“要想富，先修路”——云端與 IDC 相同，網(wǎng)絡(luò)先行，很多用戶在上云時(shí)并沒有做好安全的前期規(guī)劃導(dǎo)致埋下了安全隱患。

　　“擒賊先擒王”——論述 Azure 的網(wǎng)絡(luò)安全架構(gòu)，為什么從 DMZ 區(qū)域設(shè)計(jì)實(shí)踐說起？DMZ 區(qū)域是整個(gè)網(wǎng)絡(luò)安全設(shè)計(jì)中的重點(diǎn)，流量屬性最復(fù)雜，安全重要性最高。

　　“一副好牌，也要打得漂亮”——關(guān)于云原生，很多用戶上云后希望更多采用云平臺(tái)第一方的托管服務(wù)，過去一年多的時(shí)間 Azure 在安全產(chǎn)品上有很多新產(chǎn)品發(fā)布，也希望幫助用戶了解 Azure 上有哪些牌，并將這副牌打好。

　　如果我們把運(yùn)行在云端的應(yīng)用服務(wù)按照服務(wù)對(duì)象來分類的話，一類是暴露給互聯(lián)網(wǎng)用戶使用的外網(wǎng)應(yīng)用，一類是暴露給內(nèi)網(wǎng)用戶使用的內(nèi)網(wǎng)應(yīng)用。如果我們按照相同的安全策略進(jìn)行管理，外網(wǎng)應(yīng)用處于眾矢之的，一旦被攻破其會(huì)成為滲透內(nèi)網(wǎng)的跳板。其實(shí)整個(gè)網(wǎng)絡(luò)安全中分而治之的概念貫穿在方方面面，Zero-Trust Sercurity（零信任安全）中做了任何人、應(yīng)用都可能成為安全潛在危險(xiǎn)的假設(shè)，所以在進(jìn)行網(wǎng)絡(luò)安全涉及的時(shí)候我們應(yīng)該以按需分配的原則，為用戶，應(yīng)用系統(tǒng)進(jìn)行分類，以最小權(quán)限分配原則將安全策略分配到用戶，應(yīng)用系統(tǒng)上。在承載系統(tǒng)的 Azure VNet 中外網(wǎng)應(yīng)用和內(nèi)網(wǎng)應(yīng)用首先通過子網(wǎng)劃分的方式將 VNet 拆分為多個(gè) Segment（分段），通過分段便于我們對(duì)分段內(nèi)的系統(tǒng)使能不同的安全策略，在這里我們定義外網(wǎng)應(yīng)用分段為 DMZ-Subnet，內(nèi)網(wǎng)應(yīng)用分段為 Others-Subnet。

　　當(dāng)擁有分段后，按照外網(wǎng)應(yīng)用分段（DMZ-Subnet）和內(nèi)網(wǎng)應(yīng)用分段（Others-Subnet）來定義不同的訪問安全策略。在傳統(tǒng)數(shù)據(jù)中心中 DMZ 區(qū)域通常通過防火墻來實(shí)現(xiàn)，通過定義不同的區(qū)域（Zone），來實(shí)現(xiàn)訪問的隔離。在 Azure VNet 中沒有區(qū)域的概念，我們可以不同的分段即 Subnet 映射為傳統(tǒng)的區(qū)域即（Zone）的概念。在 DMZ 實(shí)踐中，通過定義訪問策略來實(shí)現(xiàn)安全隔離，一般的策略邏輯為：允許互聯(lián)網(wǎng)訪問 DMZ 區(qū)域，允許內(nèi)網(wǎng)區(qū)域訪問 DMZ 區(qū)域，不允許 DMZ 區(qū)域訪問內(nèi)網(wǎng)區(qū)域。上述邏輯的實(shí)現(xiàn)可以通過 Azure NSG（網(wǎng)絡(luò)安全組服務(wù)）來實(shí)現(xiàn)，在 NSG 中我們可以定義訪問策略規(guī)則，邏輯與傳統(tǒng)防火墻 ACL 一致。Azure NSG 規(guī)則可以使能在 Subnet 上或虛擬主機(jī)的 Nic 上，從使用實(shí)踐上對(duì)于整個(gè)分段即 Subnet 內(nèi)所有虛擬主機(jī)一致的策略建議配置在 Subnet 上，對(duì)于個(gè)別主機(jī)的特殊策略配置在 Nic 上，這樣簡單且易于管理。

　　在上述的 NSG 訪問策略規(guī)則規(guī)劃中，我們還有很多留白的區(qū)域，如 DMZ-DMZ 即 DMZ 區(qū)域內(nèi)部的互訪，Others-Others 即內(nèi)網(wǎng)區(qū)域內(nèi)部的互訪，以及 DMZ，Others 到 Internet 的訪問。我們先來看下內(nèi)網(wǎng)場景，多組應(yīng)用系統(tǒng)雖然同時(shí)歸屬在相同分段但它們之間未必存在依賴（即不存在互訪需求），按照零信任網(wǎng)絡(luò)模型最小訪問權(quán)限原則，在同分段內(nèi)不同應(yīng)用系統(tǒng)之間也需要進(jìn)行訪問控制策略隔離。如法炮制，分段！前面我們通過 Subnet 實(shí)現(xiàn)了分段，在 Subnet 內(nèi)的系統(tǒng)我們繼續(xù)分段，這里我們稱之為微分段（Micro-Segment）。在傳統(tǒng)網(wǎng)絡(luò)實(shí)踐中通常是對(duì)同 Subnet 內(nèi)的主機(jī)設(shè)置基于 IP 地址的明細(xì)訪問規(guī)則，這種做法可以達(dá)到安全目標(biāo)但不易于維護(hù)，隨著主機(jī)數(shù)量的增多，規(guī)則數(shù)量將成比例激增，后期不宜與維護(hù)管理。Azure 中的 Application Security Group 功能為微分段的實(shí)現(xiàn)帶來了便利，用戶可以將虛擬主機(jī)按照微分段創(chuàng)建相應(yīng)的 Application Security Group，然后在 NSG 策略中直接通過 Application Security Group 來定義訪問策略，訪問安全策略的定義剝離了 IP 的依賴，使后期維護(hù)變得簡單快捷。

　　通過微分段實(shí)現(xiàn)分段內(nèi)部的安全訪問控制，可以進(jìn)一步加固網(wǎng)絡(luò)安全。下面我們來看一下 DMZ 和 Others 分段訪問 Internet 的安全設(shè)計(jì)。在傳統(tǒng)數(shù)據(jù)中心內(nèi)這部分我們稱之為互聯(lián)網(wǎng)邊緣（Internet Edge），通過防火墻來實(shí)現(xiàn) DMZ 和 Others 向互聯(lián)網(wǎng)的訪問，隨著安全產(chǎn)品的不斷發(fā)展演進(jìn)，從三四層防御到應(yīng)用感知的七層防御，從靜態(tài)策略到動(dòng)態(tài)策略，不斷的來加固和提升企業(yè)網(wǎng)絡(luò)的安全等級(jí)。在Azure 中可以通過 Azure Firewall （防火墻服務(wù)）來實(shí)現(xiàn)，Azure Firewall 可以提供訪問日志審計(jì)，F(xiàn)QDN 訪問控制策略，基于 IP 信譽(yù)的安全策略等功能，實(shí)現(xiàn) VNet 內(nèi)向 Internet 訪問的安全防護(hù)。

　　上述設(shè)計(jì)中所有的安全訪問策略主要針對(duì)的都是對(duì)于與業(yè)務(wù)流量的策略，當(dāng)今很多安全事件都是從控制層面發(fā)起了滲透，比如主機(jī)被破解 SSH/RDP 登錄等。所以從整個(gè)安全設(shè)計(jì)上，外網(wǎng)區(qū)域，內(nèi)網(wǎng)區(qū)域的隔離其實(shí)體現(xiàn)最小范圍的將應(yīng)用暴露在公網(wǎng)，那么不具備公網(wǎng)訪問的主機(jī)如何進(jìn)行管理？市場上有很多成熟的跳板機(jī)解決方案解決的就是遠(yuǎn)程登陸管理的問題，在 Azure 中 Bastion 服務(wù)可以提供跳板機(jī)服務(wù)，可以幫助管理員用戶通過指定的入口對(duì) VNet 內(nèi)的主機(jī)進(jìn)行管理。Bastion 服務(wù)作為托管的跳板機(jī)服務(wù)，將管理員用戶的訪問聚合到統(tǒng)一入口，對(duì)于 VNet 內(nèi)部的主機(jī)只需要放行對(duì)于 Bastion 服務(wù)地址的登錄訪問即可。

　　前面的設(shè)計(jì)中，我們通過分段和微分段的方式實(shí)現(xiàn)了對(duì)虛擬主機(jī)訪問的分而治之。對(duì)于 Azure 中的 PaaS 服務(wù)，實(shí)現(xiàn)方式略有不同，默認(rèn)情況下 Azure PaaS 服務(wù)暴露的是一個(gè)公網(wǎng)訪問的 Endpoint，用戶可以在 PaaS 服務(wù)內(nèi)置的 Firewall 防火墻訪問策略內(nèi)設(shè)置允許訪問的客戶端 IP 白名單，但由于暴露在公網(wǎng)仍然存在被別人掃描的可能性。所以建議用戶采用 Azure Private Link，將 Azure PaaS 服務(wù)的訪問 Endpoint 鎖定到 VNet 內(nèi)部只暴露內(nèi)網(wǎng)訪問節(jié)點(diǎn)，從而實(shí)現(xiàn)與虛擬主機(jī)一樣的內(nèi)網(wǎng)隔離設(shè)計(jì)。

　　除此之外 Web 七層安全防御以及 DDoS 防御也是受到普遍關(guān)注的安全實(shí)踐，Azure WAF （Web 安全防火墻服務(wù)）和 Azure DDoS 服務(wù)（拒絕服務(wù)攻擊防御服務(wù)）可以幫助用戶實(shí)現(xiàn)防御。Azure WAF 支持在 Azure FrontDoor 服務(wù)以及 Azure Application Gateway 服務(wù)上開啟，對(duì)于面向互聯(lián)網(wǎng) 2C 應(yīng)用，WAF on FrontDoor 可以借助 FrontDoor 服務(wù)的全球接入點(diǎn)實(shí)現(xiàn)全球分布式近緣防御。Azure DDoS 服務(wù)借助微軟云全球豐富的網(wǎng)絡(luò)帶寬資源，結(jié)合基于機(jī)器學(xué)習(xí)的自適應(yīng)流量策略模型為用戶提供全球性的 DDoS 保護(hù)服務(wù)。

　　DMZ 的設(shè)計(jì)就完成了，意味著我們借助 Azure 第一方的網(wǎng)絡(luò)安全組件以零信任網(wǎng)絡(luò)模型為基準(zhǔn)構(gòu)建了安全可靠的網(wǎng)絡(luò)環(huán)境。但是，安全無小事，安全事無巨細(xì)，更多關(guān)于身份安全，數(shù)據(jù)安全的話題，且聽下回分解。