Sdílet prostřednictvím

Integrace brány firewall služby Azure Stack Hub

  • Článek

K zabezpečení služby Azure Stack Hub doporučujeme použít zařízení brány firewall. Brány firewall pomáhají chránit se před útoky typu DDOS (Distributed Denial-of-Service), detekce vniknutí a kontroly obsahu. Můžou se ale také stát kritickým bodem propustnosti pro služby úložiště Azure, jako jsou objekty blob, tabulky a fronty.

Pokud se používá režim odpojeného nasazení, musíte publikovat koncový bod služby AD FS. Další informace najdete v článku o identitě integrace datacentra.

Koncové body azure Resource Manager (správce), portálu pro správu a Key Vault (správce) nemusí nutně vyžadovat externí publikování. Jako poskytovatel služeb můžete například omezit prostor pro útoky tím, že budete spravovat službu Azure Stack Hub jenom z vaší sítě, a ne z internetu.

Pro podnikové organizace může být externí sítí stávající podniková síť. V tomto scénáři musíte publikovat koncové body pro provoz služby Azure Stack Hub z podnikové sítě.

Překlad síťových adres

Překlad adres (NAT) je doporučená metoda, která virtuálnímu počítači pro nasazení (DVM) umožňuje přístup k externím prostředkům a internetu během nasazování a také virtuálním počítačům konzoly ERCS (Emergency Recovery Console) nebo privilegovanému koncovému bodu (PEP) během registrace a řešení potíží.

Překlad adres (NAT) může být také alternativou k veřejným IP adresm v externí síti nebo veřejným virtuálním IP adresm. Nedoporučuje se to ale dělat, protože to omezuje uživatelské prostředí tenanta a zvyšuje složitost. Jednou z možností je překlad adres (NAT) 1:1, který stále vyžaduje jednu veřejnou IP adresu pro každou IP adresu uživatele ve fondu. Další možností je překlad adres (NAT) typu M:1, který vyžaduje pravidlo překladu adres (NAT) pro virtuální IP adresu uživatele pro všechny porty, které může uživatel používat.

Některé nevýhody použití překladu adres (NAT) pro veřejnou virtuální IP adresu jsou:

  • Překlad adres (NAT) zvyšuje režii při správě pravidel brány firewall, protože uživatelé řídí své vlastní koncové body a vlastní pravidla publikování v zásobníku softwarově definovaných sítí (SDN). Uživatelé musí kontaktovat operátora služby Azure Stack Hub, aby mohli publikovat své virtuální IP adresy a aktualizovat seznam portů.
  • Použití překladu adres (NAT) sice omezuje uživatelské prostředí, ale dává operátorovi plnou kontrolu nad požadavky publikování.
  • V případě hybridních cloudových scénářů s Azure zvažte, že Azure nepodporuje nastavení tunelu VPN ke koncovému bodu pomocí překladu adres (NAT).

Zachytávání SSL

V současné době se doporučuje zakázat jakékoli zachytávání SSL (například přesměrování dešifrování) u veškerého provozu služby Azure Stack Hub. Pokud se to v budoucích aktualizacích podporuje, budou k dispozici pokyny k povolení zachycování SSL pro Službu Stack Hub.

Scénář brány firewall Edge

V hraničním nasazení se služba Azure Stack Hub nasazuje přímo za hraniční směrovač nebo bránu firewall. V těchto scénářích se podporuje, aby brána firewall byla nad hranicí (scénář 1), kde podporuje konfiguraci brány firewall aktivní-aktivní i aktivní-pasivní nebo funguje jako hraniční zařízení (scénář 2), kde podporuje pouze konfiguraci brány firewall aktivní-aktivní, která se spoléhá na ecmp (equal-cost multi-path) s BGP nebo statickým směrováním pro převzetí služeb při selhání.

Veřejné směrovatelné IP adresy se zadají pro veřejný fond virtuálních ip adres z externí sítě v době nasazení. V hraničním scénáři se nedoporučuje používat veřejné směrovatelné IP adresy v žádné jiné síti pro účely zabezpečení. Tento scénář umožňuje uživateli využít plně samoobslužné cloudové prostředí jako ve veřejném cloudu, jako je Azure.

Příklad hraniční brány firewall služby Azure Stack Hub

Scénář brány firewall podnikového intranetu nebo hraniční sítě

V podnikovém intranetovém nebo hraničním nasazení se služba Azure Stack Hub nasazuje do vícezónové brány firewall nebo mezi hraniční bránou firewall a interní bránou firewall podnikové sítě. Provoz se pak distribuuje mezi zabezpečenou hraniční síť (neboli DMZ) a nezabezpečené zóny, jak je popsáno níže:

  • Zabezpečená zóna: Jedná se o interní síť, která používá interní nebo podnikové směrovatelné IP adresy. Zabezpečená síť může být rozdělená, má přístup k odchozímu internetu prostřednictvím překladu adres (NAT) ve službě Firewall a obvykle je přístupná odkudkoliv v datacentru přes interní síť. Všechny sítě služby Azure Stack Hub by se měly nacházet v zabezpečené zóně s výjimkou veřejného fondu VIRTUÁLNÍch ip adres externí sítě.
  • Hraniční zóna. Hraniční síť je místo, kde se obvykle nasazují externí nebo internetové aplikace, jako jsou webové servery. Obvykle je monitorovaná bránou firewall, aby se zabránilo útokům jako DDoS a vniknutí (hacking), a přitom stále povoluje zadaný příchozí provoz z internetu. V zóně DMZ by se měl nacházet pouze fond veřejných virtuálních IP adres externí sítě služby Azure Stack Hub.
  • Nezabezpečená zóna. Toto je externí síť, internet. V nezabezpečené zóně se nedoporučuje nasazovat službu Azure Stack Hub.

Příklad hraniční sítě služby Azure Stack Hub

Další informace

Přečtěte si další informace o portech a protokolech používaných koncovými body služby Azure Stack Hub.

Další kroky

Požadavky na infrastrukturu veřejných klíčů služby Azure Stack Hub