通过

使用 SASE、零信任和 AI 保护网络

传统的安全边界曾经与数据中心的物理边界相关联,而网络安全正在超越这些传统的边界。 如今,边界是动态的,可以扩展到任何地方的用户、设备和数据。 这种转变可推动采用基于风险的策略,这些策略隔离主机、强制实施加密、分段网络,并将控制更靠近应用程序和数据的位置。

安全访问服务边缘(SASE)通过完全重新定义外围来反映这种演变。 它将网络和安全性整合为一种云交付服务,该服务随用户和数据在各个环境中移动。 此方法简化了策略管理,并加强了保护。

将零信任策略添加到 SASE 框架可以进一步增强安全性,方法是确保默认情况下不信任任何用户或设备(无论位置如何)。 这一原则与 SASE 在边缘保护访问的目标无缝契合。

人工智能(AI)通过实时分析数据、检测威胁以及实现快速、自动化响应来放大此方法。 SASE、零信任和 AI 共同使组织能够保护无外围的世界,提高敏捷性、精度和复原能力。

零信任网络模型的关键原则

端到端零信任策略承认违规是不可避免的,而不是假设企业防火墙后面的一切都是安全的。 此方法需要验证每个请求,就像它源自不受控制的网络一样,标识管理起着关键作用。 当组织纳入网络安全和基础结构安全机构(CISA)和国家标准与技术研究所(NIST)零信任模型和模式时,它们将增强其安全态势,更好地保护其网络。

在零信任模型中,保护网络侧重于三个核心目标:

  • 防止未经授权的访问。 应用强身份验证、持续验证和最小特权策略,以减少初始入侵的风险。
  • 限制违规的影响。 使用网络分段、微隔离和自适应控制来遏制威胁并防止横向渗透。
  • 增强可见性和控制。 使用安全访问服务 Edge(SASE)等解决方案统一安全策略强制实施、监视流量,并快速响应云和混合环境中的新兴威胁。

这些目标符合零信任原则。 它们支持新式解决方案,例如 SASE,它集成了网络和安全功能。 此集成提供全面的保护和集中管理。

若要实现此目的,请遵循三项零信任原则:

  • 显式验证。 始终根据所有可用的数据点进行身份验证和授权。 包括用户标识、网络、位置、设备运行状况、服务或工作负荷、用户和设备风险、数据分类和异常。
  • 使用最小特权访问。 使用即时和恰好足够的访问(JIT/JEA)、基于风险的自适应策略和数据保护来限制用户访问,从而保护数据、确保高效。
  • 假定漏洞。 通过网络、用户、设备和应用程序意识来划分访问权限,尽可能减少漏洞的影响范围,防止横向移动。 验证确保所有会话都已端到端加密。 使用分析来获取可见性、驱动威胁检测并改善防御。

零信任网络部署目标

零信任(ZT)是一种安全模型,假定没有隐式信任,并持续验证每个访问请求。 零信任中的网络支柱侧重于保护通信、分段环境,以及强制实施对资源的最小特权访问。

实现用于保护网络的端到端零信任框架时,建议首先关注:

完成这些目标后,请专注于 目标 6 和 7

零信任网络部署指南

本指南指导你完成遵循零信任安全框架原则保护网络所需的步骤。

1. 网络分段和软件定义边界

网络分段和 Software-Defined 外围(SDP)构成了零信任安全模型的基础。 在资源级别动态地强制实施安全性,而不是依赖于基于边界的静态控制。 使用微分段将基础结构分区为隔离段时,会限制攻击者的横向移动,并最大程度地减少违规的影响。 SDP 通过在每个用户资源交互周围创建以标识为中心的按需微外围,并在授予访问权限之前持续验证上下文来增强此方法。 总之,请遵循以下关键原则:

  • 通过实施细粒度网络分段(宏观和微分段)来限制横向移动。
  • 利用 Software-Defined 网络(SDN)和网络访问控制(NAC)动态强制实施策略。
  • 优先采用基于标识的分段,而不是传统的基于 IP 的方法。

1.1 宏分段策略

在深入了解微分段之前,必须制定更广泛的分段策略。 宏分段涉及根据总体功能或安全要求将网络划分为更大的段。 此方法简化了初始管理,并提供了可构建更精细粒度(如微分段)的基础。

1.2 网络分段:众多入口/出口的云微型边界,进行一定程度的微分段

组织不应只依赖一条大型管道来连接其网络。 相反,在零信任方法中,网络分段为更小的孤岛,其中包含特定工作负载。 每个段都有自己的入口和出口控件,以最大程度地减少未经授权的数据访问的影响。 通过使用精细控制来实现软件定义的外围,可以提高未经授权的行动者在整个网络中传播的难度,从而减少威胁的横向移动。

没有适合所有组织的体系结构设计。 你可以在几种常用的设计模式之间进行选择,以根据零信任模型对网络进行分段。

在此部署指南中,我们将指导你完成实现其中一种设计的步骤:微分段。

通过微分段,组织可以使用软件定义的微外围,从简单的集中式网络外围扩展至全面的分布式分段。

1.3 网络分段:完全分布式入口/出口云微外围和更深层次的微分段

完成初始三个目标后,下一步是进一步细分网络。

1.4 分割并加强外部边界的执行

具有跨边界连接的服务器和设备的关系图。

根据边界类型执行以下步骤:

Internet 边界

提示

Azure DDoS 防护服务还保护虚拟网络中的公共 IP 地址,而不仅仅是中心虚拟网络中的 IP。 Azure 防火墙还可用于控制出站 Internet 连接。 若要了解详细信息,请参阅 规划入站和出站 Internet 连接

本地边界
PaaS 服务边界
  • 使用 Azure 提供的 PaaS 服务、Azure 存储、 Azure Cosmos DBAzure Web 应用时,请使用 PrivateLink 连接选项来确保所有数据交换都通过专用 IP 空间,流量永远不会离开Microsoft网络。
  • 如果 PaaS 服务需要安全边界相互通信并管理公共网络访问,我们建议将它们关联到网络安全外围。 对于通过这些 PaaS 服务的专用终结点传入的流量,将遵循专用链接连接,确保所有数据交换都通过专用 IP 地址进行,并且流量永远不会离开Microsoft网络。 详细了解网络安全外围 ,并查看 支持的 PaaS 服务列表

提示

了解有关为数据实施端到端零信任策略的信息

将应用组件分区到不同的子网

Azure 区域中服务器的虚拟网络的示意图。

执行以下步骤:

  1. 在虚拟网络 中,添加虚拟网络子网 ,以便应用程序的离散组件可以有自己的外围。
  2. 若要仅允许来自具有应用子组件标识为合法通信对象的子网的流量,请应用网络安全组规则

或者,Azure 防火墙还可用于分段并允许来自特定子网和虚拟网络的流量。

  • 使用 Azure 防火墙筛选云资源、Internet 和本地资源之间的流量。 使用 Azure 防火墙或 Azure 防火墙管理器 创建允许或拒绝使用第 3 层到第 7 层控制流量的规则或策略。 若要了解详细信息,请参阅 有关构建分段策略的建议
应用程序分区到不同的 Azure 虚拟网络 (VNet),并使用中心-分支模型连接到一起

中心-分支模型中连接到一起的两个虚拟网络的示意图。

执行以下步骤:

  1. 为不同的应用程序和/或应用程序组件创建专用虚拟网络
  2. 创建一个中央虚拟网络,以配置应用间连接的安全态势,并在中心辐射型体系结构中连接应用 VNet。
  3. 在虚拟网络中心部署 Azure 防火墙。 使用 Azure 防火墙检查和管理网络流量。

1.5 使用网络观察程序流量分析验证分段

为了确保网络分段按预期方式运行,组织应实现 Azure 网络观察程序流量分析。 此功能通过分析 VNET 流日志来提供流级可见性,使团队能够跨分段环境监视流量模式。

流量分析支持零信任分段,方法是:

  • 验证分段策略:确定流量是否仅在预期段之间流动,并检测任何分段边界冲突。

  • 检测横向移动:揭示出意外或未经授权的东西向流量,这可能表明存在漏洞或配置错误。

  • 增强可见性:将流量流与 NSG 规则和威胁情报相关联,以获取对网络行为的可作见解。

  • 支持持续改进:使用分析优化微分段策略并动态强制实施最低特权访问。

通过将流量分析集成到零信任部署中,可以持续评估和提高分段策略的有效性,确保网络边界不仅被定义,而且受到主动监视和强制执行。

2. 安全访问服务边缘 (SASE) 和零信任网络访问 (ZTNA)

为了有效保护新式网络,组织必须超越传统解决方案,采用高级集成方法。 此举包括采用零信任网络访问(ZTNA)解决方案来实现精细的标识驱动连接,应用 SASE 体系结构来统一网络和安全功能,并通过基于风险的访问控制实现持续会话验证。 这些策略协同工作,确保始终验证访问权限、最小化威胁,以及安全策略动态适应不断变化的风险。

2.1 零信任网络访问 (ZTNA)

零信任网络访问用细粒度、身份感知和上下文感知的连接取代了广泛的、基于边界的 VPN。 三个核心 ZTNA 功能,首先针对 Microsoft Global Secure Access 进行介绍,然后针对 Azure VPN 网关选项进行了介绍。

Microsoft ZTNA 的实现是在安全服务 Edge (SSE) 基础之上构建的 Microsoft Entra 下的全局安全访问(预览版)功能的一部分。
了解详细信息:什么是全局安全访问? (Microsoft Entra)

2.2 使用标识感知 ZTNA 实现传统 VPN 的现代化

全球安全访问
Microsoft的全局安全访问将广泛的网络隧道替换为特定于应用的标识驱动连接。 当用户请求访问时,全局安全访问在边缘使用 Microsoft Entra ID 进行单一登录和条件访问 , 无需入站防火墙规则。 只有批准的应用程序在用户门户中可见,访问决策基于设备状况(来自 Defender for Endpoint)和实时风险信号。

Azure VPN 网关
在建立隧道之前,通过将身份验证与 Microsoft Entra ID 集成、强制实施条件访问策略(例如 MFA、设备符合性和命名位置)来现代化点到站点(P2S)VPN。 在 Azure 虚拟 WAN 中心,P2S VPN 和 ExpressRoute 在全球范围内运行,并通过 Azure 防火墙管理器集中安全和路由。 这种方法保持了熟悉的 VPN 连接,同时确保了最低权限、身份感知的访问。

2.3 使用 SASE 体系结构:集成网络和安全函数

将网络和安全函数与 SASE 集成

全球安全访问
全局安全访问将安全服务边缘(SSE)功能(包括安全 Web 网关(SWG)、云访问安全代理(CASB)和防火墙即服务(FWaaS)引入统一的 SASE 框架。 用户流量(无论是发往 Internet 还是专用应用程序)通过Microsoft的全局边缘网络进行路由。 在这里,将应用 TLS 检查、URL 筛选、数据丢失防护(DLP)和威胁情报。 Defender for Cloud Apps 为 SaaS 应用程序启用内联会话控制,而 Azure 防火墙可保护专用应用访问。

此体系结构:

  • 通过微软的边缘网络路由用户流量,以进行中心化的检查和控制
  • 通过统一安全策略强制实施来降低复杂性
  • 支持流量引导和分割隧道,以提高性能并符合合规性要求。

Azure VPN 网关集成
传统 VPN 终结点可以使用强制隧道配置与 Azure 防火墙或合作伙伴 SWG 设备集成。 配置允许使用 Azure 防火墙管理器、威胁情报和条件访问会话控制来检查和控制出站和入站 VPN 流量。 可以将 URL 筛选、深度数据包检查(DPI)和 DLP 应用到 VPN 会话。 Defender for Cloud Apps 会话策略可以在隧道流量上强制实施上传/下载控制和影子 IT 发现。

2.4 实现持续会话验证和基于风险的访问

持续会话验证可确保实时执行访问决策,而不仅仅是初始登录。 此方法可帮助组织快速响应不断变化的风险状况,并保持强大的安全态势。

Microsoft全局安全访问
零信任网络访问不是一次性检查。 Microsoft全局安全访问使用持续访问评估(CAE)监视风险信号(例如检测到的恶意软件或异常位置),并且可以在检测到风险时撤销或重新评估应用程序访问令牌并终止网络连接。 Defender for Cloud Apps 强制实施实时会话控制,例如阻止下载、隔离会话或在活动会话期间要求进行额外的多重身份验证(MFA)。 Microsoft Sentinel 或 Microsoft Defender XDR 中的自动响应 playbook 可以实时隔离受入侵的设备或禁用帐户。

Azure VPN 网关 对于使用 Microsoft Entra ID 身份验证的 VPN 连接,支持持续访问评估(CAE)。 如果条件访问检测到有风险的用户或设备,则可以关闭 VPN 隧道或要求重新进行身份验证。 您可以将 VPN 日志发送到 Microsoft Sentinel,并使用自动化流程阻止 IP、撤销访问权限或提醒安全团队,从而为 VPN 连接启用基于风险的快速响应。

3. 强加密和安全通信

必须在每个阶段对新式网络通信进行强加密和保护。 组织应:

  • 使用传输层安全性 (TLS) 1.3 并对所有网络流量强制实施端到端加密。 TLS 1.3 提供更强大的安全性、更快的握手和始终加密的客户端身份验证,这对于保护新式工作负载至关重要。
  • 在工作负载和设备之间强制实施相互身份验证(mTLS),以确保验证客户端和服务器标识,从而防止未经授权的访问,即使凭据有效。
  • 阻止不受信任的或 缺少加密的旧协议,例如 TLS 1.0/1.1 或过时的密码。

注释

虽然 TLS 保护合法流量,但恶意软件和数据泄露等威胁仍可在加密会话中隐藏。 Microsoft Entra Internet Access TLS 检查提供加密流量的可见性,支持恶意软件检测、数据丢失防护和高级安全控制。 详细了解传输层安全检查

注释

Azure 防火墙可以对网络流量执行 TLS 检查。 它解密数据,应用入侵检测和防护系统(IDPS)或应用程序规则,然后重新加密并转发它。 详细了解 Azure 防火墙 TLS 检查Azure 防火墙高级证书

关键建议

  • Azure 应用服务与 Azure Front Door: 将最低入站 TLS 版本设置为 1.3,以确保仅对 Web 应用使用安全密码套件。 若要了解详细信息,请参阅 为应用服务和 Front Door 强制实施最低 TLS 版本
  • Azure IoT Edge、IoT 中心和其他 PaaS 服务: 确认设备 SDK 支持 TLS 1.3,或限制为 TLS 1.2+ 。
  • Azure 应用程序网关(v2): 支持使用 OCP 验证证书进行客户端验证的 mTLS。 若要了解详细信息,请参阅 应用服务中的 TLS 概述
  • 加密虚拟网络之间的应用程序后端流量。
  • 加密本地与云之间的流量:
    • 通过 ExpressRoute Microsoft Peering 配置站点到站点 VPN。
    • 将 IPsec 传输模式用于 ExpressRoute 专用对等互连。
    • 跨 ExpressRoute 专用对等互连在服务器之间设置 mTLS。

阻止不受信任的或旧版协议

  • Azure 终结点(应用服务、存储、SQL、事件中心等): 仅接受 TLS 1.2+ 且理想情况下强制实施 1.3,禁用旧版本。
  • 虚拟机和网络设备: 使用 Azure Policy 和 Microsoft Defender for Cloud 扫描过时的协议(例如 SMBv1 或自定义 TLS <1.2),并强制实施修正。
  • 作卫生: 在 OS 或应用程序级别禁用旧密码和协议(例如,在 Windows Server 或 SQL Server 上禁用 TLS 1.0/1.1)。

准备后量子加密 (PQC)

传统的公钥加密算法(如 RSA 和 ECC)容易受到未来的量子计算机攻击。 Microsoft已将抗量子算法(LMS 和 ML-DSA、FIPS 204)集成到其平台中,并即将推出更广泛的 PQC 支持。 开始过渡到 TLS 1.3,并在最终确定标准后准备 PQC 集成。

3.1 加密:用户到应用内部流量已加密

添加加密以确保对用户到应用的内部流量进行加密。

执行以下步骤:

  1. 通过使用 Azure Front Door 将 HTTP 流量重定向到 HTTPS,对面向 Internet 的 Web 应用程序强制实施仅 HTTPS 通信。
  2. 使用 Azure VPN 网关将远程员工/合作伙伴连接到 Microsoft Azure。
  3. 为 Azure VPN 网关服务中的任何点到站点流量启用加密
  4. 通过 Azure Bastion 使用加密通信安全地访问 Azure 虚拟机。
  5. 使用 SSH 连接到 Linux 虚拟机
  6. 使用远程桌面协议(RDP)连接到 Windows 虚拟机

提示

了解针对应用程序实施端到端零信任策略的有关信息

3.2 加密:所有流量

最后,确保所有流量均已加密,以完成网络保护。

执行以下步骤:

  1. 对虚拟网络之间的应用程序后端流量进行加密
  2. 加密本地与云之间的流量:
    1. 基于 ExpressRoute Microsoft 对等互连配置站点到站点 VPN
    2. 为 ExpressRoute 专用对等互连配置 IPsec 传输模式
    3. 在服务器之间通过 ExpressRoute 私有对等连接配置 mTLS。

4. 网络可见性和威胁检测

在零信任安全模型中,“永不信任,始终验证”的原则不仅适用于用户和设备,也适用于网络流量。 监视和日志记录网络活动对于强制实施零信任至关重要,因为它可持续了解如何访问资源、确保符合安全策略,并快速检测可疑或未经授权的行为。 以下是本部分将介绍的关键元素:

  • 部署网络检测和响应(NDR),以监视和分析网络流量。
  • 使用 DPI(深度数据包检查)和 AI 驱动的异常情况检测进行实时威胁搜寻。
  • 维护集中式日志记录和 SIEM/SOAR 集成,以便进行网络分析。
  • 部署扩展检测和响应(XDR),以分析流量模式、识别异常并防止违规。
  • 集成 AI 驱动的分析,以增强对新兴威胁的快速响应。
  • 通过采用全局安全访问 源 IP 还原,实现改进的威胁检测和响应。
  • 利用全局安全访问 日志和监控

4.1 威胁防护:基于机器学习的威胁防护和使用基于上下文的信号进行筛选

若要进一步进行威胁防护,请启用 Azure DDoS 网络防护 来持续监视 Azure 托管的应用程序流量,使用基于 ML 的框架来基线和检测流量洪水、检测协议攻击并应用自动缓解措施。

执行以下步骤:

  1. 配置和管理 Azure DDoS 网络保护。
  2. 为 DDoS 防护指标配置警报
  3. 将 Microsoft Sentinel 与 Azure Web 应用程序防火墙配合使用
  4. 将 Azure 防火墙与 Microsoft Sentinel 配合使用

4.2 威胁防护:云原生筛选和保护已知威胁

向外部环境(例如 Internet 或本地占用空间)打开终结点的云应用程序面临来自这些环境的攻击的风险。 因此,必须扫描流量以查找恶意数据负载或恶意逻辑。

这些类型的威胁分为两大类别:

  • 已知攻击。 软件提供商或更广泛的社区发现的威胁。 在这种情况下,攻击签名可用,你需要确保根据这些签名检查每个请求。 关键是能够使用任何新发现的攻击快速更新检测引擎。

  • 未知攻击。 这些攻击是与任何已知特征都不太匹配的威胁。 这些类型的威胁包括请求流量中的零日漏洞和异常模式。 检测此类攻击的能力取决于防御能力如何了解正常情况和不正常情况。 防御措施应随着业务(和关联的流量)的发展不断学习并更新此类模式。

请考虑以下步骤来防范已知威胁:

4.3 监视和可见性

流量分析

网络观察程序 流量分析 通过分析 VNET 流日志来检测异常流量、验证分段策略以及发现影子 IT 或配置错误的访问路径,从而在零信任分段中扮演关键角色。 它使安全团队能够可视化段之间的流量,并基于实时遥测强制实施自适应控制。

日志分析

Microsoft Defender 扩展检测和响应 (XDR)

Microsoft Defender 扩展检测和响应(XDR)是你在违规前后使用的统一企业防御套件。 套件在端点、身份、电子邮件和应用程序之间本地协调检测、预防、调查和响应。 使用 Defender XDR 防范和响应复杂的攻击。

  • 调查警报
  • 通过 Defender XDR 了解零信任
  • 了解适用于美国政府的 Defender XDR

Microsoft Sentinel

使用工作簿开发自定义分析查询并可视化收集的数据。

  • 使用自定义分析规则检测威胁
  • 可视化收集的数据
  • 将工作簿与 Global Secure Access 配合使用

AI-Enabled 网络访问

Microsoft Sentinel

使用 Azure 防火墙可视化防火墙活动、使用 AI 调查功能检测威胁、关联活动以及自动执行响应作。

  • 使用 Microsoft Sentinel 的 Azure 防火墙

Microsoft Entra ID Protection 使用机器学习(ML)算法来检测用户和登录风险。 根据风险级别,在条件访问策略中使用风险条件进行动态访问。

  • Microsoft Entra ID 安全保护功能
  • 风险检测
  • 基于风险的访问策略

全球安全访问

通过利用Microsoft Entra Global Secure Access 日志,组织可以跟踪访问尝试、监视数据流并实时识别异常。 此精细监视有助于验证只有经过授权的标识和设备访问敏感资源、支持事件响应,并为审核和调查提供重要证据。 因此,综合流量日志记录是维护和证明零信任体系结构有效性的基础要素。 除了流量日志外,其他日志还可用于其他信号:

4.4 自动化和业务流程

自动化和业务流程对于跨网络基础结构强制实施零信任原则至关重要。 通过利用自动强制、响应和治理,组织可以实现安全且可复原的连接。

Azure 网络

可以使用基础结构即代码(IaC)工具(如 ARM 模板、Bicep、Terraform 和 Azure Policy)部署、治理和监视 Azure 网络服务,包括 Azure 防火墙、网络安全组(NSG)、虚拟 WAN 和 DDoS 防护。

主要功能:

  • 自动部署: 使用 IaC 管道自动部署网络分段(NSG、Azure 防火墙)和筛选控制。
  • 持续合规性: 使用 Azure Policy 强制实施和自动修正安全标准(例如阻止公共 IP、要求加密)。
  • DevOps 集成: 与 GitOps/DevOps 工作流集成,用于声明性、版本控制的网络配置。

例: 使用 Bicep 和 Azure DevOps 预配新子网时,自动部署 NSG 规则和 Azure 防火墙策略。

Microsoft Entra(通过身份治理实现全球安全访问)

Microsoft Entra Global Secure Access 将标识感知访问与网络控制相结合,超越旧版 VPN。 标识治理通过权利自动化来扩展此功能。

主要功能:

  • 自动载入: 使用Microsoft图形 API 和策略模板将应用/服务加入专用访问或应用代理。
  • 权利管理: 使用审批工作流、过期和访问评审定义网络访问包。
  • 动态取消预配: 根据角色更改或生命周期事件自动删除网络权限。

例: 分配一个访问包,该包在用户加入项目时向特定应用授予专用访问权限,并强制实施过期和访问评审。

Microsoft Sentinel

Microsoft Sentinel 提供剧本(逻辑应用)来自动化网络威胁的检测和响应。

主要功能:

  • 自动响应: 更新 NSG 或 Azure 防火墙规则以阻止恶意 IP/域。
  • 资源隔离: 通过调整条件访问来禁用会话或隔离资源。
  • 警报扩充: 将网络警报与流日志、DNS、标识和设备遥测相关联。

例: Sentinel 检测到与已知恶意 IP 的通信;playbook 更新 Azure 防火墙 IP 组并通知 SecOps。

Microsoft Defender XDR

Microsoft Defender XDR 可跨标识、终结点和网络信号自动执行检测、调查和协调响应。

主要功能:

  • 关联: 使用设备和身份上下文检测横向移动或异常网络模式。
  • 自动隔离: 隔离受威胁的设备,并在各个平台上触发强制措施。
  • 集成: 使用 Sentinel 和 Entra 进行端到端事件响应。

示例: Defender for Endpoint 检测命令和控制 (C2) 流量,XDR 隔离设备,并触发 Sentinel playbook 来阻止 Azure 防火墙中的目标。

5. 策略驱动的访问控制和最低特权

新式零信任网络需要精细的自适应访问控制,以强制实施最低特权并动态应对风险。 策略驱动访问可确保用户和设备仅获得所需的最低权限,在最短时间内以及仅在正确的条件下获得所需的最低权限。

5.1 实现上下文感知访问策略

5.2 强制实施基于风险的自适应控制

5.3 应用按需访问(JIT)和特权访问

混合访问与应用程序特定访问

5.5 默认拒绝和持续评估

  • 在所有网络层应用“默认拒绝”原则,仅当策略显式允许时授予访问权限。
  • 持续评估会话风险并实时强制实施策略更改,以最大程度地减少攻击面。

使用上下文感知、基于风险和最小特权策略来减少未经授权的访问并限制网络中横向移动。

6. 云和混合网络安全

保护云和混合环境需要跨所有平台实现新式、云原生控制和一致的策略强制实施。 随着组织采用多云和混合体系结构,必须将零信任原则扩展到传统数据中心,使其扩展到云工作负载、SaaS 和 PaaS 环境。

6.1 使用微外围和云原生防火墙保护云工作负载

  • 微外围: 使用微分段围绕单个工作负荷、应用程序或服务创建精细的安全边界。 这会限制横向移动,并包含隔离段内的潜在违规行为。
  • 云原生防火墙: 部署 Azure 防火墙 等解决方案,以检查和控制云工作负载之间的流量,强制实施基于威胁情报的筛选,并大规模应用应用程序和网络规则。
  • 网络安全组(NSG): 使用网络安全组(NSG)和 应用程序安全组 来定义和强制执行虚拟网络中资源的精细访问控制。
  • 专用终结点: 使用 Azure 专用链接 通过专用 IP 地址限制对 PaaS 服务的访问,确保流量保留在受信任的Microsoft主干中。

6.2 为 SaaS 和 PaaS 安全集成身份识别代理

  • 标识感知代理: 实现解决方案,例如 Microsoft Entra Private Access 来代理对 SaaS 和 PaaS 应用程序的访问权限。 这些代理在授予访问权限之前强制实施身份验证、设备符合性和条件访问策略。 请考虑 Microsoft Entra Internet Access,进行标识感知的 Internet 访问。
  • 云访问安全代理(CASB): 使用 Microsoft Defender for Cloud Apps 发现、监视和控制 SaaS 使用情况、强制实施数据丢失防护(DLP),并为云应用程序应用会话控制。
  • 连续会话验证: 对 SaaS 和 PaaS 访问应用基于风险的实时策略强制实施,包括基于用户、设备和会话上下文的自适应控制。

6.3 确保跨混合和多云环境实施一致的安全策略

  • 统一策略管理: 使用 Microsoft Entra 条件访问Azure Policy 等平台定义并强制实施跨本地、Azure 和其他云提供商的一致安全策略。
  • 混合连接: 使用 Azure VPN 网关ExpressRoute 保护混合连接,并为所有跨环境流量强制实施加密和访问控制。
  • 集中式监视和响应: 将所有环境中的日志和安全事件集成到 Microsoft Sentinel 或 SIEM/SOAR 平台,以便统一可见性、威胁检测和自动响应。
  • 多云安全状况管理: 使用 Microsoft Defender for Cloud 等工具来评估、监视和改进 Azure 和其他云提供商的资源的安全状况。

实施这些策略的组织可以为云和混合网络实现可靠的端到端安全性。 无论工作负荷和数据位于何处,此方法都可确保始终应用零信任原则。

7. 停用旧版网络安全技术

零信任拒绝任何网络段或设备中的隐式信任。 以外围为中心的旧式控制(如平面 VPN 隧道、“发针”流量检查、硬编码访问控制列表(ACL)和静态网络防火墙)不再提供现代混合和云原生环境的自适应、标识感知和上下文感知保护。 若要完全实现零信任,组织必须停用这些过时的技术,以支持标识驱动的软件定义安全服务。

7.1 停用范围

要停用的旧技术包括:

  • 仅基于设备证书或共享密钥授予广泛网络访问权限的传统 VPN
  • 具有静态规则集和有限应用程序级别可见性的刚性网络防火墙
  • 缺少内联威胁检查或会话控制的遗留 Web 代理
  • 网络 ACL 或基于路由的分段,而无需集成到标识或设备状况信号中。

7.2 替换原则

对于每个已弃用的控件,请采用新式零信任替代方法,该替代方法:

  • 使用零信任网络访问在应用程序或工作负荷层强制实施最低特权访问。
  • 将标识和设备状况(使用 Microsoft Entra ID 和 Microsoft Defender for Endpoint)集成到每个访问决策中。
  • 通过持续访问评估和会话重新评估提供持续验证。
  • 通过安全访问服务边缘(SASE)和安全服务边缘(SSE)解决方案(例如安全 Web 网关(SWG)、云访问安全代理(CASB)、防火墙即服务(FWaaS)以及网络检测和响应(NDR)提供软件定义的可见性和控制。

7.3 转换策略

  1. 清单和优先级

    • 列出所有旧设备和 VPN 配置文件。
    • 按关键性(面向公众的应用、合作伙伴连接、远程管理)进行分类。

  2. 试点和验证

    • 使用 Microsoft Global Secure Access 或 Azure VPN 网关启动 ZTNA 试点计划,并使用 Microsoft Entra ID 身份验证,以实现低风险应用程序集。
    • 验证连接性、性能和策略强制实施。

  3. 分阶段降级

    • 以波形方式迁移用户队列和应用程序组、监视成功指标(例如访问时间、支持人员票证和安全警报)。
    • 同时通过所选的 SASE 或 SSE 堆栈重定向流量。

  4. 正式退役

    • 停用硬件设备并撤销旧版 VPN 配置。
    • 更新网络关系图和运行手册,以移除已弃用的技术。

本指南中涵盖的产品

Azure 网络

虚拟网络和子网

网络安全组应用程序安全组

Azure 防火墙

Azure DDoS 保护

Azure Web 应用程序防火墙

Azure VPN 网关

Azure ExpressRoute

Azure 网络观察程序

Microsoft Entra Private Access

Microsoft Entra Internet 访问

结束语

保护网络是零信任策略取得成功的核心。 有关实施的详细信息或帮助,请联系客户成功团队,或继续阅读本指南的其他章节,该章节涵盖所有零信任支柱。