Azure 安全網(wǎng)絡篇  DMZ 區(qū)域設計實踐,azure云入門

Azure 安全網(wǎng)絡篇  DMZ 區(qū)域設計實踐

應廣大看官要求，今天為大家介紹如何在Azure上搭建DMZ區(qū)域。為什么講這個話題，安全無小事，很多用戶在上云的時候并沒有做好安全的前期規(guī)劃導致后期埋下了安全隱患。為什么專挑DMZ網(wǎng)絡安全設計講，要想富先修路，在云端跟IDC相同，要想富先修路，網(wǎng)絡先行，同時DMZ區(qū)域是整個網(wǎng)絡安全設計中的重點，流量屬性最復雜，安全重要性最高。其次關于云原生，很多用戶上云后希望更多采用云平臺第一方的托管服務，過去一年多的時間Azure在安全產(chǎn)品上有很多新產(chǎn)品發(fā)布，也希望通過這篇文章，幫助用戶了解Azure上有哪些牌，并將這副牌打好。在此次DMZ區(qū)域設計實踐中，我們會涉及到Azure云上幾個重要的安全產(chǎn)品，Azure VNET（虛擬網(wǎng)絡服務），Azure DDoS（拒絕服務攻擊防御服務），Azure WAF（WEB安全防火墻服務），Azure Firewall（防火墻服務），Azure NSG（網(wǎng)絡安全組服務），Azure Bastion（跳板機服務）。

“DMZ是英文“demilitarized zone”的縮寫，中文名稱為“隔離區(qū)”，也稱“非軍事化區(qū)”。它是為了解決安裝防火墻后外部網(wǎng)絡的訪問用戶不能訪問內部網(wǎng)絡服務器的問題，而設立的一個非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)。該緩沖區(qū)位于企業(yè)內部網(wǎng)絡和外部網(wǎng)絡之間的小網(wǎng)絡區(qū)域內。在這個小網(wǎng)絡區(qū)域內可以放置一些必須公開的服務器設施，如企業(yè)Web服務器、FTP服務器和論壇等。另一方面，通過這樣一個DMZ區(qū)域，更加有效地保護了內部網(wǎng)絡。因為這種網(wǎng)絡部署，比起一般的防火墻方案，對來自外網(wǎng)的攻擊者來說又多了一道關卡。”摘自百度百科。

簡單來講DMZ的概念就是分而治之，如果我們把運行在云端的應用服務按照服務對象來分類的話，一類是暴露給互聯(lián)網(wǎng)用戶使用的外網(wǎng)應用，一類是暴露給內網(wǎng)用戶使用的內網(wǎng)應用。如果我們按照相同的安全策略進行管理，外網(wǎng)應用處于眾矢之的，一旦被攻破其會成為滲透內網(wǎng)的跳板。其實整個網(wǎng)絡安全中分而治之的概念貫穿在方方面面，ZeroTrust Sercurity（零信任安全）中做了任何人，應用都可能成為安全潛在危險的假設，所以在進行網(wǎng)絡安全涉及的時候我們應該以按需分配的原則，為用戶，應用系統(tǒng)進行分類，以最小權限分配原則將安全策略分配到用戶，應用系統(tǒng)上。在承載系統(tǒng)的Azure VNet中外網(wǎng)應用和內網(wǎng)應用首先通過子網(wǎng)劃分的方式將VNet拆分為多個Segment（分段），通過分段便于我們對分段內的系統(tǒng)使能不同的安全策略，在這里我們定義外網(wǎng)應用分段為DMZSubnet，內網(wǎng)應用分段為OthersSubnet。

當擁有分段后，按照外網(wǎng)應用分段（DMZSubnet）和內網(wǎng)應用分段（OthersSubnet）來定義不同的訪問安全策略。在傳統(tǒng)數(shù)據(jù)中心中DMZ區(qū)域通常通過防火墻來實現(xiàn)，通過定義不同的區(qū)域（Zone），來實現(xiàn)訪問的隔離。在Azure VNet中沒有區(qū)域的概念，我們可以不同的分段即Subnet映射為傳統(tǒng)的區(qū)域即（Zone）的概念。在DMZ實踐中，通過定義訪問策略來實現(xiàn)安全隔離，一般的策略邏輯為：允許互聯(lián)網(wǎng)訪問DMZ區(qū)域，允許內網(wǎng)區(qū)域訪問DMZ區(qū)域，不允許DMZ區(qū)域訪問內網(wǎng)區(qū)域。上述邏輯的實現(xiàn)可以通過Azure NSG（網(wǎng)絡安全組服務）來實現(xiàn)，在NSG中我們可以定義訪問策略規(guī)則，邏輯與傳統(tǒng)防火墻ACL一致。Azure NSG規(guī)則可以使能在Subnet上或虛擬主機的Nic上，從使用實踐上對于整個分段即Subnet內所有虛擬主機一致的策略建議配置在Subnet上，對于個別主機的特殊策略配置在Nic上，這樣簡單且易于管理。

在上述的NSG訪問策略規(guī)則規(guī)劃中，我們還有很多留白的區(qū)域，如DMZDMZ即DMZ區(qū)域內部的互訪，OthersOthers即內網(wǎng)區(qū)域內部的互訪，以及DMZ，Others到Internet的訪問。我們先來看下內網(wǎng)場景，多組應用系統(tǒng)雖然同時歸屬在相同分段但它們之間未必存在依賴（即不存在互訪需求），按照零信任網(wǎng)絡模型最小訪問權限原則，在同分段內不同應用系統(tǒng)之間也需要進行訪問控制策略隔離。如法炮制，分段！前面我們通過Subnet實現(xiàn)了分段，在Subnet內的系統(tǒng)我們繼續(xù)分段，這里我們稱之為微分段（MicroSegment）。在傳統(tǒng)網(wǎng)絡實踐中通常是對同Subnet內的主機設置基于IP地址的明細訪問規(guī)則，這種做法可以達到安全目標但不易于維護，隨著主機數(shù)量的增多，規(guī)則數(shù)量將成比例激增，后期不宜與維護管理。Azure中的Application Security Group功能為微分段的實現(xiàn)帶來了便利，用戶可以將虛擬主機按照微分段創(chuàng)建相應的Application Security Group，然后在NSG策略中直接通過Application Security Group來定義訪問策略，訪問安全策略的定義剝離了IP的依賴，使后期維護變得簡單快捷。

通過微分段實現(xiàn)分段內部的安全訪問控制，可以進一步加固網(wǎng)絡安全。下面我們來看一下DMZ和Others分段訪問Internet的安全設計。在傳統(tǒng)數(shù)據(jù)中心內這部分我們稱之為互聯(lián)網(wǎng)邊緣（Internet Edge），通過防火墻來實現(xiàn)DMZ和Others向互聯(lián)網(wǎng)的訪問，隨著安全產(chǎn)品的不斷發(fā)展演進，從三四層防御到應用感知的七層防御，從靜態(tài)策略到動態(tài)策略，不斷的來加固和提升企業(yè)網(wǎng)絡的安全等級。在Azure中可以通過Azure Firewall（防火墻服務）來實現(xiàn)，Azure Firewall可以提供訪問日志審計，F(xiàn)QDN訪問控制策略，基于IP信譽的安全策略等功能，實現(xiàn)VNet內向Internet訪問的安全防護。

前面我們的設計中所有的安全訪問策略主要針對的都是對于與業(yè)務流量的策略，當今很多安全事件都是從控制層面發(fā)起了滲透，比如主機被破解SSH/RDP登錄等。所以從整個安全設計上，外網(wǎng)區(qū)域，內網(wǎng)區(qū)域的隔離其實體現(xiàn)最小范圍的將應用暴露在公網(wǎng)，那么不具備公網(wǎng)訪問的主機如何進行管理？市場上有很多成熟的跳板機解決方案解決的就是遠程登陸管理的問題，在Azure中Bastion服務可以提供跳板機服務，可以幫助管理員用戶通過指定的入口對VNet內的主機進行管理。Bastion服務作為托管的跳板機服務，將管理員用戶的訪問聚合到統(tǒng)一入口，對于VNet內部的主機只需要放行對于Bastion服務地址的登錄訪問即可。

除此之外Web七層安全防御以及DDoS防御也是受到普遍關注的安全實踐，Azure WAF（Web安全防火墻服務）和Azure DDoS服務（拒絕服務攻擊防御服務）可以幫助用戶實現(xiàn)防御。Azure WAF支持在Azure FrontDoor服務以及Azure Application Gateway服務上開啟，對于面向互聯(lián)網(wǎng)2C應用，WAF on FrontDoor可以借助FrontDoor服務的全球接入點實現(xiàn)全球分布式近緣防御。Azure DDoS服務借助微軟云全球豐富的網(wǎng)絡帶寬資源，結合基于機器學習的自適應流量策略模型為用戶提供全球性的DDoS保護服務。

通過上述的介紹，DMZ的設計就完成了，我們借助Azure第一方的網(wǎng)絡安全組件以零信任網(wǎng)絡模型為基準構建了安全可靠的網(wǎng)絡環(huán)境。希望對大家有所幫助，安全無小事，后續(xù)有機會再為大家介紹身份安全，數(shù)據(jù)安全等話題。

架構圖參考圖標：

欲了解更多微軟云安全，請訪問：

https://www.microsoft.com/zhcn/security/business/cloudsecurity

特別聲明：以上文章內容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關于作品內容、版權或其它問題請于作品發(fā)表后的30日內與ESG跨境電商聯(lián)系。