“要想富，先修路”——云端與 IDC 相同，網(wǎng)絡(luò)先行，很多用戶在上云時并沒有做好安全的前期規(guī)劃導致埋下了安全隱患。

　　“擒賊先擒王”——論述 Azure 的網(wǎng)絡(luò)安全架構(gòu)，為什么從 DMZ 區(qū)域設(shè)計實踐說起？DMZ 區(qū)域是整個網(wǎng)絡(luò)安全設(shè)計中的重點，流量屬性最復雜，安全重要性最高。

　　“一副好牌，也要打得漂亮”——關(guān)于云原生，很多用戶上云后希望更多采用云平臺第一方的托管服務，過去一年多的時間 Azure 在安全產(chǎn)品上有很多新產(chǎn)品發(fā)布，也希望幫助用戶了解 Azure 上有哪些牌，并將這副牌打好。

　　如果我們把運行在云端的應用服務按照服務對象來分類的話，一類是暴露給互聯(lián)網(wǎng)用戶使用的外網(wǎng)應用，一類是暴露給內(nèi)網(wǎng)用戶使用的內(nèi)網(wǎng)應用。如果我們按照相同的安全策略進行管理，外網(wǎng)應用處于眾矢之的，一旦被攻破其會成為滲透內(nèi)網(wǎng)的跳板。其實整個網(wǎng)絡(luò)安全中分而治之的概念貫穿在方方面面，Zero-Trust Sercurity（零信任安全）中做了任何人、應用都可能成為安全潛在危險的假設(shè)，所以在進行網(wǎng)絡(luò)安全涉及的時候我們應該以按需分配的原則，為用戶，應用系統(tǒng)進行分類，以最小權(quán)限分配原則將安全策略分配到用戶，應用系統(tǒng)上。在承載系統(tǒng)的 Azure VNet 中外網(wǎng)應用和內(nèi)網(wǎng)應用首先通過子網(wǎng)劃分的方式將 VNet 拆分為多個 Segment（分段），通過分段便于我們對分段內(nèi)的系統(tǒng)使能不同的安全策略，在這里我們定義外網(wǎng)應用分段為 DMZ-Subnet，內(nèi)網(wǎng)應用分段為 Others-Subnet。

　　當擁有分段后，按照外網(wǎng)應用分段（DMZ-Subnet）和內(nèi)網(wǎng)應用分段（Others-Subnet）來定義不同的訪問安全策略。在傳統(tǒng)數(shù)據(jù)中心中 DMZ 區(qū)域通常通過防火墻來實現(xiàn)，通過定義不同的區(qū)域（Zone），來實現(xiàn)訪問的隔離。在 Azure VNet 中沒有區(qū)域的概念，我們可以不同的分段即 Subnet 映射為傳統(tǒng)的區(qū)域即（Zone）的概念。在 DMZ 實踐中，通過定義訪問策略來實現(xiàn)安全隔離，一般的策略邏輯為：允許互聯(lián)網(wǎng)訪問 DMZ 區(qū)域，允許內(nèi)網(wǎng)區(qū)域訪問 DMZ 區(qū)域，不允許 DMZ 區(qū)域訪問內(nèi)網(wǎng)區(qū)域。上述邏輯的實現(xiàn)可以通過 Azure NSG（網(wǎng)絡(luò)安全組服務）來實現(xiàn)，在 NSG 中我們可以定義訪問策略規(guī)則，邏輯與傳統(tǒng)防火墻 ACL 一致。Azure NSG 規(guī)則可以使能在 Subnet 上或虛擬主機的 Nic 上，從使用實踐上對于整個分段即 Subnet 內(nèi)所有虛擬主機一致的策略建議配置在 Subnet 上，對于個別主機的特殊策略配置在 Nic 上，這樣簡單且易于管理。

　　在上述的 NSG 訪問策略規(guī)則規(guī)劃中，我們還有很多留白的區(qū)域，如 DMZ-DMZ 即 DMZ 區(qū)域內(nèi)部的互訪，Others-Others 即內(nèi)網(wǎng)區(qū)域內(nèi)部的互訪，以及 DMZ，Others 到 Internet 的訪問。我們先來看下內(nèi)網(wǎng)場景，多組應用系統(tǒng)雖然同時歸屬在相同分段但它們之間未必存在依賴（即不存在互訪需求），按照零信任網(wǎng)絡(luò)模型最小訪問權(quán)限原則，在同分段內(nèi)不同應用系統(tǒng)之間也需要進行訪問控制策略隔離。如法炮制，分段！前面我們通過 Subnet 實現(xiàn)了分段，在 Subnet 內(nèi)的系統(tǒng)我們繼續(xù)分段，這里我們稱之為微分段（Micro-Segment）。在傳統(tǒng)網(wǎng)絡(luò)實踐中通常是對同 Subnet 內(nèi)的主機設(shè)置基于 IP 地址的明細訪問規(guī)則，這種做法可以達到安全目標但不易于維護，隨著主機數(shù)量的增多，規(guī)則數(shù)量將成比例激增，后期不宜與維護管理。Azure 中的 Application Security Group 功能為微分段的實現(xiàn)帶來了便利，用戶可以將虛擬主機按照微分段創(chuàng)建相應的 Application Security Group，然后在 NSG 策略中直接通過 Application Security Group 來定義訪問策略，訪問安全策略的定義剝離了 IP 的依賴，使后期維護變得簡單快捷。

　　通過微分段實現(xiàn)分段內(nèi)部的安全訪問控制，可以進一步加固網(wǎng)絡(luò)安全。下面我們來看一下 DMZ 和 Others 分段訪問 Internet 的安全設(shè)計。在傳統(tǒng)數(shù)據(jù)中心內(nèi)這部分我們稱之為互聯(lián)網(wǎng)邊緣（Internet Edge），通過防火墻來實現(xiàn) DMZ 和 Others 向互聯(lián)網(wǎng)的訪問，隨著安全產(chǎn)品的不斷發(fā)展演進，從三四層防御到應用感知的七層防御，從靜態(tài)策略到動態(tài)策略，不斷的來加固和提升企業(yè)網(wǎng)絡(luò)的安全等級。在Azure 中可以通過 Azure Firewall （防火墻服務）來實現(xiàn)，Azure Firewall 可以提供訪問日志審計，F(xiàn)QDN 訪問控制策略，基于 IP 信譽的安全策略等功能，實現(xiàn) VNet 內(nèi)向 Internet 訪問的安全防護。

　　上述設(shè)計中所有的安全訪問策略主要針對的都是對于與業(yè)務流量的策略，當今很多安全事件都是從控制層面發(fā)起了滲透，比如主機被破解 SSH/RDP 登錄等。所以從整個安全設(shè)計上，外網(wǎng)區(qū)域，內(nèi)網(wǎng)區(qū)域的隔離其實體現(xiàn)最小范圍的將應用暴露在公網(wǎng)，那么不具備公網(wǎng)訪問的主機如何進行管理？市場上有很多成熟的跳板機解決方案解決的就是遠程登陸管理的問題，在 Azure 中 Bastion 服務可以提供跳板機服務，可以幫助管理員用戶通過指定的入口對 VNet 內(nèi)的主機進行管理。Bastion 服務作為托管的跳板機服務，將管理員用戶的訪問聚合到統(tǒng)一入口，對于 VNet 內(nèi)部的主機只需要放行對于 Bastion 服務地址的登錄訪問即可。

　　前面的設(shè)計中，我們通過分段和微分段的方式實現(xiàn)了對虛擬主機訪問的分而治之。對于 Azure 中的 PaaS 服務，實現(xiàn)方式略有不同，默認情況下 Azure PaaS 服務暴露的是一個公網(wǎng)訪問的 Endpoint，用戶可以在 PaaS 服務內(nèi)置的 Firewall 防火墻訪問策略內(nèi)設(shè)置允許訪問的客戶端 IP 白名單，但由于暴露在公網(wǎng)仍然存在被別人掃描的可能性。所以建議用戶采用 Azure Private Link，將 Azure PaaS 服務的訪問 Endpoint 鎖定到 VNet 內(nèi)部只暴露內(nèi)網(wǎng)訪問節(jié)點，從而實現(xiàn)與虛擬主機一樣的內(nèi)網(wǎng)隔離設(shè)計。

　　除此之外 Web 七層安全防御以及 DDoS 防御也是受到普遍關(guān)注的安全實踐，Azure WAF （Web 安全防火墻服務）和 Azure DDoS 服務（拒絕服務攻擊防御服務）可以幫助用戶實現(xiàn)防御。Azure WAF 支持在 Azure FrontDoor 服務以及 Azure Application Gateway 服務上開啟，對于面向互聯(lián)網(wǎng) 2C 應用，WAF on FrontDoor 可以借助 FrontDoor 服務的全球接入點實現(xiàn)全球分布式近緣防御。Azure DDoS 服務借助微軟云全球豐富的網(wǎng)絡(luò)帶寬資源，結(jié)合基于機器學習的自適應流量策略模型為用戶提供全球性的 DDoS 保護服務。

　　DMZ 的設(shè)計就完成了，意味著我們借助 Azure 第一方的網(wǎng)絡(luò)安全組件以零信任網(wǎng)絡(luò)模型為基準構(gòu)建了安全可靠的網(wǎng)絡(luò)環(huán)境。但是，安全無小事，安全事無巨細，更多關(guān)于身份安全，數(shù)據(jù)安全的話題，且聽下回分解。