Azure 安全網絡篇 DMZ 區域設計實踐,azure 數據安全

Azure安全網絡章節DMZ區域設計實踐

應讀者要求，今天我將向大家介紹如何在Azure上建立一個DMZ區域。為什么說這個話題？安全不是小事。很多用戶上云前期沒有做好安全規劃，導致后期存在隱患。你為什么選擇DMZ網絡安全設計？如果你想先富起來，先修路，這和IDC在云端是一樣的。想致富先修路，網絡先行。同時，DMZ區域是整個網絡安全設計的重點，流量屬性最復雜，安全重要性最高。其次，關于云原生，很多用戶上了云之后，希望更多的使用云平臺第一方的托管服務。在過去的一年多時間里，Azure在安全產品上發布了很多新產品，我也希望這篇文章能幫助用戶知道Azure上有哪些牌，打好這副牌。在本次DMZ區域設計實踐中，我們將涉及Azure云上的幾個重要安全產品，Azure VNET(虛擬網絡服務)、Azure DDoS(拒絕服務攻擊防御服務)、Azure WAF(WEB安全防火墻服務)、Azure防火墻(防火墻服務)、Azure NSG(網絡安全組服務)和Azure Bastion(跳板機服務)。

DMZ是英文demilitarized zone的縮寫，中文名稱為Isolated Zone，又稱非軍事區。它是介于非安全系統和安全系統之間的緩沖區，解決安裝防火墻后外網用戶無法訪問內網服務器的問題。這個緩沖區位于企業內部網絡和外部網絡之間的小網絡區域。在這個小小的網絡區域里，可以放置一些必須公開的服務器設施，比如企業Web服務器、FTP服務器、論壇等。另一方面，通過這樣的DMZ區域，內部網絡得到更有效的保護。由于這種網絡部署，與一般的防火墻方案相比，對于來自外網的攻擊者來說，又多了一層。“摘自百度百科。

簡單來說，DMZ的概念就是分而治之。如果按照服務對象對運行在云端的應用服務進行分類，有面向互聯網用戶公開的外網應用，也有面向內網用戶公開的內網應用。如果按照同樣的安全策略來管理，外網的應用就會成為眾矢之的，一旦被攻破，就會成為滲透內網的跳板。事實上，分而治之的理念貫穿于整個網絡安全的各個方面。零信任安全(ZeroTrust sersecurity)假設任何人的應用都可能成為潛在的安全隱患。因此，在涉及網絡安全時，要按照按需分配的原則對用戶和應用系統進行分類，按照最小權限分配的原則對用戶和應用系統分配安全策略。在Azure VNet中，外網應用和承載系統的內網應用先通過子網劃分將VNet拆分成多個網段，方便我們對網段內的系統啟用不同的安全策略。這里，我們將外部網絡應用程序段定義為DMZSubnet，將內部網絡應用程序段定義為OthersSubnet。

有了網段后，根據外部網絡應用網段(DMZ子網)和內部網絡應用網段(其他子網)定義不同的訪問安全策略。在傳統的數據中心中，DMZ區域通常由防火墻實現，通過定義不同的區域來實現訪問隔離。Azure VNet中沒有Zone的概念。我們可以將不同的網段(即子網)映射到傳統的區域概念。在DMZ實踐中，安全隔離是通過定義訪問策略實現的。總的策略邏輯是:不允許互聯網訪問DMZ區域，不允許內網訪問DMZ區域，不允許內網訪問DMZ區域。以上邏輯可以通過Azure NSG(網絡安全組服務)來實現，在其中我們可以定義訪問策略規則，邏輯與傳統防火墻ACL一致。可以在虛擬主機的子網或Nic上啟用Azure NSG規則。在實踐中，建議在子網上為子網中的所有虛擬主機配置一致的策略，在網卡上為單個主機配置特殊的策略，這樣簡單且易于管理。

在上面的NSG接入策略規則規劃中，我們還有很多空白的地方，比如DMZDMZ，即DMZ內的互訪，OthersOthers，即intranet內的互訪，以及DMZ，Others對Internet的訪問。讓我們先來看看內部網場景。雖然幾組應用系統同時屬于同一個段，但是它們之間不一定存在依賴關系(即不需要相互訪問)。根據零信任網絡模型中的最小訪問權限原則，同一網段中的不同應用系統也需要通過訪問控制策略進行隔離。做同樣的事情，段！我們通過子網實現分割，并在子網內繼續對系統進行微分割，我們稱之為微分割。在傳統的網絡實踐中，通常為同一子網中的主機設置基于IP地址的詳細訪問規則。這種方法可以實現安全目標，但是不容易維護。隨著主機數量的增加，規則數量會成比例增加，不適合后期維護管理。Azure中的應用安全組功能為微分段的實現帶來了便利。用戶可以根據虛擬主機的微分段創建相應的應用安全組，然后通過NSG策略中的應用安全組直接定義訪問策略。接入安全策略的定義剝離了對IP的依賴，使得后期維護簡單快捷。

通過微分段，分段內的安全訪問控制可以進一步加強網絡安全。讓我們分章節來看看DMZ等訪問互聯網的安全設計。在傳統的數據中心中，這部分被稱為互聯網邊緣，通過防火墻實現DMZ等對互聯網的訪問。隨著安全產品的不斷發展和演進，從三四層防御到具有應用感知的七層防御，從靜態策略到動態策略，企業網絡的安全級別不斷加強和升級。在Azure中，可以通過Azure防火墻(防火墻服務)來實現。Azure防火墻可以提供訪問日志審計、FQDN訪問控制策略、基于IP信譽的安全策略等功能，實現VNet訪問互聯網的安全保護。

我們之前設計的所有安全訪問策略主要是針對業務流量相關的策略。現在很多安全事件都是從控制層面滲透進來的，比如主機被破解SSH/RDP登錄等等。所以從整個安全設計上來說，外網區域和內網區域的隔離，其實就是把應用暴露在最小范圍的公網，那么沒有公網接入的主機怎么管理呢？市場上有很多成熟的跳板解決方案來解決遠程登錄管理的問題。在Azure中，Bastion service可以提供跳板服務，跳板服務可以幫助管理員和用戶通過指定的門戶管理VNet中的主機。Bastion service作為一種受管理的跳板服務，聚合了管理員用戶對統一門戶的訪問。對于VNet內部的主機，只需要釋放對Bastion服務地址的登錄訪問。

此外，七層網絡安全防御和DDoS防御也是受到廣泛關注的安全實踐。Azure WAF(Web安全防火墻服務)和Azure DDoS服務(拒絕服務攻擊防御服務)可以幫助用戶實現防御。Azure WAF支持在Azure FrontDoor服務和Azure應用網關服務上開放。面向互聯網的2C應用，FrontDoor上的WAF可以通過FrontDoor服務的全局接入點實現全局分布式親和防御。Azure DDoS服務借助微軟云豐富的網絡帶寬資源和基于machine 學習的自適應流量策略模型，為用戶提供全球DDoS防護服務。

通過以上介紹，DMZ的設計已經完成，我們借助Azure的第一方網絡安全組件，構建了一個基于零信任網絡模型的安全可靠的網絡環境。希望對大家有幫助，安全無小事。以后有機會給大家介紹身份安全、數據安全等話題。

圖表參考圖標:

要了解有關微軟云安全的更多信息，請訪問:

https://www . Microsoft . com/zhcn/security/business/cloudsecurity

特別聲明：以上文章內容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關于作品內容、版權或其它問題請于作品發表后的30日內與ESG跨境電商聯系。