Plánování příchozího a odchozího připojení k internetu
Tento článek obsahuje důležité informace a doporučení pro příchozí a odchozí připojení mezi Azure a veřejným internetem.
Aspekty návrhu
Plně spravované jsou nativní služby zabezpečení sítě Azure, jako jsou Azure Firewall, Azure Web Application Firewall (WAF) ve službě Aplikace Azure Gateway a Azure Front Door. Neúčtují se provozní náklady a náklady na správu a složitost nasazení infrastruktury ve velkém měřítku.
Pokud vaše organizace preferuje použití síťového virtuálního zařízení mimo Azure nebo v situacích, kdy nativní služby nesplňují konkrétní požadavky, je architektura cílové zóny Azure plně kompatibilní s partnerskými síťovými virtuálními virtuálními zařízeními.
Azure poskytuje několik metod přímého odchozího připojení k internetu, jako jsou brány překladu adres (NAT) nebo nástroje pro vyrovnávání zatížení pro virtuální počítače nebo výpočetní instance ve virtuální síti. Azure NAT Gateway se doporučuje jako výchozí pro povolení odchozího připojení, protože je zprovozněná nejjednodušší nastavení a je to nejsnadnější a nejefektivnější možnost mezi všemi metodami odchozího připojení dostupnými v Azure. Další informace najdete v tématu Metody odchozího připojení Azure.
Doporučení k návrhu
Azure NAT Gateway slouží k přímému odchozímu připojení k internetu. NaT Gateway je plně spravovaná a vysoce odolná služba NAT, která poskytuje škálovatelné ANAT na vyžádání.
Použití služby NAT Gateway pro:
- Dynamické nebo velké úlohy odesílající provoz do internetu
- Statické a předvídatelné veřejné IP adresy pro odchozí připojení NaT Gateway je možné přidružit až k 16 veřejným IP adresům nebo předponě veřejné IP adresy /28.
- Zmírnění problémů s vyčerpáním portů SNAT, ke kterým běžně dochází u odchozích pravidel nástroje pro vyrovnávání zatížení, služby Azure Firewall nebo služeb Aplikace Azure.
- Zabezpečení a ochrana osobních údajů prostředků ve vaší síti Přes bránu NAT Gateway může projít pouze odchozí a návratový provoz.
Řízení pomocí služby Azure Firewall:
- Odchozí provoz Azure do internetu.
- Příchozí připojení bez HTTP/S.
- Filtrování provozu východ-západ, pokud to vaše organizace vyžaduje.
Azure Firewall Premium použijte k pokročilým funkcím brány firewall, například:
- Kontrola protokolu TLS (Transport Layer Security).
- Systém pro detekci a prevenci narušení sítě (IDPS).
- Filtrování adres URL
- Webové kategorie.
Azure Firewall Manager podporuje Azure Virtual WAN i běžné virtuální sítě. Pomocí Správce brány firewall se službou Virtual WAN můžete nasazovat a spravovat brány Azure Firewall napříč rozbočovači Virtual WAN nebo ve virtuálních sítích centra.
Pokud v pravidlech služby Azure Firewall používáte více IP adres a rozsahů konzistentně, nastavte skupiny IP adres ve službě Azure Firewall. Skupiny IP adres můžete použít v pravidlech DNAT, sítě a aplikace služby Azure Firewall pro více bran firewall napříč oblastmi a předplatnými Azure.
Pokud ke správě odchozího připojení ke službám Azure jako služby (PaaS) používáte vlastní trasu definovanou uživatelem, zadejte jako předponu adresy značku služby. Značky služeb aktualizují základní IP adresy automaticky tak, aby zahrnovaly změny, a snižují režii při správě předpon Azure ve směrovací tabulce.
Vytvořte globální zásady služby Azure Firewall pro řízení stavu zabezpečení v globálním síťovém prostředí. Přiřaďte zásady všem instancím služby Azure Firewall.
Povolte podrobné zásady, aby splňovaly konkrétní požadavky na oblast pomocí řízení přístupu na základě role Azure k delegování přírůstkových zásad místním týmům zabezpečení.
K ochraně příchozího provozu HTTP/S z internetu použijte WAF ve virtuální síti cílové zóny.
Pomocí zásad Služby Azure Front Door a WAF můžete poskytovat globální ochranu napříč oblastmi Azure pro příchozí připojení HTTP/S k cílové zóně.
Pokud chcete použít Azure Front Door a Aplikace Azure Gateway k ochraně aplikací HTTP/S, použijte zásady WAF ve službě Azure Front Door. Uzamkněte Aplikace Azure Gateway, aby přijímala provoz jenom z Azure Front Dooru.
Pokud potřebujete partnerské síťové virtuální zařízení pro příchozí připojení HTTP/S, nasaďte je do virtuální sítě cílové zóny společně s aplikacemi, které chrání a zpřístupňují internetu.
Pro odchozí přístup nepoužívejte výchozí internetový odchozí přístup Azure pro žádný scénář. Mezi problémy s výchozím odchozím přístupem patří:
- Zvýšené riziko vyčerpání portů SNAT.
- Nezabezpečené ve výchozím nastavení.
- Nemůžu záviset na výchozích IP adresách přístupu. Vlastníkem zákazníka nejsou a můžou se změnit.
Pro online cílové zóny nebo cílové zóny, které nejsou připojené k virtuální síti centra, použijte bránu NAT Gateway. Výpočetní prostředky, které potřebují odchozí přístup k internetu a nepotřebují zabezpečení služby Azure Firewall úrovně Standard nebo Premium nebo síťové virtuální zařízení třetí strany, můžou používat online cílové zóny.
Pokud vaše organizace chce používat poskytovatele zabezpečení SaaS (software jako služba) k ochraně odchozích připojení, nakonfigurujte podporované partnery ve Správci firewallu.
Pokud používáte partnerská síťová virtuální zařízení pro ochranu provozu východ-západ nebo sever-jih a filtrování:
- V případě topologií sítě Virtual WAN nasaďte síťová virtuální zařízení do samostatné virtuální sítě síťového virtuálního zařízení. Připojení virtuální síť do regionálního centra Virtual WAN a cílových zón, které potřebují přístup k síťovým virtuálním virtuálním zařízením. Další informace najdete v tématu Scénář: Směrování provozu přes síťové virtuální zařízení.
- V případě síťových topologií, které nejsou virtuálními sítěmi virtual WAN, nasaďte partnerské síťové virtuální zařízení v centrální virtuální síti centra.
Nezpřístupňujte porty pro správu virtuálních počítačů na internetu. Úlohy správy:
- Pomocí Služby Azure Policy můžete zabránit vytváření virtuálních počítačů s veřejnými IP adresami.
- K přístupu k virtuálním počítačům jumpboxu použijte Azure Bastion .
Plány ochrany Azure DDoS Protection vám pomůžou chránit veřejné koncové body, které hostujete ve virtuálních sítích.
Nepokoušejte se do Azure replikovat koncepty a architektury místní hraniční sítě. I když Azure má podobné možnosti zabezpečení, implementace a architektura jsou přizpůsobené cloudu.