應廣大看官要求,今天為大家介紹如何在 azure 上搭建 dmz 區域。為什麼講這個話題,安全無小事,很多使用者在上雲的時候並沒有做好安全的前期規劃導致後期埋下了安全隱患。為什麼專挑 dmz 網路安全設計講,要想富先修路,在雲端跟 idc 相同,要想富先修路,網路先行,同時 dmz 區域是整個網路安全設計中的重點,流量屬性最複雜,安全重要性最高。其次關於雲原生,很多使用者上雲後希望更多採用雲平台第一方的託管服務,過去一年多的時間 azure 在安全產品上有很多新產品發布,也希望通過這篇文章,幫助使用者了解 azure 上有哪些牌,並將這副牌打好。在此次 dmz 區域設計實踐中,我們會涉及到 azure 雲上幾個重要的安全產品,azure vnet(虛擬網路服務),azure ddos(拒絕服務攻擊防禦服務),azure waf (web 安全防火牆服務),azure firewall (防火牆服務),azure nsg(網路安全組服務),azure bastion(跳板機服務)。
簡單來講 dmz 的概念就是分而治之,如果我們把執行在雲端的應用服務按照服務物件來分類的話,一類是暴露給網際網路使用者使用的外網應用,一類是暴露給內網使用者使用的內網應用。如果我們按照相同的安全策略進行管理,外網應用處於眾矢之的,一旦被攻破其會成為滲透內網的跳板。其實整個網路安全中分而治之的概念貫穿在方方面面,zero-trust sercurity(零信任安全)中做了任何人,應用都可能成為安全潛在危險的假設,所以在進行網路安全涉及的時候我們應該以按需分配的原則,為使用者,應用系統進行分類,以最小許可權分配原則將安全策略分配到使用者,應用系統上。在承載系統的 azure vnet 中外網應用和內網應用首先通過子網劃分的方式將 vnet 拆分為多個 segment(分段),通過分段便於我們對分段內的系統使能不同的安全策略,在這裡我們定義外網應用分段為 dmz-subnet,內網應用分段為 others-subnet。
當擁有分段後,按照外網應用分段(dmz-subnet)和內網應用分段(others-subnet)來定義不同的訪問安全策略。在傳統資料中心中 dmz 區域通常通過防火牆來實現,通過定義不同的區域(zone),來實現訪問的隔離。在 azure vnet 中沒有區域的概念,我們可以不同的分段即 subnet 對映為傳統的區域即(zone)的概念。在 dmz 實踐中,通過定義訪問策略來實現安全隔離,一般的策略邏輯為:允許網際網路訪問 dmz 區域,允許內網區域訪問 dmz 區域,不允許 dmz 區域訪問內網區域。上述邏輯的實現可以通過 azure nsg(網路安全組服務)來實現,在 nsg 中我們可以定義訪問策略規則,邏輯與傳統防火牆 acl 一致。azure nsg 規則可以使能在 subnet 上或虛擬主機的 nic 上,從使用實踐上對於整個分段即 subnet 內所有虛擬主機一致的策略建議配置在 subnet 上,對於個別主機的特殊策略配置在 nic 上,這樣簡單且易於管理。
通過微分段實現分段內部的安全訪問控制,可以進一步加固網路安全。下面我們來看一下 dmz 和 others 分段訪問 internet 的安全設計。在傳統資料中心內這部分我們稱之為網際網路邊緣(internet edge),通過防火牆來實現 dmz 和 others 向網際網路的訪問,隨著安全產品的不斷發展演進,從三四層防禦到應用感知的七層防禦,從靜態策略到動態策略,不斷的來加固和提公升企業網路的安全等級。在azure 中可以通過 azure firewall (防火牆服務)來實現,azure firewall 可以提供訪問日誌審計,fqdn 訪問控制策略,基於 ip 信譽的安全策略等功能,實現 vnet 內向 internet 訪問的安全防護。
前面我們的設計中所有的安全訪問策略主要針對的都是對於與業務流量的策略,當今很多安全事件都是從控制層面發起了滲透,比如主機被破解 ssh/rdp 登入等。所以從整個安全設計上,外網區域,內網區域的隔離其實體現最小範圍的將應用暴露在公網,那麼不具備公網訪問的主機如何進行管理?市場上有很多成熟的跳板機解決方案解決的就是遠端登陸管理的問題,在 azure 中 bastion 服務可以提供跳板機服務,可以幫助管理員使用者通過指定的入口對 vnet 內的主機進行管理。bastion 服務作為託管的跳板機服務,將管理員使用者的訪問聚合到統一入口,對於 vnet 內部的主機只需要放行對於 bastion 服務位址的登入訪問即可。
前面的設計中,我們通過分段和微分段的方式實現了對虛擬主機訪問的分而治之。對於 azure 中的 paas 服務,實現方式略有不同,預設情況下 azure paas 服務暴露的是乙個公網訪問的 endpoint,使用者可以在 paas 服務內建的 firewall 防火牆訪問策略內設定允許訪問的客戶端 ip 白名單,但由於暴露在公網仍然存在被別人掃瞄的可能性。所以建議使用者採用 azure private link,將 azure paas 服務的訪問 endpoint 鎖定到 vnet 內部只暴露內網訪問節點,從而實現與虛擬主機一樣的內網隔離設計。
通過上述的介紹,dmz 的設計就完成了,我們借助 azure 第一方的網路安全元件以零信任網路模型為基準構建了安全可靠的網路環境。希望對大家有所幫助,安全無小事,後續有機會再為大家介紹身份安全,資料安全等話題。
安全網路通訊SSL
ssl secure socket layer 是netscape公司開發的,用資料加密技術來保障internet上資料傳輸的安全,保證資料在傳輸過程中不會被擷取和竊聽。ssl協議位於tcp ip協議與各種應用層協議之間,為資料通訊提供安全支援。ssl協議分為兩層 1 ssl記錄協議,建立在可靠的傳...
資訊保安 網路層安全問題
abstract 本篇文章討論網路層三個協議的安全問題。關於arp協議,由於計算機會對收到的每個arp應答報文作出響應,並更新自己的arp緩衝表,攻擊者利用這個漏洞可以發起中間人攻擊,或者用位址衝突使得目標主機不能聯網。關於ip協議,由於ip的源位址不可靠,攻擊者可以利用這個漏洞發起盲目飛行攻擊以及...
session工作原理是什麼?網路安全網路協議學習
網路安全是近幾年來較為火熱的職業崗位,深受個人和企業的青睞。廣闊的發展前景吸引著眾多想要學習網路安全技術的人們。學習網路安全是現下眾多人轉行it的熱門選擇之一。知識點網路協議相關知識中,session是必須要了解的。那麼session工作原理是什麼?1.session是儲存在伺服器端,理論上是沒有是...