Azure VPN 网关在本地网络与 Azure 虚拟网络之间或 Azure 虚拟网络之间提供安全的加密连接。 它支持使用行业标准 IPsec/IKE 协议的站点到站点 VPN 连接和点到站点 VPN 连接。 由于 VPN 网关充当网络流量的关键入口点,因此保护它对于保护整个 Azure 基础结构和维护传输中数据的机密性和完整性至关重要。
本文提供有关如何最好地保护 VPN 网关部署的指导。
网络安全
VPN 网关的网络安全性涉及实现多层保护,以保护网关基础结构和流经网关的流量。 适当的网络分段、访问控制和流量筛选有助于防止未经授权的访问并防范外部威胁。
使用虚拟网络实施网络分段:在设计良好的虚拟网络体系结构中部署 VPN 网关,该体系结构遵循企业分段原则。 在自己的虚拟网络中隔离高风险系统,并确保适当的网络边界与业务风险配置文件保持一致。 有关详细信息,请参阅 Azure 虚拟网络概述。
使用网络安全组保护流量:应用网络安全组(NSG),根据应用程序和企业分段策略限制和控制内部资源之间的流量。 对于高度安全的环境,请使用“默认拒绝、允许例外”方法。 有关详细信息,请参阅网络安全组。
使用 Azure 防火墙增强保护:将 Azure 防火墙与 VPN 网关一起部署,为云环境提供集中式网络层保护。 Azure 防火墙有助于筛选子网和虚拟机之间的流量,同时支持高可用性和可伸缩性。 有关详细信息,请参阅 Azure 防火墙概述。
启用 DDoS 防护:在虚拟网络上激活 Azure DDoS 标准保护,以防止分布式拒绝服务攻击。 DDoS 防护提供实时检测和自动缓解,以保护 VPN 网关和其他关键资源。 有关详细信息,请参阅 Azure DDoS 防护标准版概述。
安全地连接专用网络:结合使用 Azure ExpressRoute 和 VPN 网关在 Azure 数据中心与本地基础结构之间创建专用连接。 ExpressRoute 连接不会遍历公共 Internet,比典型的 Internet 连接更可靠、更快的速度和更低的延迟。 有关详细信息,请参阅 ExpressRoute 和 VPN 网关共存。
配置基于路由的 VPN 以提高安全性:使用基于路由的 VPN 网关而不是基于策略的网关来支持自定义 IPsec/IKE 策略、BGP 路由和多个隧道连接等高级功能。 基于路由的网关为复杂的网络拓扑提供更好的安全选项和灵活性。 有关详细信息,请参阅关于 VPN 网关配置设置。
实现主动-主动网关配置:在主动-主动模式下部署 VPN 网关,以确保高可用性并消除单一故障点。 此配置提供冗余,并在维护或意外故障期间维护连接。 有关详细信息,请参阅 “关于高度可用的连接”。
标识管理
VPN 网关的标识管理侧重于实现安全身份验证机制和集中标识控制。 适当的标识管理可确保只有经过授权的用户和设备才能建立 VPN 连接,同时保持无缝访问体验。
针对集中式标识管理的 Microsoft Entra ID 进行标准化:使用 Microsoft Entra ID 作为 VPN 网关身份验证的默认标识和访问管理服务。 这可确保跨 Microsoft 云资源(包括 Azure 门户、Azure 存储、虚拟机和 Key Vault)以及组织的应用程序进行一致的标识治理。 有关详细信息,请参阅 什么是Microsoft Entra ID?。
为点到站点 VPN 配置Microsoft Entra ID 身份验证:为 P2S VPN 连接启用 Microsoft Entra ID 身份验证,以提供单一登录功能和集中式用户管理。 这样,用户就可以使用其组织凭据进行身份验证,并支持条件访问策略。 有关详细信息,请参阅 为点到站点 VPN 配置Microsoft Entra ID 身份验证。
实现基于证书的身份验证:将基于证书的身份验证用作点到站点 VPN 连接的附加或替代身份验证方法。 这可提供强身份验证,而无需仅依赖用户名和密码,从而增强远程访问方案的安全性。 有关详细信息,请参阅 配置点到站点 VPN 的证书身份验证。
支持多种身份验证类型:为点到站点 VPN 配置多个身份验证类型,以在维护安全性的同时提供灵活性。 这样,可以根据不同的用户要求和风险配置文件将Microsoft Entra ID 身份验证与基于证书的身份验证相结合。 有关详细信息,请参阅 为点到站点 VPN 配置多个身份验证类型。
特权访问
VPN 网关的特权访问管理可确保正确控制和监视对网关资源的管理访问权限。 这包括实现基于角色的访问控制、实时访问原则和安全管理做法。
对 Azure RBAC 应用最低权限:使用 Azure 基于角色的访问控制(RBAC)管理对具有最低必要权限的 VPN 网关资源的访问权限。 尽可能分配内置角色,并仅在需要满足特定组织需求时才创建自定义角色。 有关详细信息,请参阅 Azure 内置角色。
监视特权活动:确保记录和监视与 VPN 网关管理相关的所有特权作,以便进行安全分析。 使用Microsoft Entra ID 审核日志和 Azure 活动日志跟踪管理更改并检测可疑行为。 有关详细信息,请参阅 Microsoft Entra ID 中的审核活动报告。
实现标识治理评审:对具有对 VPN 网关资源的提升权限的用户和组进行定期访问评审。 使用 Microsoft Entra ID 标识治理功能自动执行定期评审,并确保访问在一段时间内保持适当。 有关详细信息,请参阅 Microsoft Entra 访问评审。
数据保护
VPN 网关的数据保护侧重于确保传输中数据的强加密和维护加密符合性。 适当的数据保护可保护敏感信息,因为它通过 VPN 隧道传输并满足法规要求。
强制实施强加密标准:将 VPN 网关配置为使用强 IPsec/IKE 加密协议,包括用于数据加密的 AES-256 和 SHA-256 或更强的身份验证。 避免使用弱密码并确保配置符合行业标准和符合性要求。 有关详细信息,请参阅 关于加密要求和 Azure VPN 网关。
配置自定义 IPsec/IKE 策略:为 VPN 网关连接定义自定义加密策略,以满足特定的组织或法规要求。 可以使用 Azure 门户、PowerShell 或 Azure CLI 配置这些策略,以确保所有连接的安全性一致。 有关详细信息,请参阅 为站点到站点 VPN 连接配置 IPsec/IKE 策略。
对点到站点连接使用 TLS 1.2 或更高版本:确保点到站点 VPN 连接使用传输层安全性 (TLS) 版本 1.2 或更高版本进行安全控制通道通信。 这会保护 VPN 连接建立过程并防止降级攻击。 有关详细信息,请参阅 “关于点到站点 VPN”。
实现适当的证书管理:使用 Azure Key Vault 安全地管理 VPN 证书,以便进行证书存储和轮换。 确保证书具有适当的有效期,并实施自动续订过程,以防止服务中断。 有关详细信息,请参阅 生成和导出点到站点连接的证书。
为安全功能选择适当的网关 SKU:避免将基本 SKU 用于生产部署,因为它具有有限的安全功能,不支持 RADIUS 身份验证、IPv6 或高级 IPsec/IKE 策略。 选择支持新式安全功能和性能要求的 Generation1 或 Generation2 SKU。 有关详细信息,请参阅 “关于 VPN 网关 SKU”。
日志记录和威胁检测
VPN 网关的日志记录和威胁检测涉及全面监视网络活动、安全事件和性能指标。 适当的日志记录支持威胁检测、事件调查和合规性报告。
启用 VPN 网关诊断日志记录:为 VPN 网关配置诊断日志,以捕获网关事件、隧道诊断、路由诊断和 IKE 诊断。 将这些日志发送到 Azure Monitor Log Analytics 或 Azure 存储,以便分析和长期保留。 有关详细信息,请参阅 为 VPN 网关设置诊断日志。
使用 Azure Monitor 进行监视:使用 Azure Monitor 收集和分析 VPN 网关指标和日志。 为关键事件(例如连接故障、隧道状态更改和性能降低)设置警报,以启用主动监视和响应。 有关详细信息,请参阅 监视 VPN 网关。
与 Microsoft Sentinel 集成:将 VPN 网关日志转发到 Microsoft Sentinel,以便进行高级安全分析和威胁检测。 使用内置分析规则检测可疑活动,例如多个失败的身份验证尝试或异常连接模式。 有关详细信息,请参阅 将数据源连接到 Microsoft Sentinel。
监视Microsoft Entra ID 身份验证事件:通过 Microsoft Entra ID 审核和登录日志跟踪点到站点 VPN 连接的身份验证事件。 监视失败的身份验证尝试、有风险的登录和标记为存在风险的用户帐户,以识别潜在的安全威胁。 有关详细信息,请参阅 Microsoft Entra 审核活动报告。
设置适当的日志保留策略:根据组织的符合性要求在 Azure Monitor Log Analytics 中配置日志保留期。 为不同的日志类型设置保留策略时,请考虑成本优化和安全调查需求。 有关详细信息,请参阅 使用 Azure Monitor 日志管理使用情况和成本。
配置数据包捕获进行故障排除:在 VPN 网关上启用数据包捕获,以便在安全事件或连接问题期间进行详细的流量分析。 使用五元组筛选器隔离特定的流量流,并减少大容量方案中的分析范围。 有关详细信息,请参阅 配置 VPN 网关的数据包捕获。
监视 BGP 路由安全性:跟踪 BGP 对等状态和路由播发,以检测路由异常或未经授权的路由注入。 为 BGP 断开连接和可能指示安全威胁的异常路由行为设置警报。 有关详细信息,请参阅 查看 BGP 指标和状态。
实现用于流量检查的强制隧道:配置强制隧道以通过本地安全基础结构重定向所有 Internet 绑定的流量,以便进行检查和审核。 这可确保符合企业安全策略并防止未经授权的 Internet 访问。 有关详细信息,请参阅 站点到站点配置中的强制隧道传输。
资产管理
VPN 网关的资产管理可确保适当的库存跟踪、合规性监视和配置治理。 这包括保持 VPN 网关资源的可见性,并在整个环境中一致地强制实施安全策略。
使用标记维护资产清单:将一致的标记应用于 VPN 网关资源、资源组和订阅,以在分类中以逻辑方式组织它们。 使用“环境”、“所有者”和“关键性”等标记启用适当的资产跟踪和成本管理。 有关详细信息,请参阅使用标记来组织 Azure 资源。
授予安全团队可见性:确保安全团队在 Azure 租户和订阅中具有安全读取者权限,以监视 VPN 网关资源的安全风险。 为安全团队创建专用Microsoft Entra ID 组,并分配适当的基于角色的访问权限。 有关详细信息,请参阅 Azure 内置角色。
实施基于策略的治理:使用 Azure Policy 根据组织的安全标准审核和强制实施 VPN 网关配置。 创建自定义策略,以确保在所有 VPN 网关实例上一致部署安全设置。 有关详细信息,请参阅什么是 Azure Policy?。
监视与 Microsoft Defender for Cloud 的合规性:使用 Microsoft Defender for Cloud 根据安全基准评估 VPN 网关资源,并接收改进安全状况的建议。 启用 Azure 安全基准计划以跟踪符合行业标准。 有关详细信息,请参阅 Microsoft Defender for Cloud 概述。
使用 Azure Resource Graph 查询资源:使用 Azure Resource Graph 跨订阅查询和发现 VPN 网关资源,以便进行全面的资产管理。 创建自定义查询来标识配置偏移、未使用的资源或不符合的部署。 有关详细信息,请参阅 什么是 Azure Resource Graph?。