Netzwerksegmentierung in Azure

Unternehmen, die ihre Anwendungen in der Cloud bereitstellen wollen, und einen externen Zugriff (z. B. für das Internet oder das lokale Netzwerk) benötigen, sind dem Risiko von Angriffen ausgesetzt, die aus diesen Umgebungen resultieren. Deshalb ist es wichtig, den Datenverkehr auf gefährliche Nutzlasten oder Logik zu überprüfen. Azure bietet dazu Dienste wie Azure DDoS Protection, Azure Firewall (Standard/ Premium) und Azure Web Application (WAF) Firewall an.

Netzwerksegmentierung ist der übergreifende Ansatz für Azure Ressourcen. Innerhalb von Azure können diese auf Abonnementebene isoliert werden und mit Hilfe von virtuellen Netzwerken, Peering-Regeln für virtuelle Netzwerke, Network Security Groups (NSG), Application Security Groups (ASG) und z.B. einer Azure Firewall oder 3rd Party Firewall segmentiert und abgesichert werden. Durch die Implementierung von Umgebungs-Perimetern wird die „Komplexität“ für Angreifer, die sich im Netzwerk bewegen, erhöht und die Ausbreitung von Bedrohungen drastisch reduziert.

Bestandteile und Beispiele für die Segmentierung:

Abonnement/Management Groups

(Logische Isolierung der Umgebung)

Eine Subscription oder ein Abonnement ist eine mit Microsoft geschlossene Vereinbarung zur Nutzung der von Microsoft bereitgestellten Cloudplattformen.

 Beispiel „Logische Isolierung“
Beispiel „Logische Isolierung“

Virtuelles Netzwerk

(Isolierung der Netzwerkumgebung für virtuelle Computer und Anwendungen)

Ein virtuelles Netzwerk ist eine logische Isolierung der Azure-Cloud für das Abonnement. In Azure-Abonnements und -Regionen können so jeweils mehrere virtuelle Netzwerke zum Einsatz kommen. Damit wird jedes virtuelle Netzwerk von den anderen virtuellen Netzwerken isoliert.

Beispiel „Hub-and-Spoke“ Netzwerk in Azure:
Beispiel „Hub-and-Spoke“ Netzwerk in Azure

Innerhalb des virtuellen Netzwerkes werden zudem Subnetze zur Partitionierung von Applikationen erstellt, damit bestimmte Komponenten einer Anwendung über eigene Sicherheitseinstellungen verfügen können.

Beispiel „Applikationspartitionierung“
Beispiel „Applikationspartitionierung“

Network Security Groups

(Erzwingen und Steuern von Sicherheits-Regeln für den Netzwerkdatenverkehr)

Eine Azure NSG besteht aus Richtlinien für den Zugriff auf Azure Ressourcen. Die Richtlinien sind vergleichbar mit Access-Policies bei einer Firewall und bestehen aus eingehenden und ausgehenden Regeln. Grundsätzlich basieren die Regeln auf Quell- und Ziel-IP-Adressen (Bereichen) in Kombination mit einer Portfreigabe, dem Protokoll (TCP/UDP/ICMP/ESP/AH oder ANY) und der Richtlinienpriorisierung. Die NSG kann auf ein Subnetz eines virtuellen Netzwerkes und auf jeder Netzwerkschnittstelle eines virtuellen Computers angewendet werden.

Beispiel „NSG HTTP und HTTPS“
Beispiel „NSG HTTP und HTTPS“

Application Security Groups

(Definieren von Richtlinien auf Basis Workloads)

Eine ASG benötigt als Basis eine Network Security Group für die Azure Ressource. Der Vorteil einer ASG besteht darin, dass sie nach Bedarf wiederverwendbar ist, nicht aus expliziten IP-Adressen besteht und damit die Anzahl der erforderlichen Sicherheitsregeln und Änderungen minimieren kann. Wird eine ASG als Quelle und Ziel innerhalb einer NSG verwendet, müssen sich die Netzwerkschnittstellen in beiden Application Security Groups jedoch im gleichen virtuellen Netzwerk befinden. Dies gilt auch innerhalb einer ASG.

Beispiel „ASG Web und DB“
Beispiel „ASG Web und DB“

Firewall

(Erstellen und Erzwingen von Verbindungs-Richtlinien mithilfe von Filterregeln)

Die Azure Firewall ist ein verwalteter, cloudbasierter Netzwerksicherheitsdienst, der die Azure Virtual Network-Ressourcen schützt. Es ist eine vollständig zustandsbehaftete Firewall-as-a-Service mit integrierter Hochverfügbarkeit und uneingeschränkter Cloudskalierbarkeit. Im Gegensatz zu aktuellen 3rd-Party-Lösungen basiert die Azure Firewall nicht auf IaaS (Infrastructure-as-a-Service). Es ist eine reine Softwarelösung. Ihr Vorteil liegt klar in ihrer Verfügbarkeit. Bei der Implementierung einer Firewall-Appliance in Azure kann der gesamte Netzwerkverkehr über die Firewall geroutet werden. Wird nur eine Instance der Appliance ausgeführt, kann dies zum Single Point of Failure führen. Nicht alle 3rd-Party-Lösungen unterstützen die Redundanz jedoch (High Availability innerhalb der Firewall selbst). Meist wird ein Konstrukt aus einem externen Gateway/Load-Balancer und internen Load-Balancer benötigt, der dann die Single-Firewall-Nodes händelt.  Nachteil der IaaS-Lösung ist allerdings das separate Management, während 3rd-Party-Lösungen in die vorhandene Struktur (zentrales Management) überführt werden können. Je nach Firewall-Anbieter und -Nutzung sind natürlich auch die Kosten zu berücksichtigen.

Azure Firewall
Azure Firewall

Firewall Richtlinien können auf verschiedene Arten erstellt werden. Über das Azure Portal, per Rest-Api, mithilfe von Vorlagen, per Azure PowerShell oder über die Befehlszeilenschnittstelle.

Verarbeitungslogik Firewall Regeln:

  • NAT-Regeln (DNAT-Regeln) werden vor Netzwerkregeln verarbeitet
  • Netzwerkregeln werden vor Anwendungsregeln verarbeitet

Beispiel „Richtlinien Set Azure Firewall (Classic)“

Network Rule Collection

Eine Network Rule Collection kann aus mehreren Regeln bestehen, die dann den erlaubten oder auch nicht erlaubten Netzwerkverkehr regeln.

Die Regeln innerhalb der Network Rule Collection basieren auf Ziel- und Quell-IP-Adressen, TCP/UDP Ports, Action (Allow/Deny) und der Priorität.

Application Rule Collection

Eine Application Rule Collection kann ebenfalls aus mehreren Regeln bestehen. Sie steuert den Netzwerkverkehr anhand von definierten Gruppen (IP-Adressen der Ziel-Systeme), Ports, Action (Allow/Deny) und Priorität.

Verwendete ASG’s Entscheidungen, sodass Systeme mit gleichen Anwendungen bzw. benötigten Ports gruppiert werden und die gleichen NSG´s erhalten. Damit verringert sich der Aufwand und die Übersichtlichkeit wird erhöht.

Die Netzwerksegmentierung in Azure soll die Basis für den Weg in die Cloud bilden. Aber auch in einer hybriden Umgebung ist die Segmentierung im Netzwerbereich der lokalen Struktur Basis der Kommunikation. Die Workloads sollten dabei immer nach dem Zero Trust Ansatz “alles ist UNTRUST” migriert und aufgebaut werden, sodass das sichere Betreiben der Umgebung gewährleistet werden kann. Dies ist ein wichtiger Bestandteil der Cloud-Transformation.