Azure 安全網絡篇  DMZ 區域設計實踐,azure云入門

Azure 安全網絡篇  DMZ 區域設計實踐

應廣大看官要求，今天為大家介紹如何在Azure上搭建DMZ區域。為什么講這個話題，安全無小事，很多用戶在上云的時候并沒有做好安全的前期規劃導致后期埋下了安全隱患。為什么專挑DMZ網絡安全設計講，要想富先修路，在云端跟IDC相同，要想富先修路，網絡先行，同時DMZ區域是整個網絡安全設計中的重點，流量屬性最復雜，安全重要性最高。其次關于云原生，很多用戶上云后希望更多采用云平臺第一方的托管服務，過去一年多的時間Azure在安全產品上有很多新產品發布，也希望通過這篇文章，幫助用戶了解Azure上有哪些牌，并將這副牌打好。在此次DMZ區域設計實踐中，我們會涉及到Azure云上幾個重要的安全產品，Azure VNET（虛擬網絡服務），Azure DDoS（拒絕服務攻擊防御服務），Azure WAF（WEB安全防火墻服務），Azure Firewall（防火墻服務），Azure NSG（網絡安全組服務），Azure Bastion（跳板機服務）。

“DMZ是英文“demilitarized zone”的縮寫，中文名稱為“隔離區”，也稱“非軍事化區”。它是為了解決安裝防火墻后外部網絡的訪問用戶不能訪問內部網絡服務器的問題，而設立的一個非安全系統與安全系統之間的緩沖區。該緩沖區位于企業內部網絡和外部網絡之間的小網絡區域內。在這個小網絡區域內可以放置一些必須公開的服務器設施，如企業Web服務器、FTP服務器和論壇等。另一方面，通過這樣一個DMZ區域，更加有效地保護了內部網絡。因為這種網絡部署，比起一般的防火墻方案，對來自外網的攻擊者來說又多了一道關卡。”摘自百度百科。

簡單來講DMZ的概念就是分而治之，如果我們把運行在云端的應用服務按照服務對象來分類的話，一類是暴露給互聯網用戶使用的外網應用，一類是暴露給內網用戶使用的內網應用。如果我們按照相同的安全策略進行管理，外網應用處于眾矢之的，一旦被攻破其會成為滲透內網的跳板。其實整個網絡安全中分而治之的概念貫穿在方方面面，ZeroTrust Sercurity（零信任安全）中做了任何人，應用都可能成為安全潛在危險的假設，所以在進行網絡安全涉及的時候我們應該以按需分配的原則，為用戶，應用系統進行分類，以最小權限分配原則將安全策略分配到用戶，應用系統上。在承載系統的Azure VNet中外網應用和內網應用首先通過子網劃分的方式將VNet拆分為多個Segment（分段），通過分段便于我們對分段內的系統使能不同的安全策略，在這里我們定義外網應用分段為DMZSubnet，內網應用分段為OthersSubnet。

當擁有分段后，按照外網應用分段（DMZSubnet）和內網應用分段（OthersSubnet）來定義不同的訪問安全策略。在傳統數據中心中DMZ區域通常通過防火墻來實現，通過定義不同的區域（Zone），來實現訪問的隔離。在Azure VNet中沒有區域的概念，我們可以不同的分段即Subnet映射為傳統的區域即（Zone）的概念。在DMZ實踐中，通過定義訪問策略來實現安全隔離，一般的策略邏輯為：允許互聯網訪問DMZ區域，允許內網區域訪問DMZ區域，不允許DMZ區域訪問內網區域。上述邏輯的實現可以通過Azure NSG（網絡安全組服務）來實現，在NSG中我們可以定義訪問策略規則，邏輯與傳統防火墻ACL一致。Azure NSG規則可以使能在Subnet上或虛擬主機的Nic上，從使用實踐上對于整個分段即Subnet內所有虛擬主機一致的策略建議配置在Subnet上，對于個別主機的特殊策略配置在Nic上，這樣簡單且易于管理。

在上述的NSG訪問策略規則規劃中，我們還有很多留白的區域，如DMZDMZ即DMZ區域內部的互訪，OthersOthers即內網區域內部的互訪，以及DMZ，Others到Internet的訪問。我們先來看下內網場景，多組應用系統雖然同時歸屬在相同分段但它們之間未必存在依賴（即不存在互訪需求），按照零信任網絡模型最小訪問權限原則，在同分段內不同應用系統之間也需要進行訪問控制策略隔離。如法炮制，分段！前面我們通過Subnet實現了分段，在Subnet內的系統我們繼續分段，這里我們稱之為微分段（MicroSegment）。在傳統網絡實踐中通常是對同Subnet內的主機設置基于IP地址的明細訪問規則，這種做法可以達到安全目標但不易于維護，隨著主機數量的增多，規則數量將成比例激增，后期不宜與維護管理。Azure中的Application Security Group功能為微分段的實現帶來了便利，用戶可以將虛擬主機按照微分段創建相應的Application Security Group，然后在NSG策略中直接通過Application Security Group來定義訪問策略，訪問安全策略的定義剝離了IP的依賴，使后期維護變得簡單快捷。

通過微分段實現分段內部的安全訪問控制，可以進一步加固網絡安全。下面我們來看一下DMZ和Others分段訪問Internet的安全設計。在傳統數據中心內這部分我們稱之為互聯網邊緣（Internet Edge），通過防火墻來實現DMZ和Others向互聯網的訪問，隨著安全產品的不斷發展演進，從三四層防御到應用感知的七層防御，從靜態策略到動態策略，不斷的來加固和提升企業網絡的安全等級。在Azure中可以通過Azure Firewall（防火墻服務）來實現，Azure Firewall可以提供訪問日志審計，FQDN訪問控制策略，基于IP信譽的安全策略等功能，實現VNet內向Internet訪問的安全防護。

前面我們的設計中所有的安全訪問策略主要針對的都是對于與業務流量的策略，當今很多安全事件都是從控制層面發起了滲透，比如主機被破解SSH/RDP登錄等。所以從整個安全設計上，外網區域，內網區域的隔離其實體現最小范圍的將應用暴露在公網，那么不具備公網訪問的主機如何進行管理？市場上有很多成熟的跳板機解決方案解決的就是遠程登陸管理的問題，在Azure中Bastion服務可以提供跳板機服務，可以幫助管理員用戶通過指定的入口對VNet內的主機進行管理。Bastion服務作為托管的跳板機服務，將管理員用戶的訪問聚合到統一入口，對于VNet內部的主機只需要放行對于Bastion服務地址的登錄訪問即可。

除此之外Web七層安全防御以及DDoS防御也是受到普遍關注的安全實踐，Azure WAF（Web安全防火墻服務）和Azure DDoS服務（拒絕服務攻擊防御服務）可以幫助用戶實現防御。Azure WAF支持在Azure FrontDoor服務以及Azure Application Gateway服務上開啟，對于面向互聯網2C應用，WAF on FrontDoor可以借助FrontDoor服務的全球接入點實現全球分布式近緣防御。Azure DDoS服務借助微軟云全球豐富的網絡帶寬資源，結合基于機器學習的自適應流量策略模型為用戶提供全球性的DDoS保護服務。

通過上述的介紹，DMZ的設計就完成了，我們借助Azure第一方的網絡安全組件以零信任網絡模型為基準構建了安全可靠的網絡環境。希望對大家有所幫助，安全無小事，后續有機會再為大家介紹身份安全，數據安全等話題。

架構圖參考圖標：

欲了解更多微軟云安全，請訪問：

https://www.microsoft.com/zhcn/security/business/cloudsecurity

特別聲明：以上文章內容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關于作品內容、版權或其它問題請于作品發表后的30日內與ESG跨境電商聯系。