Azure 安全网络篇 DMZ 区域设计实践,azure 数据安全-ESG跨境

Azure 安全网络篇 DMZ 区域设计实践,azure 数据安全

Azure安全网络章节DMZ区域设计实践

应读者要求，今天我将向大家介绍如何在Azure上建立一个DMZ区域。为什么说这个话题？安全不是小事。很多用户上云前期没有做好安全规划，导致后期存在隐患。你为什么选择DMZ网络安全设计？如果你想先富起来，先修路，这和IDC在云端是一样的。想致富先修路，网络先行。同时，DMZ区域是整个网络安全设计的重点，流量属性最复杂，安全重要性最高。其次，关于云原生，很多用户上了云之后，希望更多的使用云平台第一方的托管服务。在过去的一年多时间里，Azure在安全产品上发布了很多新产品，我也希望这篇文章能帮助用户知道Azure上有哪些牌，打好这副牌。在本次DMZ区域设计实践中，我们将涉及Azure云上的几个重要安全产品，Azure VNET(虚拟网络服务)、Azure DDoS(拒绝服务攻击防御服务)、Azure WAF(WEB安全防火墙服务)、Azure防火墙(防火墙服务)、Azure NSG(网络安全组服务)和Azure Bastion(跳板机服务)。

DMZ是英文demilitarized zone的缩写，中文名称为Isolated Zone，又称非军事区。它是介于非安全系统和安全系统之间的缓冲区，解决安装防火墙后外网用户无法访问内网服务器的问题。这个缓冲区位于企业内部网络和外部网络之间的小网络区域。在这个小小的网络区域里，可以放置一些必须公开的服务器设施，比如企业Web服务器、FTP服务器、论坛等。另一方面，通过这样的DMZ区域，内部网络得到更有效的保护。由于这种网络部署，与一般的防火墙方案相比，对于来自外网的攻击者来说，又多了一层。“摘自百度百科。

简单来说，DMZ的概念就是分而治之。如果按照服务对象对运行在云端的应用服务进行分类，有面向互联网用户公开的外网应用，也有面向内网用户公开的内网应用。如果按照同样的安全策略来管理，外网的应用就会成为众矢之的，一旦被攻破，就会成为渗透内网的跳板。事实上，分而治之的理念贯穿于整个网络安全的各个方面。零信任安全(ZeroTrust sersecurity)假设任何人的应用都可能成为潜在的安全隐患。因此，在涉及网络安全时，要按照按需分配的原则对用户和应用系统进行分类，按照最小权限分配的原则对用户和应用系统分配安全策略。在Azure VNet中，外网应用和承载系统的内网应用先通过子网划分将VNet拆分成多个网段，方便我们对网段内的系统启用不同的安全策略。这里，我们将外部网络应用程序段定义为DMZSubnet，将内部网络应用程序段定义为OthersSubnet。

有了网段后，根据外部网络应用网段(DMZ子网)和内部网络应用网段(其他子网)定义不同的访问安全策略。在传统的数据中心中，DMZ区域通常由防火墙实现，通过定义不同的区域来实现访问隔离。Azure VNet中没有Zone的概念。我们可以将不同的网段(即子网)映射到传统的区域概念。在DMZ实践中，安全隔离是通过定义访问策略实现的。总的策略逻辑是:不允许互联网访问DMZ区域，不允许内网访问DMZ区域，不允许内网访问DMZ区域。以上逻辑可以通过Azure NSG(网络安全组服务)来实现，在其中我们可以定义访问策略规则，逻辑与传统防火墙ACL一致。可以在虚拟主机的子网或Nic上启用Azure NSG规则。在实践中，建议在子网上为子网中的所有虚拟主机配置一致的策略，在网卡上为单个主机配置特殊的策略，这样简单且易于管理。

在上面的NSG接入策略规则规划中，我们还有很多空白的地方，比如DMZDMZ，即DMZ内的互访，OthersOthers，即intranet内的互访，以及DMZ，Others对Internet的访问。让我们先来看看内部网场景。虽然几组应用系统同时属于同一个段，但是它们之间不一定存在依赖关系(即不需要相互访问)。根据零信任网络模型中的最小访问权限原则，同一网段中的不同应用系统也需要通过访问控制策略进行隔离。做同样的事情，段！我们通过子网实现分割，并在子网内继续对系统进行微分割，我们称之为微分割。在传统的网络实践中，通常为同一子网中的主机设置基于IP地址的详细访问规则。这种方法可以实现安全目标，但是不容易维护。随着主机数量的增加，规则数量会成比例增加，不适合后期维护管理。Azure中的应用安全组功能为微分段的实现带来了便利。用户可以根据虚拟主机的微分段创建相应的应用安全组，然后通过NSG策略中的应用安全组直接定义访问策略。接入安全策略的定义剥离了对IP的依赖，使得后期维护简单快捷。

通过微分段，分段内的安全访问控制可以进一步加强网络安全。让我们分章节来看看DMZ等访问互联网的安全设计。在传统的数据中心中，这部分被称为互联网边缘，通过防火墙实现DMZ等对互联网的访问。随着安全产品的不断发展和演进，从三四层防御到具有应用感知的七层防御，从静态策略到动态策略，企业网络的安全级别不断加强和升级。在Azure中，可以通过Azure防火墙(防火墙服务)来实现。Azure防火墙可以提供访问日志审计、FQDN访问控制策略、基于IP信誉的安全策略等功能，实现VNet访问互联网的安全保护。

我们之前设计的所有安全访问策略主要是针对业务流量相关的策略。现在很多安全事件都是从控制层面渗透进来的，比如主机被破解SSH/RDP登录等等。所以从整个安全设计上来说，外网区域和内网区域的隔离，其实就是把应用暴露在最小范围的公网，那么没有公网接入的主机怎么管理呢？市场上有很多成熟的跳板解决方案来解决远程登录管理的问题。在Azure中，Bastion service可以提供跳板服务，跳板服务可以帮助管理员和用户通过指定的门户管理VNet中的主机。Bastion service作为一种受管理的跳板服务，聚合了管理员用户对统一门户的访问。对于VNet内部的主机，只需要释放对Bastion服务地址的登录访问。

此外，七层网络安全防御和DDoS防御也是受到广泛关注的安全实践。Azure WAF(Web安全防火墙服务)和Azure DDoS服务(拒绝服务攻击防御服务)可以帮助用户实现防御。Azure WAF支持在Azure FrontDoor服务和Azure应用网关服务上开放。面向互联网的2C应用，FrontDoor上的WAF可以通过FrontDoor服务的全局接入点实现全局分布式亲和防御。Azure DDoS服务借助微软云丰富的网络带宽资源和基于machine 学习的自适应流量策略模型，为用户提供全球DDoS防护服务。

通过以上介绍，DMZ的设计已经完成，我们借助Azure的第一方网络安全组件，构建了一个基于零信任网络模型的安全可靠的网络环境。希望对大家有帮助，安全无小事。以后有机会给大家介绍身份安全、数据安全等话题。

图表参考图标:

要了解有关微软云安全的更多信息，请访问:

https://www . Microsoft . com/zhcn/security/business/cloudsecurity

特别声明：以上文章内容仅代表作者本人观点，不代表ESG跨境电商观点或立场。如有关于作品内容、版权或其它问题请于作品发表后的30日内与ESG跨境电商联系。