个网络中快速扩展立足点。零信任网络消除了基于网络位置的信任概念。相反，零信任架构使用设备和用户信任声明来限制对组织数据和资源的访问。对于新举措，采用零信任方法，在访问时验证信任。

最佳实践包括：

最佳实践：根据设备、身份、保证、网络位置等对资源进行有条件访问。
详细信息：Microsoft Entra条件访问允许您通过根据所需条件实施自动访问控制决策来应用正确的访问控制。有关更多信息，请参阅使用条件访问管理对Azure管理的访问。

最佳实践：仅在工作流批准后启用端口访问。
详细信息：您可以在Microsoft Defender for Cloud中使用实时VM访问来锁定Azure VM的入站流量，减少遭受攻击的风险，同时在需要时提供连接到VM的轻松访问。

最佳实践：授予临时权限以执行特权任务，这可以防止恶意或未经授权的用户在权限过期后获得访问权限。仅当用户需要时才授予访问权限。
详细信息：在Microsoft Entra特权身份管理或第三方解决方案中使用即时访问，以授予执行特权任务的权限。

零信任是网络安全的下一个发展方向。网络攻击的现状促使组织采取“假设违规”的心态，但这种方法不应该受到限制。零信任网络保护企业数据和资源，同时确保组织能够通过使用技术来建立一个现代化的工作场所，使员工能够随时随地以任何方式高效工作。

控制路由行为
当您将虚拟机放在Azure虚拟网络上时，VM可以连接到同一虚拟网络上的任何其他VM，即使其他VM位于不同的子网上。这是可能的，因为默认启用的系统路由集合允许这种类型的通信。这些默认路由允许同一虚拟网络上的VM发起彼此之间以及与互联网的连接（仅用于到互联网的出站通信）。

尽管默认系统路由在许多部署场景中都很有用，但有时您希望为部署自定义路由配置。您可以配置下一跳地址以到达特定目的地。

我们建议您在为虚拟网络部署安全设备时配置用户定义的路由。我们将在稍后题为“仅将关键Azure服务资源保护到虚拟网络”的部分中讨论此建议。

笔记

用户定义的路由不是必需的，默认的系统路由通常可以工作。

使用虚拟网络设备
网络安全组和用户定义的路由可以在OSI模型的网络和传输层提供一定程度的网络安全。但在某些情况下，您希望或需要在堆栈的高层启用安全性。在这种情况下，我们建议您部署Azure合作伙伴提供的虚拟网络安全设备。

Azure网络安全设备可以提供比网络级控制更好的安全性。虚拟网络安全设备的网络安全功能包括：

防火墙
入侵检测/入侵防御
漏洞管理
应用程序控制
基于网络的异常检测
网页过滤
防病毒
僵尸网络防护
要查找可用的Azure虚拟网络安全设备，请转到Azure Marketplace并搜索“安全”和“网络安全”

为安全区域部署外围网络
外围网络（也称为DMZ）是一个物理或逻辑网段，在您的资产和互联网之间提供额外的安全层。外围网络边缘的专用网络访问控制设备只允许所需的流量进入您的虚拟网络。

外围网络非常有用，因为您可以将网络访问控制管理、监控、日志记录和报告集中在Azure虚拟网络边缘的设备上。外围网络是您通常启用分布式拒绝服务（DDoS）保护、入侵检测/入侵防御系统（IDS/IPS）、防火墙规则和策略、网络过滤、网络反恶意软件等的地方。网络安全设备位于互联网和Azure虚拟网络之间，在两个网络上都有一个接口。

虽然这是外围网络的基本设计，但也有许多不同的设计，如背靠背、三宿主和多宿主。

基于前面提到的零信任概念，我们建议您考虑对所有高安全性部署使用外围网络，以提高Azure资源的网络安全级别和访问控制。您可以使用Azure或第三方解决方案在您的资产和互联网之间提供额外的安全层：

Azure本机控件。Azure防火墙和Azure Web应用程序防火墙提供了基本的安全优势。优点是完全有状态的防火墙即服务、内置的高可用性、不受限制的云可扩展性、FQDN过滤、对OWASP核心规则集的支持以及简单的设置和配置。
第三方产品。在Azure Marketplace中搜索下一代防火墙（NGFW）和其他第三方产品，这些产品提供熟悉的安全工具和增强的网络安全级别。配置可能更复杂，但第三方产品可能允许您使用现有的功能和技能。
通过专用广域网链接避免接触互联网
许多组织选择了混合IT路线。通过混合IT，该公司的一些信息资产位于Azure中，而其他资产则保留在本地。在许多情况下，服务的某些组件在Azure中运行，而其他组件则保留在本地。

在混合IT场景中，通常存在某种类型的跨场所连接。跨场所连接允许公司将其本地网络连接到Azure虚拟网络。有两种跨场所连接解决方案可供选择：

站点到站点VPN。这是一种值得信赖、可靠和成熟的技术，但连接是通过互联网进行的。带宽被限制在最大约1.25Gbps。在某些情况下，站点到站点VPN是一个理想的选择。
Azure ExpressRoute。我们建议您使用ExpressRoute进行跨场所连接。ExpressRoute允许您通过连接提供商提供的专用连接将本地网络扩展到Microsoft云中。使用ExpressRoute，您可以建立与Microsoft云服务（如Azure、Microsoft 365和Dynamics 365）的连接。ExpressRoute是您的本地位置或Microsoft Exchange托管提供商之间的专用WAN链路。由于这是一个电信连接，您的数据不会通过互联网传输，因此不会面临互联网通信的潜在风险。
ExpressRoute连接的位置会影响防火墙容量、可扩展性、可靠性和网络流量可见性。您需要确定在现有（本地）网络中终止ExpressRoute的位置。你可以：

在防火墙外终止（外围网络范式）。如果您需要了解流量，如果您需要继续隔离数据中心的现有做法，或者如果您只将外部网资源放在Azure上，请使用此建议。
在防火墙内终止（网络扩展范式）。这是默认建议。在所有其他情况下，我们建议将Azure视为另一个数据中心。
优化正常运行时间和性能
如果服务关闭，则无法访问信息。如果性能太差，数据无法使用，则可以认为数据无法访问。从安全的角度来看，您需要尽一切努力确保您的服务具有最佳的正常运行时间和性能。

提高可用性和性能的一种流行而有效的方法是负载平衡。负载平衡是一种在作为服务一部分的服务器之间分配网络流量的方法。例如，如果您的服务中包含前端web服务器，则可以使用负载平衡在多个前端web服务器之间分配流量。

这种流量分布提高了可用性，因为如果其中一个web服务器不可用，负载均衡器会停止向该服务器发送流量，并将其重定向到仍在线的服务器。负载平衡还有助于提高性能，因为服务请求的处理器、网络和内存开销分布在所有负载平衡的服务器上。

我们建议您尽可能采用负载平衡，并根据您的服务情况进行调整。以下是Azure虚拟网络级别和全局级别的场景，以及每种场景的负载平衡选项。

场景：您有一个应用程序：

需要来自同一用户/客户端会话的请求才能到达同一后端虚拟机。例如购物车应用程序和网络邮件服务器。
只接受安全连接，因此与服务器的未加密通信是不可接受的。
需要将同一长时间运行的TCP连接上的多个HTTP请求路由或负载平衡到不同的后端服务器。
负载均衡选项：使用Azure应用程序网关，一个HTTP web流量负载均衡器。应用网关支持端到端TLS加密和网关处的TLS终止。然后，Web服务器可以免除加密和解密开销，流量也可以不加密地流向后端服务器。

场景：您需要在位于Azure虚拟网络中的服务器之间对来自互联网的传入连接进行负载平衡。场景是：

具有接受来自互联网的传入请求的无状态应用程序。
不需要粘性会话或TLS卸载。粘滞会话是一种与应用程序负载平衡一起使用的方法，用于实现服务器相关性。
负载平衡选项：使用Azure门户创建外部负载平衡器，将传入请求分散到多个VM中，以提供更高级别的可用性。

场景：您需要对来自不在互联网上的虚拟机的连接进行负载平衡。在大多数情况下，接受负载平衡的连接是由Azure虚拟网络上的设备发起的，如SQL Server实例或内部web服务器。
负载平衡选项：使用Azure门户创建内部负载平衡器，将传入请求分散到多个VM中，以提供更高级别的可用性。

场景：您需要全局负载平衡，因为您：

拥有一个广泛分布在多个地区的云解决方案，并要求尽可能高的正常运行时间（可用性）。
需要尽可能高的正常运行时间，以确保即使整个数据中心不可用，您的服务也可用。
负载平衡选项：使用Azure流量管理器。Traffic Manager可以根据用户的位置对服务的连接进行负载平衡。

例如，如果用户从欧盟向您的服务发出请求，则连接将被定向到位于欧盟数据中心的服务。Traffic Manager全局负载平衡的这一部分有助于提高性能，因为连接到最近的数据中心比连接到很远的数据中心更快。

禁用对虚拟机的RDP/SSH访问
可以通过使用远程桌面协议（RDP）和安全Shell（SSH）协议访问Azure虚拟机。这些协议支持来自远程位置的管理VM，是数据中心计算的标准。

在互联网上使用这些协议的潜在安全问题是，攻击者可以使用暴力技术来访问Azure虚拟机。攻击者获得访问权限后，可以将您的VM用作攻击虚拟网络上其他机器的启动点，甚至攻击Azure以外的网络设备。

我们建议您禁用从internet对Azure虚拟机的直接RDP和SSH访问。禁用从互联网直接访问RDP和SSH后，您可以使用其他选项访问这些VM进行远程管理。

场景：允许单个用户通过互联网连接到Azure虚拟网络。
选项：点对点VPN是远程访问VPN客户端/服务器连接的另一个术语。建立点对点连接后，用户可以使用RDP或SSH连接到用户通过点对点VPN连接到的Azure虚拟网络上的任何VM。这假设用户有权访问这些虚拟机。

点对点VPN比直接RDP或SSH连接更安全，因为用户在连接到VM之前必须进行两次身份验证。首先，用户需要进行身份验证（并获得授权）才能建立点对点VPN连接。其次，用户需要进行身份验证（并获得授权）才能建立RDP或SSH会话。

场景：允许本地网络上的用户连接到Azure虚拟网络上的VM。
选项：站点到站点VPN通过互联网将整个网络连接到另一个网络。您可以使用站点到站点VPN将本地网络连接到Azure虚拟网络。本地网络上的用户通过站点到站点的VPN连接使用RDP或SSH协议进行连接。您不必允许通过互联网直接访问RDP或SSH。

场景：使用专用广域网链接提供类似于站点到站点VPN的功能。
选项：使用ExpressRoute。它提供类似于站点到站点VPN的功能。主要区别在于：

专用广域网链路不会穿越互联网。
专用广域网链路通常更稳定，性能更好。
将您的关键Azure服务资源仅保护到您的虚拟网络
使用Azure专用链接通过虚拟网络中的专用终结点访问Azure PaaS服务（例如，Azure存储和SQL数据库）。专用终结点允许您将关键的Azure服务资源仅保护到虚拟网络。从虚拟网络到Azure服务的流量始终保持在Microsoft Azure骨干网络上。使用Azure PaaS服务不再需要将虚拟网络暴露在公共互联网上。

Azure专用链接提供以下好处：

改进了Azure服务资源的安全性：使用Azure专用链接，可以使用专用端点将Azure服务资源安全地保护到您的虚拟网络。通过完全删除对资源的公共互联网访问，并仅允许来自虚拟网络中私有端点的流量，将服务资源安全地保护到虚拟网络中的私有端点，可以提高安全性。
私有访问Azure平台上的Azure服务资源：使用私有端点将您的虚拟网络连接到Azure中的服务。不需要公共IP地址。Private Link平台将处理Azure骨干网络上消费者和服务之间的连接。
从本地和对等网络访问：使用私有端点通过ExpressRoute私有对等、VPN隧道和对等虚拟网络从本地访问在Azure中运行的服务。无需配置ExpressRoute Microsoft对等互联或通过互联网访问该服务。Private Link提供了一种将工作负载迁移到Azure的安全方法。
防止数据泄露：私有端点被映射到PaaS资源的实例，而不是整个服务。消费者只能连接到特定资源。阻止访问服务中的任何其他资源。此机制可防止数据泄露风险。
全球覆盖：私下连接到其他地区运行的服务。消费者的虚拟网络可以在区域A中，并且可以连接到区域B中的服务。
设置和管理简单：您不再需要在虚拟网络中保留公共IP地址来通过IP防火墙保护Azure资源。设置私有端点不需要NAT或网关设备。私有端点是通过一个简单的工作流配置的。在服务端，您还可以轻松管理Azure服务资源上的连接请求。Azure Private Link也适用于属于不同Microsoft Entra租户的消费者和服务。
要了解有关私有终结点以及私有终结点可用的Azure服务和区域的更多信息，请参阅Azure私有链接。

下一步
请参阅Azure安全最佳实践和模式，了解在使用Azure设计、部署和管理云解决方案时可以使用的更多安全最佳实践。