Brána firewall datacentra ve službě Azure Stack HCI
Funkce brány firewall datacentra (SDN) služby Azure Stack HCI softwarově definovaných sítí může potenciálně pomoct zvýšit zabezpečení vašeho prostředí. Firewall datacentra může také minimalizovat rozrůstaní hardwarových zařízení, aby podporovala iniciativy konsolidace vaší společnosti. Potřebujete zajistit, aby možnosti brány firewall datacentra přesahují virtuální sítě a poskytovaly integraci se stávajícím prostředím virtuální místní sítě (VLAN).
Stejně jako tradiční místní datacentra, která používají fyzická zařízení brány firewall k omezení síťového připojení, musí mít prostředí SDN možnost řídit připojení. Distribuovaná brána firewall datacentra poskytuje tuto funkci a spolu s bránou serveru pro vyrovnávání zatížení softwaru a serverem vzdáleného přístupu (RAS) slouží jako základní součást SDN. Síťový adaptér poskytuje centrální rozhraní pro správu a monitorování brány firewall datacentra, které pomáhá chránit virtualizované úlohy před neoprávněným přístupem k síti.
Výhody brány firewall datacentra
Tradiční brány firewall cílí na hraniční připojení, filtrují provoz mezi místními datacentry a internetem, běžně označované jako komunikace na sever a jih . Tento přístup nabízí omezenou ochranu v dnešním světě, kde hranice sítě má menší význam jako hranice ochrany.
Kvůli smysluplné ochraně ve strategii nulové důvěryhodnosti musí brány firewall také pomoct chránit prostředky v datacentru před interními hrozbami. Použití fyzických bran firewall k filtrování místní komunikace, označované také jako provoz east-west , je náročné, protože vyžaduje přidané investice do hardwaru a provozní režii. Směrování veškerého chráněného provozu prostřednictvím samostatného fyzického zařízení také zvyšuje latenci, což negativně ovlivňuje interní úlohy.
V Azure Stack HCI můžete definovat podrobné softwarové filtrování virtualizovaných úloh, které se vztahují na externí a interní provoz. Firewall datacentra poskytuje toto filtrování prostřednictvím seznamů řízení přístupu (ACL) v logických a virtuálních sítích.
Pro správce Azure Stack HCI poskytuje brána firewall datacentra následující výhody:
- Vysoce škálovatelné softwarové řešení brány firewall, které je možné centrálně spravovat.
- Možnost přesouvat virtuální počítače mezi uzly clusteru Azure Stack HCI, aniž by to ovlivnilo konfiguraci brány firewall.
- Ochrana virtuálních počítačů tenanta bez ohledu na hostovaný operační systém
Pro tenanty Azure Stack HCI poskytuje brána firewall datacentra ochranu na úrovni sítě v následujících scénářích:
- Internetové úlohy v rámci virtuálních a logických sítí Azure Stack HCI.
- Komunikace mezi podsítěmi virtuální a logické sítě Azure Stack HCI a mezi těmito podsítěmi.
- Komunikace mezi sítěmi datacenter a úlohami tenantů hostovanými službou Azure Stack HCI
Funkce brány firewall datacentra
Firewall datacentra je síťová, stavová, víceklientová brána firewall, která podporuje filtrování podle libovolné kombinace pěti parametrů: čísla zdrojových a cílových portů, zdrojové a cílové IP adresy a protokol. Brána firewall datového centra se implementuje jako distribuovaná brána firewall se zásadami, které můžete použít na úrovni síťového rozhraní virtuálního počítače, podsítě logické sítě nebo podsítě virtuální sítě.
Přenosy mezi virtualizovanými úlohami můžete omezit v externích i interních sítích. Síťový adaptér použije zásady brány firewall na porty virtuálního přepínače uzlů clusteru Azure Stack HCI, které fungují jako hostitelé Hyper-V. Tyto zásady podporují úlohy Azure Stack HCI, které jsou připojené k sítím založeným na síti VLAN.
K implementaci filtrování provozu založeného na bráně firewall datacentra definujete zásady brány firewall pomocí libovolného nástroje pro správu, který podporuje komunikaci s rozhraním REST (Northbound Representational State Transfer) API síťového adaptéru. Mezi tyto nástroje patří PowerShell, Windows Správa Center a Microsoft System Center Virtual Machine Manager (VMM).
Pravidla se automaticky aktualizují, pokud přesunete virtuální počítače mezi uzly clusteru. Síťový adaptér také automaticky opraví všechny odchylky od zásad, které jste definovali kvůli změnám místní konfigurace. Tento proces usnadňuje přenositelnost a pomáhá zajistit, aby ochrana založená na bráně firewall zůstala konzistentní.
Následující diagram znázorňuje, jak síťový adaptér funguje s distribuovanou bránou firewall. Brána firewall datacentra používá zásady pro správu bran firewall, které chrání virtuální počítače.
