Umkreisnetzwerke
Umkreisnetzwerke werden manchmal auch als demilitarisierte Zonen (DMZs) bezeichnet und tragen zur Gewährleistung einer sicheren Konnektivität zwischen Cloudnetzwerken, lokalen oder physischen Rechenzentrumsnetzwerken und dem Internet bei.
In wirksamen Umkreisnetzwerken durchlaufen eingehende Pakete zunächst in sicheren Subnetzen gehostete Sicherheitsappliances, bevor sie Back-End-Server erreichen können. Sicherheitsappliances sind Firewalls, virtuelle Netzwerkgeräte (network virtual appliances, NVAs) und andere Angriffserkennungs- und Schutzsysteme. Von Workloads an das Internet gesendete Pakete müssen ebenfalls Sicherheitsappliances im Umkreisnetzwerk durchlaufen, bevor sie das Netzwerk verlassen können.
Üblicherweise definieren Ihre zentralen IT- und Sicherheitsteams die betrieblichen Anforderungen für Umkreisnetzwerke. Umkreisnetzwerke können Richtlinien erzwingen, überprüfen und überwachen.
Umkreisnetzwerke können folgende Azure-Features und -Dienste nutzen:
- Virtuelle Netzwerke, benutzerdefinierte Routen und Netzwerksicherheitsgruppen (NSGs)
- Azure Firewall
- Azure Web Application Firewall für Azure Application Gateway
- Azure Web Application Firewall für Azure Front Door
- Andere virtuelle Netzwerkgeräte (network virtual appliances, NVAs)
- Azure-Lastenausgleich
- Öffentliche IP-Adressen
Weitere Informationen zu Umkreisnetzwerken finden Sie unter Das virtuelle Rechenzentrum: Eine Netzwerkperspektive.
Beispielvorlagen, die Sie für die Implementierung Ihrer eigenen Umkreisnetzwerke verwenden können, finden Sie in der Referenzarchitektur unter Implementieren eines sicheren Hybridnetzwerks.
Topologie eines Umkreisnetzwerks
Das folgende Diagramm zeigt ein exemplarisches Hub-and-Spoke-Netzwerk mit Umkreisnetzwerken, die Zugriff auf das Internet und auf ein lokales Netzwerk erzwingen.
Die Umkreisnetzwerke sind mit dem DMZ-Hub verbunden. Im DMZ-Hub kann das Umkreisnetzwerke zum Internet hochskaliert werden, um eine Vielzahl von Geschäftsaktivitäten zu unterstützen. Diese Unterstützung nutzt mehrere Farmen von WAFs (Web Application Firewalls) und Azure Firewall-Instanzen, die zum Schutz der virtuellen Spoke-Netzwerke beitragen. Der Hub ermöglicht außerdem nach Bedarf Konnektivität zu lokalen und Partnernetzwerken über VPN oder Azure ExpressRoute.
Virtuelle Netzwerke
Umkreisnetzwerke werden üblicherweise innerhalb von virtuellen Netzwerken erstellt. Das virtuelle Netzwerk verwendet mehrere Subnetze, um die verschiedenen Arten von Diensten zu hosten, die ein- oder ausgehenden Datenverkehr anderer Netzwerke oder ein-/ausgehenden Internetdatenverkehr filtern und untersuchen. Zu diesen Diensten zählen virtuelle Netzwerkgeräte sowie WAF- und Application Gateway-Instanzen.
Benutzerdefinierte Routen
In einer Hub-and-Spoke-Netzwerktopologie müssen Sie sicherstellen, dass Datenverkehr, der von virtuellen Computern (virtual machines, VMs) in den Spokes generiert wird, die richtigen virtuellen Geräte im Hub durchläuft. Für diese Weiterleitung von Datenverkehr werden benutzerdefinierte Routen in den Subnetzen der Spokes benötigt.
Benutzerdefinierte Routen können sicherstellen, dass Datenverkehr die angegebenen benutzerdefinierten virtuellen Computer, virtuellen Netzwerkgeräte und Lastenausgleichsmodule durchläuft. Die Route legt die Front-End-IP-Adresse des internen Lastenausgleichs als nächsten Hop fest. Der interne Lastenausgleich verteilt den internen Datenverkehr auf die virtuellen Geräte im Back-End-Pool des Lastenausgleichs.
Sie können benutzerdefinierte Routen verwenden, um Datenverkehr durch Firewalls, Intrusion-Detection-Systeme und andere virtuelle Geräte zu leiten. Kunden können Netzwerkdatenverkehr zur Erzwingung von Sicherheitsrichtlinien, zur Überwachung und zur Überprüfung durch diese Sicherheitsappliances leiten.
Azure Firewall
Azure Firewall ist ein verwalteter, cloudbasierter Firewalldienst, der zum Schutz Ihrer Ressourcen in virtuellen Netzwerken beiträgt. Bei Azure Firewall handelt sich um eine vollständig zustandsbehaftete verwaltete Firewall mit integrierter Hochverfügbarkeit und uneingeschränkter Cloudskalierbarkeit. Mit Azure Firewall können Sie Richtlinien zur Anwendungs- und Netzwerkkonnektivität übergreifend für Abonnements und virtuelle Netzwerke zentral erstellen, erzwingen und protokollieren.
Azure Firewall verwendet eine statische öffentliche IP-Adresse für virtuelle Netzwerkressourcen. Externe Firewalls können die statische öffentliche IP-Adresse verwenden, um Datenverkehr aus Ihrem virtuellen Netzwerk identifizieren. Azure Firewall arbeitet für Protokollierung und Analyse mit Azure Monitor zusammen.
Virtuelle Netzwerkgeräte
Sie können Umkreisnetzwerke mit Zugriff auf das Internet über Azure Firewall oder über eine Farm von Firewalls oder WAFs verwalten. Eine Azure Firewall-Instanz und eine NVA-Firewall können eine gemeinsame Verwaltungsebene mit einer Gruppe von Sicherheitsregeln verwenden. Diese Regeln tragen dazu bei, die in den Spokes gehosteten Workloads zu schützen, und steuern den Zugriff auf lokale Netzwerke. Azure Firewall verfügt über integrierte Skalierbarkeit. NVA-Firewalls können manuell hinter einem Lastenausgleich skaliert werden.
In verschiedenen Branchen werden viele verschiedene Webanwendungen verwendet, die diverse Sicherheitsrisiken und potenzielle Exploits aufweisen können. Eine WAF erkennt Angriffe auf HTTP/S-Webanwendungen besser als eine generische Firewall. Verglichen mit herkömmlichen Firewalls besitzen WAFs spezifische Features, die dazu beitragen, interne Webserver vor Bedrohungen zu schützen.
Eine Firewallfarm verfügt im Vergleich zu einer WAF über weniger spezialisierte Software, muss aber auch einen weiter gefassten Anwendungsbereich filtern und alle Arten von ein- oder ausgehendem Datenverkehr untersuchen. Wenn Sie einen NVA-Ansatz verwenden, können Sie Software in Azure Marketplace finden und bereitstellen.
Verwenden Sie eine Gruppe von Azure Firewall-Instanzen oder virtuelle Netzwerkgeräte für Datenverkehr aus dem Internet und eine andere Gruppe für Datenverkehr aus der lokalen Umgebung. Die Verwendung einer einzelnen Gruppe von Firewalls für beide Arten von Datenverkehr stellt ein Sicherheitsrisiko dar, da sie keinen wirksamen Sicherheitsperimeter zwischen den beiden Arten von Netzwerkdatenverkehr bietet. Separate Firewallebenen vereinfachen die Überprüfung von Sicherheitsregeln und ermöglichen eine eindeutige Zuordnung von Regeln zu eingehenden Netzwerkanforderungen.
Azure Load Balancer
Azure Load Balancer bietet einen TCP/UDP-Lastenausgleichsdienst (Transmission Control-Protokoll/User Datagram-Protokoll) mit hoher Verfügbarkeit der Ebene 4. Dieser Dienst kann eingehenden Datenverkehr auf Dienstinstanzen verteilen, die durch eine Lastenausgleichsgruppe definiert werden. Load Balancer kann Datenverkehr von öffentlichen oder privaten IP-Endpunkten des Front-Ends mit oder ohne Adressübersetzung an einen Pool von Back-End-IP-Adressen (z. B. virtuelle Netzwerkgeräte oder virtuelle Computer) weiter verteilen.
Load Balancer kann auch die Integrität der Serverinstanzen testen. Wenn eine Instanz nicht auf einen Test reagiert, sendet der Lastenausgleich keinen weiteren Datenverkehr an die fehlerhafte Instanz.
Im Beispiel mit der Hub-and-Spoke-Netzwerktopologie wird ein externer Lastausgleich sowohl für den Hub als auch für die Spokes bereitgestellt. Im Hub leitet der Lastenausgleich Datenverkehr effizient an Dienste in den Spokes weiter. Der Lastenausgleich in den Spokes verwaltet den Anwendungsdatenverkehr.
Azure Front Door
Azure Front Door stellt eine hochverfügbare und hochgradig skalierbare Plattform für die Beschleunigung von Webanwendungen sowie einen globalen HTTPS-Lastenausgleich bereit. Sie können Azure Front Door verwenden, Ihre dynamischen Webanwendungen und statischen Inhalte zu erstellen, auszuführen und aufzuskalieren. Azure Front Door wird an mehr als 100 Standorten im Edgebereich des globalen Netzwerks von Microsoft ausgeführt.
Azure Front Door bietet Ihrer Anwendung:
- Einheitliche Automatisierung der Wartung von Regionen und Skalierungseinheiten
- BCDR-Automatisierung (Business Continuity & Disaster Recovery)
- Einheitliche Client- und Benutzerinformationen
- Zwischenspeicherung.
- Erkenntnisse zu Diensten
Azure Front Door bietet Leistung, Zuverlässigkeit und Vereinbarungen zum Servicelevel (service-level agreements, SLAs) für den Support. Außerdem bietet Azure Front Door Konformitätszertifizierungen und überwachbare Sicherheitsverfahren, die von Azure entwickelt, betrieben und nativ unterstützt werden.
Application Gateway
Application Gateway ist ein dediziertes virtuelles Gerät, das einen verwalteten Controller zur Anwendungsbereitstellung (Application Delivery Controller, ADC) bereitstellt. Application Gateway bietet verschiedene Lastenausgleichsfunktionen der Ebene 7 für Ihre Anwendung.
Mit Application Gateway können Sie die Produktivität von Webfarmen optimieren, indem Sie die CPU-intensive SSL-Terminierung (Secure Sockets Layer) auslagern. Application Gateway bietet noch weitere Routingfunktionen der Ebene 7. Hierzu zählen beispielsweise:
- Roundrobin-Verteilung des eingehenden Datenverkehrs.
- Cookiebasierte Sitzungsaffinität:
- Routing auf URL-Pfadbasis.
- Hosten von mehreren Websites hinter einer einzelnen Application Gateway-Instanz
Die SKU Application Gateway WAF beinhaltet eine WAF und schützt Webanwendungen vor allgemeinen Onlinesicherheitsrisiken und Exploits. Application Gateway kann als Gateway mit Internetzugriff, rein internes Gateway oder als Kombination dieser beiden Optionen konfiguriert werden.
Öffentliche IP-Adressen
Einige Azure-Features bieten die Möglichkeit, Dienstendpunkte einer öffentlichen IP-Adresse zuzuordnen. Diese Option ermöglicht Zugriff auf Ihre Ressource über das Internet. Der Endpunkt verwendet Netzwerkadressenübersetzung (network address translation, NAT), um Datenverkehr an die interne Adresse und den Port im virtuellen Azure-Netzwerk weiterzuleiten. Dieser Pfad ist der Hauptpfad, über den externer Datenverkehr in das virtuelle Netzwerk gelangt. Sie können die öffentlichen IP-Adressen konfigurieren, um zu steuern, welcher Datenverkehr zugelassen wird bzw. wie und wo eine Übersetzung in das virtuelle Netzwerk stattfindet.
Azure DDoS Protection
Azure DDoS Protection stellt zusätzliche Risikominderungsfunktionen bereit, um Ihre Azure-Ressourcen in virtuellen Netzwerken vor DDoS-Angriffen zu schützen. DDoS Protection verfügt über zwei SKUs: DDoS-IP-Schutz und DDoS-Netzwerkschutz. Weitere Informationen finden Sie unter Informationen zum Vergleich der Azure DDoS Protection-SKUs.
DDoS Protection kann einfach aktiviert werden und erfordert keine Anwendungsänderungen. Sie können Schutzrichtlinien über dedizierte Datenverkehrsüberwachung und Machine Learning-Algorithmen optimieren. DDoS Protection schützt öffentliche Azure-IP-Adressen vom Typ „IPv4“, die bereitgestellten Ressourcen in virtuellen Netzwerken zugeordnet sind. Beispiele für solche Ressourcen sind Instanzen von Load Balancer, Application Gateway und Azure Service Fabric.
Über Azure Monitor-Ansichten stehen Echtzeittelemetriedaten zur Verfügung – sowohl während eines Angriffs als auch zur späteren Verwendung. Mit Web Application Firewall in Application Gateway können Sie Schutz auf Anwendungsebene hinzufügen.
Nächste Schritte
Lernen Sie, wie Sie allgemeine Kommunikations- oder Sicherheitsanforderungen mithilfe einer Hub-and-Spoke-Netzwerktopologie effizient verwalten können.