Planejar a segmentação da rede da zona de pouso

Esta seção explora as principais recomendações para oferecer segmentação de rede interna altamente segura dentro de uma zona de aterrissagem para impulsionar uma implementação de Zero Trust de rede.

Considerações de design

• O modelo Zero Trust assume um estado violado e verifica cada solicitação como se fosse originária de uma rede não controlada.

• Uma implementação avançada de rede Zero Trust emprega microperímetros de entrada e saída de nuvem totalmente distribuídos e microssegmentação mais profunda.

• Os NSGs (grupos de segurança de rede) podem usar marcas de serviço do Azure para facilitar a conectividade com soluções de plataforma como serviço (PaaS) do Azure.

• Os grupos de segurança de aplicativos (ASGs) não abrangem nem fornecem proteção em redes virtuais.

• Use os logs de fluxo do NSG para inspecionar o tráfego que flui através de um ponto de rede com um NSG conectado.

• Os logs de fluxo de rede virtual fornecem recursos semelhantes aos logs de fluxo NSG, mas abrangem uma gama mais ampla de casos de uso. Eles também simplificam o escopo do monitoramento de tráfego porque você pode habilitar o registro em log no nível da rede virtual.

Recomendações de design

• Delegue a criação de sub-redes ao proprietário da zona de destino. Isso permitirá que eles definam como segmentar cargas de trabalho entre sub-redes (por exemplo, uma única sub-rede grande, aplicativo multicamada ou aplicativo injetado em rede). A equipe da plataforma pode usar a Política do Azure para garantir que um NSG com regras específicas (como negar SSH ou RDP de entrada da Internet ou permitir/bloquear tráfego em zonas de aterrissagem) esteja sempre associado a sub-redes que tenham políticas somente de negação.

• Use NSGs para ajudar a proteger o tráfego entre sub-redes, bem como o tráfego leste/oeste na plataforma (tráfego entre zonas de pouso).

• A equipe do aplicativo deve usar grupos de segurança de aplicativos nos NSGs de nível de sub-rede para ajudar a proteger VMs de várias camadas dentro da zona de aterrissagem.

  

• Use NSGs e grupos de segurança de aplicativos para microsegmentar o tráfego dentro da zona de aterrissagem e evite usar um NVA central para filtrar fluxos de tráfego.

• Habilite logs de fluxo de rede virtual e use a análise de tráfego para obter informações sobre os fluxos de tráfego de entrada e saída. Habilite logs de fluxo em todas as redes virtuais e sub-redes críticas em suas assinaturas, por exemplo, redes virtuais e sub-redes que contenham controladores de domínio do Ative Directory do Windows Server ou armazenamentos de dados críticos. Além disso, você pode usar logs de fluxo para detetar e investigar possíveis incidentes de segurança, conformidade e monitoramento, além de otimizar o uso.

• Use NSGs para permitir seletivamente a conectividade entre zonas de pouso.

• Para topologias de WAN Virtual, roteie o tráfego entre zonas de aterrissagem por meio do Firewall do Azure se sua organização precisar de recursos de filtragem e registro em log para o tráfego que flui entre zonas de aterrissagem.

• Se sua organização decidir implementar o túnel forçado (anunciar rota padrão) no local, recomendamos incorporar as seguintes regras NSG de saída para negar o tráfego de saída de VNets diretamente para a Internet caso a sessão BGP caia.