Azure ExpressRoute 支持本地基础结构与Microsoft云服务之间的专用高性能连接,从而绕过公共 Internet。 虽然这种专用连接增强了安全性和可靠性,但必须实施最佳做法来保护部署免受潜在威胁。
本指南提供保护 Azure ExpressRoute 部署的可作建议,包括网络安全、标识管理、数据保护、日志记录和威胁检测、资产管理以及备份和恢复等关键领域。 通过遵循这些准则,可以加强安全态势,确保合规性并保持运营连续性。
网络安全
ExpressRoute 的网络安全性涉及适当的分段、流量流控制和监视,以保护混合连接。 由于 ExpressRoute 与虚拟网络集成,因此保护网络层对于保持隔离并防止对云资源进行未经授权的访问至关重要。
为 ExpressRoute Direct 配置 MACsec 加密:在 ExpressRoute Direct 连接上启用 MACsec(媒体访问控制安全性)加密,以在网络设备和Microsoft边缘路由器之间添加第 2 层加密。 将 MACsec 密钥安全地存储在 Azure Key Vault 中。 在 配置 ExpressRoute Direct 的 MACsec 加密中了解详细信息。
在专用子网中部署 ExpressRoute 网关:ExpressRoute 网关部署到虚拟网络中,默认提供安全连接。 网关子网(GatewaySubnet)配置了适当的安全控制。 有关详细信息,请参阅 ExpressRoute 网关。
使用网络安全组控制流量:将网络安全组(NSG)应用于通过 ExpressRoute 连接的资源的子网,以通过端口、协议和源 IP 地址限制流量。 创建 NSG 规则以默认拒绝所有入站流量,并仅允许必要的通信。 有关详细信息,请参阅 网络安全组概述。
使用 Azure 防火墙或网络虚拟设备(NVA):部署 Azure 防火墙或第三方网络虚拟设备(NVA),以添加应用程序级筛选、威胁智能和日志记录等安全控制措施。 这些设备通过 ExpressRoute 检查流量并应用高级安全策略。 有关详细信息,请参阅 Azure 防火墙概述。
注释
不能直接在 GatewaySubnet 上配置 NSG。
实现网络分段:使用虚拟网络对等互连和路由表来控制通过 ExpressRoute 连接的网段之间的流量流。 这会隔离敏感工作负荷并限制安全事件的影响。 有关详细信息,请参阅 虚拟网络对等互连 和 路由表。
配置区域冗余虚拟网络网关:跨可用性区域部署 ExpressRoute 虚拟网络网关,以确保容错和高可用性。 即使一个可用性区域发生中断,区域冗余网关也会保持连接正常运行。 有关详细信息,请参阅 区域冗余虚拟网络网关。
使用不同的 ExpressRoute 服务提供商:为每个线路选择不同的服务提供商,以确保不同的路径,并降低单个提供商中断导致网络停机的风险。 有关详细信息,请参阅 ExpressRoute 位置和服务提供商。
监视 ExpressRoute 连接:启用诊断日志记录和监视以跟踪连接运行状况、性能和安全事件。 若要了解更多信息,请参阅 监视 Azure ExpressRoute。
标识管理
ExpressRoute 不支持对数据平面访问进行传统的基于标识的身份验证,因为它在网络层运行。 但是,适当的标识管理对于控制对 ExpressRoute 资源和相关服务(如用于 MACsec 配置的 Azure Key Vault)的访问至关重要。
使用 Azure RBAC 进行管理作:应用基于角色的访问控制来限制谁可以创建、修改或删除 ExpressRoute 线路和网关。 将所需的最低权限分配给用户和服务帐户。 有关详细信息,请参阅 Azure 基于角色的访问控制(RBAC)。
使用 Azure Key Vault 保护 MACsec 机密:在 Azure Key Vault 中安全地存储 MACsec 加密密钥,而不是将它们嵌入配置文件中。 ExpressRoute 使用托管标识通过 Key Vault 进行身份验证,以检索这些机密。 有关详细信息,请参阅 为 ExpressRoute Direct 配置 MACsec 加密。
实现管理的条件访问:使用 Microsoft Entra 条件访问策略根据用户位置、设备符合性和风险级别控制对 ExpressRoute 资源的管理访问权限。 这有助于确保只有经过授权的用户才能管理 ExpressRoute 线路和网关。 有关详细信息,请参阅 条件访问。
数据保护
ExpressRoute 提供专用连接,但默认情况下不会加密传输中的数据。 添加加密和安全措施,以保护敏感数据,因为它在本地环境和 Azure 服务之间流动。
配置 MD5 哈希身份验证:在设置专用对等互连或Microsoft对等互连时使用 MD5 哈希身份验证来保护本地路由器与 Microsoft Enterprise Edge (MSEE) 路由器之间的消息。 这可确保数据完整性,并防止在传输过程中被篡改。 在 ExpressRoute 路由要求中了解详细信息。
通过 ExpressRoute 实现 IPsec VPN:若要通过 ExpressRoute 专用对等互连添加加密,请设置使用 ExpressRoute 线路作为传输的 VPN 连接。 这会为流量添加端到端加密。 详细了解 如何使用 S2S VPN 作为 ExpressRoute 专用对等互连的备份。
加密应用程序层上的敏感数据:由于 ExpressRoute 不提供应用程序层加密,因此请确保应用程序在使用 TLS/SSL 或特定于应用程序的加密方法传输之前加密敏感数据。
日志记录和威胁检测
监视 ExpressRoute 连接和相关网络活动对于检测潜在安全威胁和维护合规性至关重要。 正确的日志记录有助于识别可能指示安全事件的异常流量模式和连接问题。
启用 ExpressRoute 资源日志:设置诊断设置,以将 ExpressRoute 资源日志发送到 Azure Monitor、Log Analytics 或 Azure 存储进行分析和保留。 这些日志显示连接事件和性能指标。 若要了解更多信息,请参阅 监视 Azure ExpressRoute。
为服务运行状况和连接问题设置警报:使用 Azure Monitor 为 ExpressRoute 线路中断、性能下降、配置更改以及计划内和计划外维护事件配置警报。 这些警报可帮助你主动管理连接和安全状况。 有关详细信息,请参阅 监视 ExpressRoute 线路。
监视网络流量模式:使用 Azure 网络观察程序和流量分析通过 ExpressRoute 连接分析流量。 这有助于查找可能指示安全威胁或配置错误的异常模式。 有关详细信息,请参阅 Azure 网络观察程序 并使用 流量分析监视网络流量。
与 Microsoft Sentinel 集成:发送 ExpressRoute 日志以Microsoft Sentinel 来检测高级威胁,并将其与混合环境中的其他安全事件相关联。
资产管理
有效地管理 ExpressRoute 资源涉及实现适当的治理、监视配置,并确保符合组织策略。 适当的资产管理有助于维护安全架构和运营可视性。
实现资源标记:使用 Azure 资源标记来组织和跟踪 ExpressRoute 线路、网关和相关资源。 标记有助于实现成本管理、安全分类和运营责任。 有关详细信息,请参阅 Azure 资源标记。
跟踪线路利用率:监视带宽使用情况和连接模式,以发现可能表明安全威胁或操作问题的异常活动。
维护文档:保留 ExpressRoute 配置的详细记录,包括线路设置、路由策略和安全配置,以支持事件响应和合规性审核。
备份和恢复
通过实施备份解决方案和恢复过程,确保 ExpressRoute 连接的业务连续性。 尽管无法备份 ExpressRoute 线路,但请创建冗余连接选项和文档配置设置。
部署冗余的 ExpressRoute 线路:在不同的对等互连位置部署多个 ExpressRoute 线路,以实现高可用性和自动故障转移。 如果一条线路遇到问题,此方法可确保连接保持正常运行。 有关详细信息,请参阅 设计可复原的 ExpressRoute 连接。
实现 VPN 备份连接:将站点对站点 VPN 连接设置为 ExpressRoute 专用对等连接的备份。 如果主 ExpressRoute 线路发生故障,则此设置提供备用连接。 有关详细信息,请参阅 将 S2S VPN 用作 ExpressRoute 私有对等连接的备份。
测试故障转移过程:定期测试备份连接选项和故障转移过程,以确保在需要时正常工作。 使用 Azure 连接工具包等工具验证性能和连接性。 有关详细信息,请参阅 Azure 连接工具包。
文档配置设置:维护 ExpressRoute 配置的详细文档,包括线路设置、路由配置和安全策略。 如果出现配置问题或线路更换,本文档可加快恢复速度。 有关详细信息,请参阅 ExpressRoute 线路配置。
利用复原见解和恢复验证:使用 ExpressRoute 复原见解评估连接复原能力并验证恢复时间目标。 复原见解可帮助你识别配置差距、测试失败方案,并验证备份和故障转移解决方案是否满足业务恢复要求。 定期执行复原验证,以确保环境为中断做好准备,并且恢复过程有效。