Azure 安全網(wǎng)絡(luò)篇 DMZ 區(qū)域設(shè)計(jì)實(shí)踐,azure云入門-ESG跨境

Azure 安全網(wǎng)絡(luò)篇  DMZ 區(qū)域設(shè)計(jì)實(shí)踐,azure云入門

Azure 安全網(wǎng)絡(luò)篇  DMZ 區(qū)域設(shè)計(jì)實(shí)踐

應(yīng)廣大看官要求，今天為大家介紹如何在Azure上搭建DMZ區(qū)域。為什么講這個(gè)話題，安全無小事，很多用戶在上云的時(shí)候并沒有做好安全的前期規(guī)劃導(dǎo)致后期埋下了安全隱患。為什么專挑DMZ網(wǎng)絡(luò)安全設(shè)計(jì)講，要想富先修路，在云端跟IDC相同，要想富先修路，網(wǎng)絡(luò)先行，同時(shí)DMZ區(qū)域是整個(gè)網(wǎng)絡(luò)安全設(shè)計(jì)中的重點(diǎn)，流量屬性最復(fù)雜，安全重要性最高。其次關(guān)于云原生，很多用戶上云后希望更多采用云平臺(tái)第一方的托管服務(wù)，過去一年多的時(shí)間Azure在安全產(chǎn)品上有很多新產(chǎn)品發(fā)布，也希望通過這篇文章，幫助用戶了解Azure上有哪些牌，并將這副牌打好。在此次DMZ區(qū)域設(shè)計(jì)實(shí)踐中，我們會(huì)涉及到Azure云上幾個(gè)重要的安全產(chǎn)品，Azure VNET（虛擬網(wǎng)絡(luò)服務(wù)），Azure DDoS（拒絕服務(wù)攻擊防御服務(wù)），Azure WAF（WEB安全防火墻服務(wù)），Azure Firewall（防火墻服務(wù)），Azure NSG（網(wǎng)絡(luò)安全組服務(wù)），Azure Bastion（跳板機(jī)服務(wù)）。

“DMZ是英文“demilitarized zone”的縮寫，中文名稱為“隔離區(qū)”，也稱“非軍事化區(qū)”。它是為了解決安裝防火墻后外部網(wǎng)絡(luò)的訪問用戶不能訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器的問題，而設(shè)立的一個(gè)非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)。該緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域內(nèi)。在這個(gè)小網(wǎng)絡(luò)區(qū)域內(nèi)可以放置一些必須公開的服務(wù)器設(shè)施，如企業(yè)Web服務(wù)器、FTP服務(wù)器和論壇等。另一方面，通過這樣一個(gè)DMZ區(qū)域，更加有效地保護(hù)了內(nèi)部網(wǎng)絡(luò)。因?yàn)檫@種網(wǎng)絡(luò)部署，比起一般的防火墻方案，對(duì)來自外網(wǎng)的攻擊者來說又多了一道關(guān)卡?！闭园俣劝倏?。

簡單來講DMZ的概念就是分而治之，如果我們把運(yùn)行在云端的應(yīng)用服務(wù)按照服務(wù)對(duì)象來分類的話，一類是暴露給互聯(lián)網(wǎng)用戶使用的外網(wǎng)應(yīng)用，一類是暴露給內(nèi)網(wǎng)用戶使用的內(nèi)網(wǎng)應(yīng)用。如果我們按照相同的安全策略進(jìn)行管理，外網(wǎng)應(yīng)用處于眾矢之的，一旦被攻破其會(huì)成為滲透內(nèi)網(wǎng)的跳板。其實(shí)整個(gè)網(wǎng)絡(luò)安全中分而治之的概念貫穿在方方面面，ZeroTrust Sercurity（零信任安全）中做了任何人，應(yīng)用都可能成為安全潛在危險(xiǎn)的假設(shè)，所以在進(jìn)行網(wǎng)絡(luò)安全涉及的時(shí)候我們應(yīng)該以按需分配的原則，為用戶，應(yīng)用系統(tǒng)進(jìn)行分類，以最小權(quán)限分配原則將安全策略分配到用戶，應(yīng)用系統(tǒng)上。在承載系統(tǒng)的Azure VNet中外網(wǎng)應(yīng)用和內(nèi)網(wǎng)應(yīng)用首先通過子網(wǎng)劃分的方式將VNet拆分為多個(gè)Segment（分段），通過分段便于我們對(duì)分段內(nèi)的系統(tǒng)使能不同的安全策略，在這里我們定義外網(wǎng)應(yīng)用分段為DMZSubnet，內(nèi)網(wǎng)應(yīng)用分段為OthersSubnet。

當(dāng)擁有分段后，按照外網(wǎng)應(yīng)用分段（DMZSubnet）和內(nèi)網(wǎng)應(yīng)用分段（OthersSubnet）來定義不同的訪問安全策略。在傳統(tǒng)數(shù)據(jù)中心中DMZ區(qū)域通常通過防火墻來實(shí)現(xiàn)，通過定義不同的區(qū)域（Zone），來實(shí)現(xiàn)訪問的隔離。在Azure VNet中沒有區(qū)域的概念，我們可以不同的分段即Subnet映射為傳統(tǒng)的區(qū)域即（Zone）的概念。在DMZ實(shí)踐中，通過定義訪問策略來實(shí)現(xiàn)安全隔離，一般的策略邏輯為：允許互聯(lián)網(wǎng)訪問DMZ區(qū)域，允許內(nèi)網(wǎng)區(qū)域訪問DMZ區(qū)域，不允許DMZ區(qū)域訪問內(nèi)網(wǎng)區(qū)域。上述邏輯的實(shí)現(xiàn)可以通過Azure NSG（網(wǎng)絡(luò)安全組服務(wù)）來實(shí)現(xiàn)，在NSG中我們可以定義訪問策略規(guī)則，邏輯與傳統(tǒng)防火墻ACL一致。Azure NSG規(guī)則可以使能在Subnet上或虛擬主機(jī)的Nic上，從使用實(shí)踐上對(duì)于整個(gè)分段即Subnet內(nèi)所有虛擬主機(jī)一致的策略建議配置在Subnet上，對(duì)于個(gè)別主機(jī)的特殊策略配置在Nic上，這樣簡單且易于管理。

在上述的NSG訪問策略規(guī)則規(guī)劃中，我們還有很多留白的區(qū)域，如DMZDMZ即DMZ區(qū)域內(nèi)部的互訪，OthersOthers即內(nèi)網(wǎng)區(qū)域內(nèi)部的互訪，以及DMZ，Others到Internet的訪問。我們先來看下內(nèi)網(wǎng)場景，多組應(yīng)用系統(tǒng)雖然同時(shí)歸屬在相同分段但它們之間未必存在依賴（即不存在互訪需求），按照零信任網(wǎng)絡(luò)模型最小訪問權(quán)限原則，在同分段內(nèi)不同應(yīng)用系統(tǒng)之間也需要進(jìn)行訪問控制策略隔離。如法炮制，分段！前面我們通過Subnet實(shí)現(xiàn)了分段，在Subnet內(nèi)的系統(tǒng)我們繼續(xù)分段，這里我們稱之為微分段（MicroSegment）。在傳統(tǒng)網(wǎng)絡(luò)實(shí)踐中通常是對(duì)同Subnet內(nèi)的主機(jī)設(shè)置基于IP地址的明細(xì)訪問規(guī)則，這種做法可以達(dá)到安全目標(biāo)但不易于維護(hù)，隨著主機(jī)數(shù)量的增多，規(guī)則數(shù)量將成比例激增，后期不宜與維護(hù)管理。Azure中的Application Security Group功能為微分段的實(shí)現(xiàn)帶來了便利，用戶可以將虛擬主機(jī)按照微分段創(chuàng)建相應(yīng)的Application Security Group，然后在NSG策略中直接通過Application Security Group來定義訪問策略，訪問安全策略的定義剝離了IP的依賴，使后期維護(hù)變得簡單快捷。

通過微分段實(shí)現(xiàn)分段內(nèi)部的安全訪問控制，可以進(jìn)一步加固網(wǎng)絡(luò)安全。下面我們來看一下DMZ和Others分段訪問Internet的安全設(shè)計(jì)。在傳統(tǒng)數(shù)據(jù)中心內(nèi)這部分我們稱之為互聯(lián)網(wǎng)邊緣（Internet Edge），通過防火墻來實(shí)現(xiàn)DMZ和Others向互聯(lián)網(wǎng)的訪問，隨著安全產(chǎn)品的不斷發(fā)展演進(jìn)，從三四層防御到應(yīng)用感知的七層防御，從靜態(tài)策略到動(dòng)態(tài)策略，不斷的來加固和提升企業(yè)網(wǎng)絡(luò)的安全等級(jí)。在Azure中可以通過Azure Firewall（防火墻服務(wù)）來實(shí)現(xiàn)，Azure Firewall可以提供訪問日志審計(jì)，F(xiàn)QDN訪問控制策略，基于IP信譽(yù)的安全策略等功能，實(shí)現(xiàn)VNet內(nèi)向Internet訪問的安全防護(hù)。

前面我們的設(shè)計(jì)中所有的安全訪問策略主要針對(duì)的都是對(duì)于與業(yè)務(wù)流量的策略，當(dāng)今很多安全事件都是從控制層面發(fā)起了滲透，比如主機(jī)被破解SSH/RDP登錄等。所以從整個(gè)安全設(shè)計(jì)上，外網(wǎng)區(qū)域，內(nèi)網(wǎng)區(qū)域的隔離其實(shí)體現(xiàn)最小范圍的將應(yīng)用暴露在公網(wǎng)，那么不具備公網(wǎng)訪問的主機(jī)如何進(jìn)行管理？市場上有很多成熟的跳板機(jī)解決方案解決的就是遠(yuǎn)程登陸管理的問題，在Azure中Bastion服務(wù)可以提供跳板機(jī)服務(wù)，可以幫助管理員用戶通過指定的入口對(duì)VNet內(nèi)的主機(jī)進(jìn)行管理。Bastion服務(wù)作為托管的跳板機(jī)服務(wù)，將管理員用戶的訪問聚合到統(tǒng)一入口，對(duì)于VNet內(nèi)部的主機(jī)只需要放行對(duì)于Bastion服務(wù)地址的登錄訪問即可。

除此之外Web七層安全防御以及DDoS防御也是受到普遍關(guān)注的安全實(shí)踐，Azure WAF（Web安全防火墻服務(wù)）和Azure DDoS服務(wù)（拒絕服務(wù)攻擊防御服務(wù)）可以幫助用戶實(shí)現(xiàn)防御。Azure WAF支持在Azure FrontDoor服務(wù)以及Azure Application Gateway服務(wù)上開啟，對(duì)于面向互聯(lián)網(wǎng)2C應(yīng)用，WAF on FrontDoor可以借助FrontDoor服務(wù)的全球接入點(diǎn)實(shí)現(xiàn)全球分布式近緣防御。Azure DDoS服務(wù)借助微軟云全球豐富的網(wǎng)絡(luò)帶寬資源，結(jié)合基于機(jī)器學(xué)習(xí)的自適應(yīng)流量策略模型為用戶提供全球性的DDoS保護(hù)服務(wù)。

通過上述的介紹，DMZ的設(shè)計(jì)就完成了，我們借助Azure第一方的網(wǎng)絡(luò)安全組件以零信任網(wǎng)絡(luò)模型為基準(zhǔn)構(gòu)建了安全可靠的網(wǎng)絡(luò)環(huán)境。希望對(duì)大家有所幫助，安全無小事，后續(xù)有機(jī)會(huì)再為大家介紹身份安全，數(shù)據(jù)安全等話題。

架構(gòu)圖參考圖標(biāo)：

欲了解更多微軟云安全，請?jiān)L問：

https://www.microsoft.com/zhcn/security/business/cloudsecurity

特別聲明：以上文章內(nèi)容僅代表作者本人觀點(diǎn)，不代表ESG跨境電商觀點(diǎn)或立場。如有關(guān)于作品內(nèi)容、版權(quán)或其它問題請于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。