Implementace zabezpečené hybridní sítě

Azure Firewall

Azure Load Balancer

Azure Virtual Machines

Azure Virtual Network

Tato referenční architektura ukazuje zabezpečenou hybridní síť, která rozšiřuje místní síť na Azure. Architektura implementuje síť perimeter označovanou také jako DMZ mezi místní sítí a virtuální sítí Azure. Veškerý příchozí a odchozí provoz prochází Azure Firewall.

Architektura

Načte soubor Visio této architektury.

Komponenty

Architektura se skládá z následujících aspektů:

• Místní síť. Privátní místní síť implementovaná v organizaci.

• Azure virtuální síť. Virtuální síť hostuje komponenty řešení a další prostředky spuštěné v Azure.

  Virtual network routes definují tok IP provozu v rámci virtuální sítě Azure. V diagramu jsou dvě směrovací tabulky definované uživatelem.

  V podsíti brány se provoz směruje přes instanci Azure Firewall.

  Poznámka:

  V závislosti na požadavcích připojení VPN můžete nakonfigurovat trasy protokolu BGP (Border Gateway Protocol) tak, aby implementovaly pravidla předávání, která směrují provoz zpět přes místní síť.

• Gateway. Brána poskytuje připojení mezi směrovači v místní síti a virtuální sítí. Brána se umístí do vlastní podsítě.

• Azure Firewall. Azure Firewall je spravovaný firewall jako služba. Instance firewallu je umístěna do vlastní podsítě.

• Skupiny zabezpečení sítě Skupiny zabezpečení slouží k omezení síťového provozu ve virtuální síti.

• Škálovací sady virtuálních počítačů sady škálování virtuálních počítačů poskytují výpočetní vrstvu ve virtuálních sítích typu paprsek. Škálovací sady nasazují a spravují skupinu identických virtuálních počítačů za interním nástrojem pro vyrovnávání zatížení a podporují automatické škálování podle poptávky.

• Azure Bastion. Azure Bastion poskytuje zabezpečený přístup SSH a RDP k instancím škálovací sady virtuálních počítačů bez jejich vystavení na internetu. Ke správě instancí ve virtuální síti použijte Bastion.

  Bastion vyžaduje vyhrazenou podsíť s názvem AzureBastionSubnet.

Potenciální případy použití

Tato architektura vyžaduje připojení k vašemu místnímu datacentru pomocí VPN brány nebo připojení ExpressRoute. Obvyklá využití pro tuto architekturu:

• Hybridní aplikace, ve kterých úlohy běží částečně místně a částečně v Azure.
• Infrastruktura, která vyžaduje podrobnou kontrolu nad provozem, který vstupuje do Azure virtuální sítě z místního datacentra.
• Aplikace, které musí auditovat odchozí provoz. Auditování je často zákonným požadavkem mnoha komerčních systémů a může pomoci zabránit zveřejnění soukromých informací.

Doporučení

Následující doporučení platí pro většinu scénářů. Pokud nemáte konkrétní požadavek, který by těmto doporučením nedopovídal, postupujte podle nich.

Doporučení pro řízení přístupu

Pro řízení přístupu k prostředkům ve vaší aplikaci použijte Azure Role-Based Access Control (Azure RBAC). Zvažte možnost vytvoření následujících vlastních rolí:

• Role DevOps s oprávněními ke správě infrastruktury pro aplikaci, nasazení komponent aplikace a správě operací škálovací sady virtuálních počítačů, jako je škálování, opětovné navádění a upgrady.

• Role centralizovaného správce IT ke správě a sledování síťových prostředků.

• Pozice IT administrátora zabezpečení pro správu bezpečných síťových zdrojů, jako je firewall.

Role správce IT by neměla mít přístup k prostředkům brány firewall. Přístup by měl být omezen na roli správce IT zabezpečení.

Doporučení pro skupinu zdrojů

Azure prostředky, jako jsou škálovací sady virtuálních počítačů, virtuální sítě a nástroje pro vyrovnávání zatížení, je možné spravovat jejich seskupením do skupin prostředků. Přiřaďte jednotlivým skupinám prostředků Azure role, abyste omezili přístup.

Doporučujeme vytvořit následující skupiny prostředků:

• Skupina prostředků obsahující virtuální síť (s výjimkou výpočetních prostředků), skupin zabezpečení sítě a prostředků brány pro připojení k místní síti. Přiřaďte k této skupině prostředků roli centralizovaného správce IT.
• Skupina prostředků, která obsahuje prostředky pro instanci Azure Firewall a trasy definované uživatelem pro podsíť brány. Přiřaďte k této skupině prostředků roli správce zabezpečení IT.
• Samostatné skupiny prostředků pro každou paprskovou virtuální síť, která obsahuje nástroj pro vyrovnávání zatížení a škálovací sady virtuálních počítačů.

Doporučení pro sítě

V této architektuře veškerý příchozí a odchozí provoz mezi místní sítí, internetem a paprskovými virtuálními sítěmi prochází přes Azure Firewall. Každý tok, který prochází přes perimetr, prochází překladem síťových adres v bráně firewall, takže IP adresy brány firewall, nikoli pracovní zátěže, jsou to, co pozorují externí systémy a interní systémy. Naplánujte následující chování:

• Publikované úlohy jsou dostupné na veřejné IP adrese brány firewall, ne na IP adrese úlohy. Na bráně firewall publikujete backend s pravidlem překladu adres cílové sítě (DNAT). Cílová adresa je veřejná IP adresa brány firewall; přeložená adresa je privátní IP adresa v rámci virtuální sítě.

• Odchozí toky opouštějí perimetr a mají původ v jedné z veřejných IP adres firewallu. Azure Firewall náhodně vybere, která připojená veřejná IP adresa se má použít pro každý odchozí tok, takže seznam povolených partnerů, pravidla místní brány firewall a protokoly auditu musí pokrýt celou sadu IP adres připojených k bráně firewall. K vyjádření této sady jako souvislého rozsahu použijte předponu veřejné IP adresy .

  Počet veřejných IP adres připojených k bráně firewall také určuje, kolik souběžných odchozích připojení je možné udržovat před vyčerpáním portů SNAT (Source Network Address Translation).

• Back-endy nevidí IP adresu původního klienta. Azure Firewall aplikuje SNAT také na paketech, které odpovídají pravidlu DNAT, aby se návratový provoz vracel skrze stejnou instanci brány firewall. Backend sleduje IP adresu instance firewallu jako zdroj.

  Pokud vaše aplikace vyžaduje IP adresu klienta, ukončete připojení klienta upstream v reverzním proxy serveru, jako je Azure Application Gateway nebo Azure Front Door, předejte IP adresu klienta v hlavičce HTTP X-Forwarded-For, a postupujte podle Preserve původní jméno hostitele HTTP, aby back-end dál sledoval jméno hostitele klienta.

Force-tunnel veškerý odchozí internetový provoz přes vaši on-premise síť pomocí tunelu VPN typu site-to-site. Místní edge zařízení provádí SNAT na internet jménem úloh Azure, které řídí odchozí toky přes stávající místní mechanismus řízení odchozího provozu a auditní kanál. Tento návrh zabraňuje náhodnému úniku důvěrných informací a umožňuje kontrolu a auditování veškerého odchozího provozu.

Nezablokujte internetový provoz z prostředků v podsítích paprskové sítě. Blokování provozu zabrání použití Azure služeb PaaS, které spoléhají na veřejné IP adresy, jako je protokolování diagnostiky, zřizování rozšíření virtuálních počítačů a jejich závislosti a další funkce platformy. diagnostika Azure také vyžaduje, aby komponenty mohly číst a zapisovat do Azure Storage účtu.

Ověřte, jestli se u odchozích přenosů z internetu správně vynucuje tunelové propojení. Pokud používáte připojení VPN ke službě směrování a vzdáleného přístupu na místním serveru, použijte nástroj, jako WireShark.

Zvažte použití služby Application Gateway nebo Azure Front Door pro ukončení protokolu SSL.

Úvahy

Tyto aspekty implementují pilíře architektury Azure Well-Architected, což je sada hlavních principů, které lze použít ke zlepšení kvality úlohy. Další informace najdete v tématu Microsoft Azure Well-Architected Framework.

Spolehlivost

Spolehlivost zajišťuje, že vaše aplikace může splňovat závazky, které uděláte pro vaše zákazníky. Další informace najdete v kontrolním seznamu pro kontrolu návrhu pro spolehlivost.

Pokud k zajištění připojení mezi virtuální sítí a místní sítí používáte Azure ExpressRoute, konfigurujte bránu VPN tak, aby poskytovala převzetí služeb při selhání pokud připojení ExpressRoute přestane být dostupné.

Informace o zachování dostupnosti pro připojení VPN a ExpressRoute najdete v aspektech dostupnosti:

• Implementace hybridní síťové architektury s Azure a místní sítí VPN
• Implementace hybridní síťové architektury pomocí Azure ExpressRoute

Zabezpečení

Zabezpečení poskytuje záruky proti záměrným útokům a zneužití cenných dat a systémů. Další informace naleznete v dokumentu Kontrolní seznam návrhu zabezpečení.

Tato referenční architektura implementuje více úrovní zabezpečení.

Směrování všech místních požadavků uživatelů prostřednictvím Azure Firewall

Trasa definovaná uživatelem v podsíti brány blokuje všechny požadavky uživatelů kromě požadavků přijatých z místního prostředí. Trasa předává povolené požadavky do brány firewall. Požadavky se předávají prostředkům v paprskových virtuálních sítích, pokud je pravidla brány firewall povolují. Můžete přidat další trasy, ale ujistěte se, že nechtěně neobejdou bránu firewall nebo neblokují administrativní provoz určený pro podsíť pro správu.

Použití skupin zabezpečení sítě k blokování/předávání provozu do podsítí virtuálních sítí typu "spoke"

Provoz do a z podsítí zdrojů ve vedlejších virtuálních sítích je omezen pomocí skupin zabezpečení sítě. Pokud potřebujete rozšířit pravidla NSG tak, aby umožňovala širší přístup k těmto prostředkům, zvažte tyto požadavky proti rizikům zabezpečení. Každá nová cesta příchozího přenosu představuje příležitost k náhodnému nebo záměrnému úniku dat nebo poškození aplikace.

ochrana před útoky DDoS

Azure DDoS Protection v kombinaci s osvědčenými postupy návrhu aplikací poskytuje vylepšené zmírnění rizik proti útokům DDoS. Povolte Azure DDoS Protection v jakékoli hraniční virtuální síti.

Vytvoření standardních pravidel správce zabezpečení pomocí AVNM

AVNM umožňuje vytvářet směrné plány pravidel zabezpečení, které můžou mít přednost před pravidly skupiny zabezpečení sítě. Pravidla správce zabezpečení se vyhodnocují před pravidly NSG a mají stejnou povahu skupin zabezpečení sítě s podporou stanovení priorit, značek služeb a protokolů L3-L4. AVNM umožňuje centrálnímu IT vynucovat základní pravidla zabezpečení a zároveň umožnit nezávislost dalších pravidel NSG vlastníkům paprskových virtuálních sítí. Pro zjednodušení řízeného zavádění změn pravidel zabezpečení umožňuje funkce nasazení AVNM bezpečně uvolnit problémové změny těchto konfigurací v topologii hub and spoke.

Přístup DevOps

Pomocí Azure RBAC omezte operace, které Může DevOps provádět na jednotlivých úrovních. Při udělování oprávnění postupujte podle principu nejnižší úrovně nutných oprávnění. Protokolujte všechny operace správy a provádějte pravidelné audity, abyste měli jistotu, že byly všechny změny konfigurace plánované.

Optimalizace nákladů

Optimalizace nákladů spočívá v hledání způsobů, jak snížit zbytečné výdaje a zlepšit provozní efektivitu. Další informace najdete v kontrolním seznamu pro kontrolu návrhu pro optimalizaci nákladů.

Tento prekonfigurovaný odhad použijte v cenové kalkulačce Azure jako výchozí bod k odhadu nákladů pro váš scénář. Zahrnuje síťové komponenty popsané v tomto článku s ukázkovými virtuálními počítači.

Tady jsou požadavky na náklady pro služby používané v této architektuře.

Azure Firewall

V této architektuře je Azure Firewall nasazen ve virtuální síti ke kontrole provozu mezi podsítí brány a zdroji v přidružených virtuálních sítích. Použití Azure Firewall jako sdíleného řešení napříč několika úlohami může pomoct snížit duplicitní infrastrukturu. Tady jsou cenové modely Azure Firewall:

• Pevná sazba za hodinu nasazení.
• Data zpracovávaná za GB pro podporu automatického škálování

V porovnání se síťovými virtuálními zařízeními (NVA) s Azure Firewall můžete ušetřit až 30–50%. Další informace najdete v tématu Azure Firewall vs NVA.

Azure Bastion

Azure Bastion se bezpečně připojí k instancím škálovací sady virtuálních počítačů přes protokol RDP a SSH bez nutnosti veřejné IP adresy v instancích.

Fakturace Bastionu je srovnatelná se základním virtuálním počítačem nízké úrovně nakonfigurovaným jako jump box. Bastion je nákladově efektivnější než jump box, protože má integrované funkce zabezpečení a neúčtují se za úložiště a správu samostatného serveru další náklady.

Virtuální síť Azure

Azure Virtual Network je zdarma. Každé předplatné může vytvářet až 1 000 virtuálních sítí ve všech oblastech. Veškerý provoz, ke kterému dochází v rámci hranic virtuální sítě, je zdarma. Například za provoz z interního nástroje pro vyrovnávání zatížení do instancí škálovací sady virtuálních počítačů se neúčtují poplatky za síťový provoz.

Interní nástroj pro vyrovnávání zatížení

V této architektuře se interní nástroje pro vyrovnávání zatížení používají k distribuci provozu do instancí škálovací sady virtuálních počítačů uvnitř virtuální sítě. Standard Load Balancer je vyžadován pro použití s škálovacími sadami virtuálních počítačů.

Efektivita provozu

Efektivita provozu se zabývá provozními procesy, které nasazují aplikaci a udržují ji spuštěnou v produkčním prostředí. Další informace najdete v kontrolním seznamu pro kontrolu návrhu pro efektivitu provozu.

Pokud je připojení z místní sítě k Azure přes bránu nedostupné, můžete i tak použít Azure Bastion pro přístup k prostředkům ve virtuální síti Azure za účelem řešení potíží. Vzhledem k tomu, že instance škálovací sady virtuálních počítačů jsou pomíjivé, spoléhejte se při běžných operacích na centralizované protokolování a monitorování prostřednictvím Azure Monitor a diagnostiky spouštění, nikoli na interaktivní vzdálené relace.

Podsítě jednotlivých úrovní v referenční architektuře jsou chráněné pravidly skupiny zabezpečení sítě. Nástroje pro správu a monitorování můžou vyžadovat pravidla pro otevření dalších portů.

Pokud k zajištění připojení mezi místním datacentrem a Azure používáte ExpressRoute, použijte k monitorování a řešení potíží s připojením Azure Connectivity Toolkit (AzureCT).

Další informace o monitorování a správě připojení VPN a ExpressRoute najdete v článku Mplementace hybridní síťové architektury s Azure a místní sítí VPN.

Efektivita výkonu

Efektivita výkonu je schopnost vaší úlohy škálovat tak, aby splňovala požadavky, které na ni mají uživatelé efektivním způsobem. Další informace najdete v kontrolním seznamu pro kontrolu návrhu týkajícího se efektivity výkonu.

Škálovací sady virtuálních počítačů v paprskových sítích podporují automatické škálování. Nakonfigurujte pravidla automatického škálování na základě metrik, jako je využití procesoru nebo počet požadavků, aby se instance přidávaly nebo odebíraly v reakci na poptávku. Zvolte režim orchestrace a zásady upgradu , které odpovídají tolerance vaší úlohy při přerušení během aktualizací.

Další informace o limitech šířky pásma VPN Gateway najdete v tématu Gateway SKUs. Pro širší pásma zvažte vhodnost upgradu na bránu ExpressRoute. ExpressRoute poskytuje až 10 Gb/s šířku pásma s nižší latencí než připojení VPN.

Další informace o škálovatelnosti bran Azure najdete v částech věnovaném aspektům škálovatelnosti v těchto tématech:

• Implementace hybridní síťové architektury s Azure a místní sítí VPN
• Implementace hybridní síťové architektury pomocí Azure ExpressRoute

Další informace o správě virtuálních sítí a skupin zabezpečení sítě ve velkém rozsahu najdete v tématu Azure Virtual Network Manager (AVNM): Vytvoření zabezpečeného modelu hvězda-paprsek pro vytvoření nových (a začlenění existujících) topologií virtuálních sítí pro centrální správu připojení a pravidel NSG.

Nasazení tohoto scénáře

Toto nasazení vytvoří dvě skupiny prostředků; první obsahuje simulovanou místní síť, druhou sadu hvězdicových sítí. Napodobení simulované interní sítě a centrální sítě jsou propojené pomocí bran Azure Virtual Network k vytvoření spojení mezi lokalitami. Tato konfigurace je velmi podobná tomu, jak byste připojili místní datové centrum k Azure.

Dokončení tohoto nasazení může trvat až 45 minut.

Azure CLI

Spuštěním následujícího příkazu nasaďte dvě skupiny prostředků a zabezpečenou referenční architekturu sítě pomocí Azure CLI.

Po zobrazení výzvy zadejte hodnoty pro uživatelské jméno správce, heslo a sdílený klíč VPN. Přihlašovací údaje správce se používají jako výchozí přihlašovací údaje pro instance škálovací sady virtuálních počítačů. Sdílený klíč ověřuje připojení VPN typu site-to-site mezi bránami.

az deployment sub create --location eastus \
    --template-uri https://raw.githubusercontent.com/mspnp/samples/main/solutions/secure-hybrid-network/azuredeploy.bicep

PowerShell

Spuštěním následujícího příkazu nasaďte dvě skupiny prostředků a zabezpečenou referenční architekturu sítě pomocí PowerShellu.

Po zobrazení výzvy zadejte hodnoty pro uživatelské jméno správce, heslo a sdílený klíč VPN. Přihlašovací údaje správce se používají jako výchozí přihlašovací údaje pro instance škálovací sady virtuálních počítačů. Sdílený klíč ověřuje připojení VPN typu site-to-site mezi bránami.

New-AzSubscriptionDeployment -Location eastus `
    -TemplateUri https://raw.githubusercontent.com/mspnp/samples/main/solutions/secure-hybrid-network/azuredeploy.bicep

Po dokončení nasazení ověřte připojení typu site-to-site tak, že se podíváte na nově vytvořené prostředky připojení. Na portálu Azure vyhledejte pojení a zkontrolujte stav jednotlivých připojení.

Přidání pravidel DNAT brány firewall

Jakmile se u připojení typu site-to-site zobrazí stav Connected, aktualizujte bránu firewall centra pomocí pravidel DNAT, aby provoz z místního prostředí mohl dosáhnout úloh ve spoke síti.

Azure CLI

FW_IP=$(az network firewall show -g rg-site-to-site-azure-network-eastus2 -n AzureFirewall --query "ipConfigurations[0].privateIPAddress" -o tsv)
LB_IP=$(az network lb frontend-ip list -g rg-site-to-site-azure-network-eastus2 --lb-name lb-internal --query "[0].privateIPAddress" -o tsv)

az deployment group create -n firewallDnat -g rg-site-to-site-azure-network-eastus2 \
    --template-uri https://raw.githubusercontent.com/mspnp/samples/main/solutions/secure-hybrid-network/nestedtemplates/azure-network-azuredeploy-v2.bicep \
    -p firewallName=AzureFirewall firewallPrivateIp=$FW_IP internalLoadBalancerPrivateIp=$LB_IP

PowerShell

$fwIp = (Get-AzFirewall -ResourceGroupName rg-site-to-site-azure-network-eastus2 -Name AzureFirewall).IpConfigurations[0].PrivateIPAddress
$lbIp = (Get-AzLoadBalancerFrontendIpConfig -LoadBalancer (Get-AzLoadBalancer -ResourceGroupName rg-site-to-site-azure-network-eastus2 -Name lb-internal))[0].PrivateIpAddress

New-AzResourceGroupDeployment -Name firewallDnat -ResourceGroupName rg-site-to-site-azure-network-eastus2 `
    -TemplateUri https://raw.githubusercontent.com/mspnp/samples/main/solutions/secure-hybrid-network/nestedtemplates/azure-network-azuredeploy-v2.bicep `
    -firewallName AzureFirewall -firewallPrivateIp $fwIp -internalLoadBalancerPrivateIp $lbIp

Instance služby IIS nalezená v satelitní síti je přístupná z virtuálního počítače umístěného v simulované místní síti. Pomocí zahrnutého hostitele Azure Bastion vytvořte připojení k danému virtuálnímu počítači, otevřete webový prohlížeč a přejděte na adresu interního nástroje pro vyrovnávání zatížení aplikace.

Další informace a další možnosti nasazení najdete v šablonách Bicep použitých k nasazení tohoto řešení: Secure Hybrid Network.

Další kroky

• Topologie sítě typu hub-and-spoke v Azure.
• Azure dokumentace zabezpečení.

Související prostředky

• Připojte místní síť do služby Azure pomocí ExpressRoute.
• Konfigurace společně existujících připojení ExpressRoute a Site-to-Site pomocí PowerShellu
• Rozšíření místní sítě pomocí ExpressRoute

Tato referenční architektura ukazuje zabezpečenou hybridní síť, která rozšiřuje místní síť na Azure. Architektura implementuje síť perimeter označovanou také jako DMZ mezi místní sítí a virtuální sítí Azure. Veškerý příchozí a odchozí provoz prochází Azure Firewall.

Architektura

Načte soubor Visio této architektury.

Komponenty

Architektura se skládá z následujících aspektů:

• Místní síť. Privátní místní síť implementovaná v organizaci.

• Azure virtuální síť. Virtuální síť hostuje komponenty řešení a další prostředky spuštěné v Azure.

  Virtual network routes definují tok IP provozu v rámci virtuální sítě Azure. V diagramu jsou dvě směrovací tabulky definované uživatelem.

  V podsíti brány se provoz směruje přes instanci Azure Firewall.

  Poznámka:

  V závislosti na požadavcích připojení VPN můžete nakonfigurovat trasy protokolu BGP (Border Gateway Protocol) tak, aby implementovaly pravidla předávání, která směrují provoz zpět přes místní síť.

• Gateway. Brána poskytuje připojení mezi směrovači v místní síti a virtuální sítí. Brána se umístí do vlastní podsítě.

• Azure Firewall. Azure Firewall je spravovaný firewall jako služba. Instance firewallu je umístěna do vlastní podsítě.

• Skupiny zabezpečení sítě Skupiny zabezpečení slouží k omezení síťového provozu ve virtuální síti.

• Škálovací sady virtuálních počítačů sady škálování virtuálních počítačů poskytují výpočetní vrstvu ve virtuálních sítích typu paprsek. Škálovací sady nasazují a spravují skupinu identických virtuálních počítačů za interním nástrojem pro vyrovnávání zatížení a podporují automatické škálování podle poptávky.

• Azure Bastion. Azure Bastion poskytuje zabezpečený přístup SSH a RDP k instancím škálovací sady virtuálních počítačů bez jejich vystavení na internetu. Ke správě instancí ve virtuální síti použijte Bastion.

  Bastion vyžaduje vyhrazenou podsíť s názvem AzureBastionSubnet.

Potenciální případy použití

Tato architektura vyžaduje připojení k vašemu místnímu datacentru pomocí VPN brány nebo připojení ExpressRoute. Obvyklá využití pro tuto architekturu:

• Hybridní aplikace, ve kterých úlohy běží částečně místně a částečně v Azure.
• Infrastruktura, která vyžaduje podrobnou kontrolu nad provozem, který vstupuje do Azure virtuální sítě z místního datacentra.
• Aplikace, které musí auditovat odchozí provoz. Auditování je často zákonným požadavkem mnoha komerčních systémů a může pomoci zabránit zveřejnění soukromých informací.

Doporučení

Následující doporučení platí pro většinu scénářů. Pokud nemáte konkrétní požadavek, který by těmto doporučením nedopovídal, postupujte podle nich.

Doporučení pro řízení přístupu

Pro řízení přístupu k prostředkům ve vaší aplikaci použijte Azure Role-Based Access Control (Azure RBAC). Zvažte možnost vytvoření následujících vlastních rolí:

• Role DevOps s oprávněními ke správě infrastruktury pro aplikaci, nasazení komponent aplikace a správě operací škálovací sady virtuálních počítačů, jako je škálování, opětovné navádění a upgrady.

• Role centralizovaného správce IT ke správě a sledování síťových prostředků.

• Pozice IT administrátora zabezpečení pro správu bezpečných síťových zdrojů, jako je firewall.

Role správce IT by neměla mít přístup k prostředkům brány firewall. Přístup by měl být omezen na roli správce IT zabezpečení.

Doporučení pro skupinu zdrojů

Azure prostředky, jako jsou škálovací sady virtuálních počítačů, virtuální sítě a nástroje pro vyrovnávání zatížení, je možné spravovat jejich seskupením do skupin prostředků. Přiřaďte jednotlivým skupinám prostředků Azure role, abyste omezili přístup.

Doporučujeme vytvořit následující skupiny prostředků:

• Skupina prostředků obsahující virtuální síť (s výjimkou výpočetních prostředků), skupin zabezpečení sítě a prostředků brány pro připojení k místní síti. Přiřaďte k této skupině prostředků roli centralizovaného správce IT.
• Skupina prostředků, která obsahuje prostředky pro instanci Azure Firewall a trasy definované uživatelem pro podsíť brány. Přiřaďte k této skupině prostředků roli správce zabezpečení IT.
• Samostatné skupiny prostředků pro každou paprskovou virtuální síť, která obsahuje nástroj pro vyrovnávání zatížení a škálovací sady virtuálních počítačů.

Doporučení pro sítě

V této architektuře veškerý příchozí a odchozí provoz mezi místní sítí, internetem a paprskovými virtuálními sítěmi prochází přes Azure Firewall. Každý tok, který prochází přes perimetr, prochází překladem síťových adres v bráně firewall, takže IP adresy brány firewall, nikoli pracovní zátěže, jsou to, co pozorují externí systémy a interní systémy. Naplánujte následující chování:

• Publikované úlohy jsou dostupné na veřejné IP adrese brány firewall, ne na IP adrese úlohy. Na bráně firewall publikujete backend s pravidlem překladu adres cílové sítě (DNAT). Cílová adresa je veřejná IP adresa brány firewall; přeložená adresa je privátní IP adresa v rámci virtuální sítě.

• Odchozí toky opouštějí perimetr a mají původ v jedné z veřejných IP adres firewallu. Azure Firewall náhodně vybere, která připojená veřejná IP adresa se má použít pro každý odchozí tok, takže seznam povolených partnerů, pravidla místní brány firewall a protokoly auditu musí pokrýt celou sadu IP adres připojených k bráně firewall. K vyjádření této sady jako souvislého rozsahu použijte předponu veřejné IP adresy .

  Počet veřejných IP adres připojených k bráně firewall také určuje, kolik souběžných odchozích připojení je možné udržovat před vyčerpáním portů SNAT (Source Network Address Translation).

• Back-endy nevidí IP adresu původního klienta. Azure Firewall aplikuje SNAT také na paketech, které odpovídají pravidlu DNAT, aby se návratový provoz vracel skrze stejnou instanci brány firewall. Backend sleduje IP adresu instance firewallu jako zdroj.

  Pokud vaše aplikace vyžaduje IP adresu klienta, ukončete připojení klienta upstream v reverzním proxy serveru, jako je Azure Application Gateway nebo Azure Front Door, předejte IP adresu klienta v hlavičce HTTP X-Forwarded-For, a postupujte podle Preserve původní jméno hostitele HTTP, aby back-end dál sledoval jméno hostitele klienta.

Force-tunnel veškerý odchozí internetový provoz přes vaši on-premise síť pomocí tunelu VPN typu site-to-site. Místní edge zařízení provádí SNAT na internet jménem úloh Azure, které řídí odchozí toky přes stávající místní mechanismus řízení odchozího provozu a auditní kanál. Tento návrh zabraňuje náhodnému úniku důvěrných informací a umožňuje kontrolu a auditování veškerého odchozího provozu.

Nezablokujte internetový provoz z prostředků v podsítích paprskové sítě. Blokování provozu zabrání použití Azure služeb PaaS, které spoléhají na veřejné IP adresy, jako je protokolování diagnostiky, zřizování rozšíření virtuálních počítačů a jejich závislosti a další funkce platformy. diagnostika Azure také vyžaduje, aby komponenty mohly číst a zapisovat do Azure Storage účtu.

Ověřte, jestli se u odchozích přenosů z internetu správně vynucuje tunelové propojení. Pokud používáte připojení VPN ke službě směrování a vzdáleného přístupu na místním serveru, použijte nástroj, jako WireShark.

Zvažte použití služby Application Gateway nebo Azure Front Door pro ukončení protokolu SSL.

Úvahy

Tyto aspekty implementují pilíře architektury Azure Well-Architected, což je sada hlavních principů, které lze použít ke zlepšení kvality úlohy. Další informace najdete v tématu Microsoft Azure Well-Architected Framework.

Spolehlivost

Spolehlivost zajišťuje, že vaše aplikace může splňovat závazky, které uděláte pro vaše zákazníky. Další informace najdete v kontrolním seznamu pro kontrolu návrhu pro spolehlivost.

Pokud k zajištění připojení mezi virtuální sítí a místní sítí používáte Azure ExpressRoute, konfigurujte bránu VPN tak, aby poskytovala převzetí služeb při selhání pokud připojení ExpressRoute přestane být dostupné.

Informace o zachování dostupnosti pro připojení VPN a ExpressRoute najdete v aspektech dostupnosti:

• Implementace hybridní síťové architektury s Azure a místní sítí VPN
• Implementace hybridní síťové architektury pomocí Azure ExpressRoute

Zabezpečení

Zabezpečení poskytuje záruky proti záměrným útokům a zneužití cenných dat a systémů. Další informace naleznete v dokumentu Kontrolní seznam návrhu zabezpečení.

Tato referenční architektura implementuje více úrovní zabezpečení.

Směrování všech místních požadavků uživatelů prostřednictvím Azure Firewall

Trasa definovaná uživatelem v podsíti brány blokuje všechny požadavky uživatelů kromě požadavků přijatých z místního prostředí. Trasa předává povolené požadavky do brány firewall. Požadavky se předávají prostředkům v paprskových virtuálních sítích, pokud je pravidla brány firewall povolují. Můžete přidat další trasy, ale ujistěte se, že nechtěně neobejdou bránu firewall nebo neblokují administrativní provoz určený pro podsíť pro správu.

Použití skupin zabezpečení sítě k blokování/předávání provozu do podsítí virtuálních sítí typu "spoke"

Provoz do a z podsítí zdrojů ve vedlejších virtuálních sítích je omezen pomocí skupin zabezpečení sítě. Pokud potřebujete rozšířit pravidla NSG tak, aby umožňovala širší přístup k těmto prostředkům, zvažte tyto požadavky proti rizikům zabezpečení. Každá nová cesta příchozího přenosu představuje příležitost k náhodnému nebo záměrnému úniku dat nebo poškození aplikace.

ochrana před útoky DDoS

Azure DDoS Protection v kombinaci s osvědčenými postupy návrhu aplikací poskytuje vylepšené zmírnění rizik proti útokům DDoS. Povolte Azure DDoS Protection v jakékoli hraniční virtuální síti.

Vytvoření standardních pravidel správce zabezpečení pomocí AVNM

AVNM umožňuje vytvářet směrné plány pravidel zabezpečení, které můžou mít přednost před pravidly skupiny zabezpečení sítě. Pravidla správce zabezpečení se vyhodnocují před pravidly NSG a mají stejnou povahu skupin zabezpečení sítě s podporou stanovení priorit, značek služeb a protokolů L3-L4. AVNM umožňuje centrálnímu IT vynucovat základní pravidla zabezpečení a zároveň umožnit nezávislost dalších pravidel NSG vlastníkům paprskových virtuálních sítí. Pro zjednodušení řízeného zavádění změn pravidel zabezpečení umožňuje funkce nasazení AVNM bezpečně uvolnit problémové změny těchto konfigurací v topologii hub and spoke.

Přístup DevOps

Pomocí Azure RBAC omezte operace, které Může DevOps provádět na jednotlivých úrovních. Při udělování oprávnění postupujte podle principu nejnižší úrovně nutných oprávnění. Protokolujte všechny operace správy a provádějte pravidelné audity, abyste měli jistotu, že byly všechny změny konfigurace plánované.

Optimalizace nákladů

Optimalizace nákladů spočívá v hledání způsobů, jak snížit zbytečné výdaje a zlepšit provozní efektivitu. Další informace najdete v kontrolním seznamu pro kontrolu návrhu pro optimalizaci nákladů.

Tento prekonfigurovaný odhad použijte v cenové kalkulačce Azure jako výchozí bod k odhadu nákladů pro váš scénář. Zahrnuje síťové komponenty popsané v tomto článku s ukázkovými virtuálními počítači.

Tady jsou požadavky na náklady pro služby používané v této architektuře.

Azure Firewall

V této architektuře je Azure Firewall nasazen ve virtuální síti ke kontrole provozu mezi podsítí brány a zdroji v přidružených virtuálních sítích. Použití Azure Firewall jako sdíleného řešení napříč několika úlohami může pomoct snížit duplicitní infrastrukturu. Tady jsou cenové modely Azure Firewall:

• Pevná sazba za hodinu nasazení.
• Data zpracovávaná za GB pro podporu automatického škálování

V porovnání se síťovými virtuálními zařízeními (NVA) s Azure Firewall můžete ušetřit až 30–50%. Další informace najdete v tématu Azure Firewall vs NVA.

Azure Bastion

Azure Bastion se bezpečně připojí k instancím škálovací sady virtuálních počítačů přes protokol RDP a SSH bez nutnosti veřejné IP adresy v instancích.

Fakturace Bastionu je srovnatelná se základním virtuálním počítačem nízké úrovně nakonfigurovaným jako jump box. Bastion je nákladově efektivnější než jump box, protože má integrované funkce zabezpečení a neúčtují se za úložiště a správu samostatného serveru další náklady.

Virtuální síť Azure

Azure Virtual Network je zdarma. Každé předplatné může vytvářet až 1 000 virtuálních sítí ve všech oblastech. Veškerý provoz, ke kterému dochází v rámci hranic virtuální sítě, je zdarma. Například za provoz z interního nástroje pro vyrovnávání zatížení do instancí škálovací sady virtuálních počítačů se neúčtují poplatky za síťový provoz.

Interní nástroj pro vyrovnávání zatížení

V této architektuře se interní nástroje pro vyrovnávání zatížení používají k distribuci provozu do instancí škálovací sady virtuálních počítačů uvnitř virtuální sítě. Standard Load Balancer je vyžadován pro použití s škálovacími sadami virtuálních počítačů.

Efektivita provozu

Efektivita provozu se zabývá provozními procesy, které nasazují aplikaci a udržují ji spuštěnou v produkčním prostředí. Další informace najdete v kontrolním seznamu pro kontrolu návrhu pro efektivitu provozu.

Pokud je připojení z místní sítě k Azure přes bránu nedostupné, můžete i tak použít Azure Bastion pro přístup k prostředkům ve virtuální síti Azure za účelem řešení potíží. Vzhledem k tomu, že instance škálovací sady virtuálních počítačů jsou pomíjivé, spoléhejte se při běžných operacích na centralizované protokolování a monitorování prostřednictvím Azure Monitor a diagnostiky spouštění, nikoli na interaktivní vzdálené relace.

Podsítě jednotlivých úrovní v referenční architektuře jsou chráněné pravidly skupiny zabezpečení sítě. Nástroje pro správu a monitorování můžou vyžadovat pravidla pro otevření dalších portů.

Pokud k zajištění připojení mezi místním datacentrem a Azure používáte ExpressRoute, použijte k monitorování a řešení potíží s připojením Azure Connectivity Toolkit (AzureCT).

Další informace o monitorování a správě připojení VPN a ExpressRoute najdete v článku Mplementace hybridní síťové architektury s Azure a místní sítí VPN.

Efektivita výkonu

Efektivita výkonu je schopnost vaší úlohy škálovat tak, aby splňovala požadavky, které na ni mají uživatelé efektivním způsobem. Další informace najdete v kontrolním seznamu pro kontrolu návrhu týkajícího se efektivity výkonu.

Škálovací sady virtuálních počítačů v paprskových sítích podporují automatické škálování. Nakonfigurujte pravidla automatického škálování na základě metrik, jako je využití procesoru nebo počet požadavků, aby se instance přidávaly nebo odebíraly v reakci na poptávku. Zvolte režim orchestrace a zásady upgradu , které odpovídají tolerance vaší úlohy při přerušení během aktualizací.

Další informace o limitech šířky pásma VPN Gateway najdete v tématu Gateway SKUs. Pro širší pásma zvažte vhodnost upgradu na bránu ExpressRoute. ExpressRoute poskytuje až 10 Gb/s šířku pásma s nižší latencí než připojení VPN.

Další informace o škálovatelnosti bran Azure najdete v částech věnovaném aspektům škálovatelnosti v těchto tématech:

• Implementace hybridní síťové architektury s Azure a místní sítí VPN
• Implementace hybridní síťové architektury pomocí Azure ExpressRoute

Další informace o správě virtuálních sítí a skupin zabezpečení sítě ve velkém rozsahu najdete v tématu Azure Virtual Network Manager (AVNM): Vytvoření zabezpečeného modelu hvězda-paprsek pro vytvoření nových (a začlenění existujících) topologií virtuálních sítí pro centrální správu připojení a pravidel NSG.

Nasazení tohoto scénáře

Toto nasazení vytvoří dvě skupiny prostředků; první obsahuje simulovanou místní síť, druhou sadu hvězdicových sítí. Napodobení simulované interní sítě a centrální sítě jsou propojené pomocí bran Azure Virtual Network k vytvoření spojení mezi lokalitami. Tato konfigurace je velmi podobná tomu, jak byste připojili místní datové centrum k Azure.

Dokončení tohoto nasazení může trvat až 45 minut.

Azure CLI

Spuštěním následujícího příkazu nasaďte dvě skupiny prostředků a zabezpečenou referenční architekturu sítě pomocí Azure CLI.

Po zobrazení výzvy zadejte hodnoty pro uživatelské jméno správce, heslo a sdílený klíč VPN. Přihlašovací údaje správce se používají jako výchozí přihlašovací údaje pro instance škálovací sady virtuálních počítačů. Sdílený klíč ověřuje připojení VPN typu site-to-site mezi bránami.

az deployment sub create --location eastus \
    --template-uri https://raw.githubusercontent.com/mspnp/samples/main/solutions/secure-hybrid-network/azuredeploy.bicep

PowerShell

Spuštěním následujícího příkazu nasaďte dvě skupiny prostředků a zabezpečenou referenční architekturu sítě pomocí PowerShellu.

Po zobrazení výzvy zadejte hodnoty pro uživatelské jméno správce, heslo a sdílený klíč VPN. Přihlašovací údaje správce se používají jako výchozí přihlašovací údaje pro instance škálovací sady virtuálních počítačů. Sdílený klíč ověřuje připojení VPN typu site-to-site mezi bránami.

New-AzSubscriptionDeployment -Location eastus `
    -TemplateUri https://raw.githubusercontent.com/mspnp/samples/main/solutions/secure-hybrid-network/azuredeploy.bicep

Po dokončení nasazení ověřte připojení typu site-to-site tak, že se podíváte na nově vytvořené prostředky připojení. Na portálu Azure vyhledejte pojení a zkontrolujte stav jednotlivých připojení.

Přidání pravidel DNAT brány firewall

Jakmile se u připojení typu site-to-site zobrazí stav Connected, aktualizujte bránu firewall centra pomocí pravidel DNAT, aby provoz z místního prostředí mohl dosáhnout úloh ve spoke síti.

Azure CLI

FW_IP=$(az network firewall show -g rg-site-to-site-azure-network-eastus2 -n AzureFirewall --query "ipConfigurations[0].privateIPAddress" -o tsv)
LB_IP=$(az network lb frontend-ip list -g rg-site-to-site-azure-network-eastus2 --lb-name lb-internal --query "[0].privateIPAddress" -o tsv)

az deployment group create -n firewallDnat -g rg-site-to-site-azure-network-eastus2 \
    --template-uri https://raw.githubusercontent.com/mspnp/samples/main/solutions/secure-hybrid-network/nestedtemplates/azure-network-azuredeploy-v2.bicep \
    -p firewallName=AzureFirewall firewallPrivateIp=$FW_IP internalLoadBalancerPrivateIp=$LB_IP

PowerShell

$fwIp = (Get-AzFirewall -ResourceGroupName rg-site-to-site-azure-network-eastus2 -Name AzureFirewall).IpConfigurations[0].PrivateIPAddress
$lbIp = (Get-AzLoadBalancerFrontendIpConfig -LoadBalancer (Get-AzLoadBalancer -ResourceGroupName rg-site-to-site-azure-network-eastus2 -Name lb-internal))[0].PrivateIpAddress

New-AzResourceGroupDeployment -Name firewallDnat -ResourceGroupName rg-site-to-site-azure-network-eastus2 `
    -TemplateUri https://raw.githubusercontent.com/mspnp/samples/main/solutions/secure-hybrid-network/nestedtemplates/azure-network-azuredeploy-v2.bicep `
    -firewallName AzureFirewall -firewallPrivateIp $fwIp -internalLoadBalancerPrivateIp $lbIp

Instance služby IIS nalezená v satelitní síti je přístupná z virtuálního počítače umístěného v simulované místní síti. Pomocí zahrnutého hostitele Azure Bastion vytvořte připojení k danému virtuálnímu počítači, otevřete webový prohlížeč a přejděte na adresu interního nástroje pro vyrovnávání zatížení aplikace.

Další informace a další možnosti nasazení najdete v šablonách Bicep použitých k nasazení tohoto řešení: Secure Hybrid Network.

Další kroky

• Topologie sítě typu hub-and-spoke v Azure.
• Azure dokumentace zabezpečení.

Související prostředky

• Připojte místní síť do služby Azure pomocí ExpressRoute.
• Konfigurace společně existujících připojení ExpressRoute a Site-to-Site pomocí PowerShellu
• Rozšíření místní sítě pomocí ExpressRoute