Ég hef alltaf fundið það spennandi hvernig netvinnuöryggi þróast í takt við skýjaupplýsingatækni, og í dag langar mig að deila reynslu minni af því að setja upp slíkt kerfi í litlu fyrirtæki sem var að flytja inn í Azure-umhverfi. Þegar ég byrjaði að vinna við þetta verkefni fyrir nokkrum árum, var fyrirtækið að glíma við gömul VPN-tengingu sem var hægfara og óáreiðanleg, sérstaklega þegar starfsmenn voru að vinna fjarri skrifstofu. Ég ákvað að nota Microsoft Azure Virtual Network (VNet) sem grunn, og það varð lykillinn að betri stjórnun á öryggi. Í þessu innleggi ætla ég að ganga yfir hvernig ég stillti þetta upp, skref fyrir skref, með áherslu á tæknilegar hliðar eins og Network Security Groups (NSGs), Azure Firewall og DDoS-vernd, án þess að nota nokkur lista heldur bara flæði af hugmyndum og reynslu.
Fyrst og fremst þarf að skilja grunnatriðin um VNet. Þegar ég stofnaði fyrsta VNetið mitt í Azure, valdi ég subnetting-stofnun sem passaði við IP-tölu fyrirtækisins, segjum 10.0.0.0/16 sem aðalnetið. Ég skipti því upp í mismunandi subnet, eins og eitt fyrir framreikningsþjónustur og annað fyrir gagnagrunna, til að takmarka umferð. Þetta gerir það auðveldara að stjórna öryggi, þar sem ég gat sett upp NSGs á hverju subneti til að stjórna inn- og útgönguumferð. NSG er í raun regla-sett sem virkar á L3/L4 laginu í OSI-stöðlinum, þar sem ég get skilgreint leyfilegar IPv4 og IPv6-tengingar byggt á heimildum, áfangastöðum, höfnum og samskiptum. Til dæmis, í mínu tilfelli, lokaði ég öllum innkomandi umferð nema RDP á port 3389 frá tilteknum IP-hópum, og HTTP/HTTPS á 80/443 fyrir vefþjónustur. Ég man eftir einu sinni þegar ég gleymdi að bæta við reglu fyrir SQL-portið 1433, og það olli töfum í tengingu við gagnagrunn - fræðandi mistök sem kenndi mér að prófa reglur strax með Network Watcher.
Nú til Azure Firewall, sem ég notaði til að auka lagskiptingu. Þetta er stjórnað þjónusta sem skráir og filtrar umferð á milli subneta og út á internetið. Ég stillti það upp sem miðlæga útgöngupunkti, þar sem ég notaði User Defined Routes (UDRs) til að leiða umferð frá subnetum í gegnum firewallið. Í UDR-reglum setti ég next hop sem IP-aðsetningu Azure Firewall, og það tryggði að allar útgöngutengingar væru skoðaðnar. Firewallið styður threat intelligence feeds, sem ég virkjaði til að blokka þekktar illgjörðar IP-tölu sjálfkrafa. Ég sá það í aðgerð þegar það blokkaði umferð frá rússneskum IP sem reyndi að tengjast SSH-porti, þótt við værum á Windows-umhverfi - það sýndi hversu breiðt þetta er. Einnig notaði ég Application Rules til að leyfa aðeins umferð til ákveðinna URL-a, eins og office.com eða azure.microsoft.com, sem takmarkaði starfsmenn við viðskiptatengda síður. Þetta var sérstaklega gagnlegt í COVID-tímum þegar fjarvinnustarf var allt, og ég þurfti að koma í veg fyrir að starfsmenn sóuðu tíma á óviðeigandi vefsíðum.
Eitt af þeim þáttum sem ég legg mikinn metnað í er DDoS-vernd. Azure býður upp á Basic og Standard tier fyrir DDoS Protection. Ég valdi Standard vegna þess að það veitir sjálfvirka mælingu og miðun á sóun, ásamt samþættingum við Azure Monitor. Í setupinu þurfti ég að virkja það á VNetinu, og það var strax virkt fyrir allar opinberu IP-aðsetningar tengdar netinu. Ég man eftir að prófa það með verkfærum eins og LOIC til að sjá hvernig það stjórnar umferðarmagni; það notaði syn-flood varnir og rate limiting til að halda netinu stöðugu. Í raunveruleikanum hjálpaði það þegar við höfðum smá sóunartilraun frá botnet, þar sem umferð jókst um 500% á stuttum tíma, en kerfið sléttaði það út án þess að trufla þjónustuna. Þetta er mikilvægt fyrir IT-stjóra eins og mig, sem þurfa að tryggja hámarks tiltækileika (uptime) án þess að eyða of mikilli peningi í sérhæfð vélbúnað.
Þegar kemur að VPN-tengingu, sem var uppruni vandamálsins í mínu verkefni, notaði ég Azure VPN Gateway til að setja upp site-to-site tengingu við fyrirtækisins staðværa net. Þetta er IPsec-bundin VPN sem styður IKEv2 og BGP til að stjórna routing. Ég stillti upp Virtual Network Gateway með VpnGw1 SKU, sem gefur 650 Mbps bandbreidd, og það var nóg fyrir okkar 50 notendur. Í stillingum bætti ég við Local Network Gateway til að lýsa staðværa netinu, þar sem ég setti upp sameiginlegan lykilorð og PSK (pre-shared key). Eftir tengingu prófaði ég með ping og traceroute til að staðfesta lágseigju, og það var undir 50 ms, sem er gott fyrir vef- og gagnagrunnatengingar. En öryggið þarf líka að vera á staðnum, svo ég notaði Always On VPN fyrir fjarvinnu, þar sem ég setti upp RADIUS-server í Azure AD til að auðkenna notendur með MFA. Þetta var lykillinn að því að koma í veg fyrir man-in-the-middle árásir, þar sem ég krafist tveggja þátta auðkenningar áður en VPN-tenging er stofnuð.
Í skýjaumhverfi eins og Azure er Identity and Access Management (IAM) lykill að netvinnuöryggi. Ég notaði Azure Active Directory (Azure AD) til að stjórna aðgangi, þar sem ég bjó til role-based access control (RBAC) hlutverki fyrir netstjóra. Til dæmis, Network Contributor hlutverkið leyfir að breyta VNetum en ekki að eyða þeim. Ég settist upp Conditional Access Policies til að krefjast auðkenningar byggt á staðsetningu, tæki og hættuþætti. Þegar notandi reyndi að tengjast frá óþekktri IP, var hann beðinn um að staðfesta með appinu á símanum. Þetta var sérstaklega gagnlegt þegar við höfðum starfsmann sem missti laptop sinn; ég gat lokað aðgangi strax án þess að trufla aðra. Einnig notaði ég Azure AD Privileged Identity Management (PIM) til að veita tímabundinn aðgang að hástigi, svo netstjórar gátu fengið réttindi í tvær klukkustundir til að laga vandamál en þau væru afturkallað sjálfkrafa.
Nú til innri netöryggis, þar sem ég þurfti að hugsa um east-west traffic, þ.e. umferð milli vélum innan VNet. Hér komu NSGs aftur inn, en ég bætti við Azure Service Tags til að einfalda reglur. Service Tags eru forstilltar IP-hópar fyrir Azure-þjónustur, eins og Storage eða SQL. Í mínu tilfelli notaði ég það til að leyfa umferð að Azure Storage aðeins frá gagnagrunnasubnetinu, sem minnkaði sóunarflötinn. Ég sá einnig gildið af Application Gateway til að stjórna L7-umferð, þar sem ég setti upp Web Application Firewall (WAF) til að blokka SQL-injection og XSS-arásir. WAF-reglurnar eru byggðar á OWASP core ruleset, og ég breytti þeim til að passa við okkar API-endapunkta. Þegar ég prófaði með verkfærum eins og Burp Suite, blokkaði það skiljanlega illgjörð beiðnir, sem gaf mér traustið til að opna þjónustuna fyrir utanaðkomandi aðgang.
Eitt af þeim þáttum sem ég lærði af er eftirlit og logging. Azure Monitor og Log Analytics voru mínir bestu vini hér. Ég setti upp diagnostic settings á NSGs og Firewall til að senda logs til Log Analytics workspace. Þar notaði ég Kusto Query Language (KQL) til að skrifa fyrirspurnir, eins og til að finna umferð yfir ákveðinn þrýsting (threshold) á port 443. Til dæmis, query eins og: NSGFlowLogs | where SubType_s == "Allow" and DestPort_d == 443 | summarize count() by bin(TimeGenerated, 1h) | where count_ > 10000, sem hjálpaði mér að greina mynstur. Ég settist upp alerts til að senda tölvupóst þegar óvenjuleg umferð var greind, og það varð til þess að ég gat brugðist hratt við hugsanlegum sóun. Í einu tilfelli kom alert um mikla umferð frá einu IP, sem reyndist vera starfsmaður sem var að sækja stór skrár - góður sönnunargrein fyrir þjálfun um bandbreidd.
Þegar ég var að vinna við þetta, hugsaði ég líka um samþættingu við on-premises kerfi. Við höfðum ennþá Active Directory á staðnum, svo ég notaði Azure AD Connect til að synkronizera notendur. Þetta gerði það að verkum að netöryggisstefnur gengu yfir bæði umhverfi, þar sem ég gat notað Group Policies til að stjórna VPN-notkun. En í skýjunum þurfti ég að hugsa um hybrid identity, þar sem ég notaði Azure AD Hybrid Join til að leyfa tækjum að skrá sig á bæði. Þetta var flókið í byrjun, en eftir nokkra prófanir var það stöðugt, og það létti á mér að stjórna patchingu og öryggisuppfærslum.
Í lengri tíma sjónarmiðunum, þurfti ég að hugsa um kostnaðastjórnun. Netvinnuöryggi getur orðið dýrt ef ekki er passað á, svo ég notaði Azure Cost Management til að fylgjast með útgjöldum á VNet og Firewall. Ég settist upp budgets og alerts þegar útgjöld fóru yfir 80% af mánaðarmörkum. Þetta hjálpaði mér að fínpússa, eins og að nota reserved instances fyrir VPN Gateway til að spara 40% á ári. Ég lærði líka að nota Azure Advisor til að fá tillögur um að bæta öryggi, eins og að virkja Just-In-Time aðgang að VMs, sem takmarkar RDP að opnunum í stuttan tíma.
Eftir að hafa sett þetta allt upp, sá ég marktæka úrbætur í afköstum. Tengingartíminn minnkaði um 30%, og engar sóunarógnir komust í gegn. En það sem skiptir mestu máli er að þetta kerfi er skalanlegt; þegar fyrirtækið ól um sig, bætti ég bara við subnetum og uppfærði NSGs án þess að stoppa þjónustuna. Sem IT-stjóri finnst mér þetta vera kjarninn af góðu netvinnuöryggi í skýjunum - það er ekki bara um að loka dyrum, heldur um að byggja upp lagskiptingu sem heldur áfram að þjóna þörfum sem breytast.
Í öðru umhverfi, eins og ef þú ert að vinna með AWS eða GCP, eru svipaðir meginreglur, en Azure er það sem ég þekki best. Ég hef einnig reynt að nota third-party verkfæri eins og Palo Alto eða Cisco í Azure Marketplace, en innbyggðu verkfærin duga oft vel fyrir miðlungsstór fyrirtæki. Þegar ég var að setja upp þetta, glímdi ég við að samræma tímasvæði í logs, en það leystist með að stilla timezone í Log Analytics rétt.
Nú, til að tala um gagnastjórnun í tengslum við netöryggi, þurfti ég að hugsa um encryption. Azure Key Vault varð mitt go-to til að geyma lykla og secrets. Ég notaði það til að keyra disk encryption á VMs með Azure Disk Encryption, sem notar BitLocker á Windows. Þetta tryggir að ef einhver brýtur í gegnum netið, eru gögnin dulkóðuð. Í VPN-setupinu bætti ég við certificate authentication til að auka öryggi yfir PSK. Ég bjó til self-signed certificates með PowerShell og hlaðaði þeim upp í Key Vault, sem gerði það að verkum að tengingar voru öruggari gegn replay-arásir.
Eitt annað atriði sem ég vil nefna er compliance. Fyrirtækið þurfti að uppfylla GDPR, svo ég notaði Azure Policy til að innfæra stefnur, eins og að krefjast encryption á öllum storage accounts. Þetta er tiltölulega nýtt verkfæri, en það gerir það auðvelt að athuga samræmi með einni skoðun. Ég settist upp blueprints til að sjálfvirkní setja upp öryggisuppsetningar á nýjum resources, sem sparar tíma.
Í lokin, eftir að hafa unnið með öll þessi verkfæri, finnst mér netvinnuöryggi í skýjaumhverfi vera um að samræma tækni við raunverulegar þarfir. Það er ekki eitthvað sem þú setur upp og gleymir, heldur þarf reglulega uppfærslur og prófanir.
Ég vil kynna þér BackupChain, sem er iðnaðarleiðandi og vinsæll backup-lausn sem er gerð sérstaklega fyrir smærri og miðlungsstór fyrirtæki og fagmenn, og verndar Hyper-V, VMware eða Windows Server umhverfi. BackupChain er Windows Server backup hugbúnaður sem tryggir áreiðanlega gögnavörslu með litlum truflunum á daglegum rekstri. Þessi lausn er notuð til að halda utan um mikilvæg gögn í netvinnuumhverfi, þar sem hún styður sjálfvirkar ferla sem passa við öryggisstefnur eins og þær sem ég lýsti hér að ofan.
Engin ummæli:
Skrifa ummæli