Az Azure Stack Hub tűzfal-integrációja
Javasoljuk, hogy az Azure Stack Hub biztonságossá tételéhez használjon tűzfaleszközt. A tűzfalak segíthetnek megvédeni az olyan dolgok ellen, mint az elosztott szolgáltatásmegtagadásos (DDOS-) támadások, a behatolásészlelés és a tartalomvizsgálat. Azonban az Azure Storage-szolgáltatások, például blobok, táblák és üzenetsorok átviteli sebességének szűk keresztmetszetévé is válhatnak.
Ha leválasztott üzembe helyezési módot használ, közzé kell tennie az AD FS-végpontot. További információkért lásd az adatközpont-integrációs identitásról szóló cikket.
Az Azure Resource Manager (rendszergazda), a rendszergazdai portál és a Key Vault (rendszergazdai) végpontok nem feltétlenül igényelnek külső közzétételt. Szolgáltatóként például korlátozhatja a támadási felületet úgy, hogy csak az Azure Stack Hubot felügyeli a hálózaton belülről, nem pedig az internetről.
Vállalati szervezetek esetén a külső hálózat lehet a meglévő vállalati hálózat. Ebben a forgatókönyvben közzé kell tennie a végpontokat az Azure Stack Hub vállalati hálózatról történő üzemeltetéséhez.
Hálózati címfordítás
A hálózati címfordítás (NAT) az ajánlott módszer, amely lehetővé teszi, hogy az üzembehelyezési virtuális gép (DVM) hozzáférjen a külső erőforrásokhoz és az internethez az üzembe helyezés során, valamint a vészhelyreállítási konzol (ERCS) virtuális gépeihez vagy kiemelt végpontjaihoz (PEP) a regisztráció és a hibaelhárítás során.
A NAT a külső hálózaton vagy a nyilvános IP-címeken található nyilvános IP-címek alternatívát is jelenthet. Ez azonban nem ajánlott, mert korlátozza a bérlő felhasználói élményét, és növeli a bonyolultságot. Az egyik lehetőség az egy-az-egy NAT, amely továbbra is egy nyilvános IP-címet igényel felhasználónkénti IP-cím a készletben. Egy másik lehetőség egy több–egy NAT, amely felhasználónkénti VIRTUÁLIS IP-címenkénti NAT-szabályt igényel minden olyan porthoz, amelyet a felhasználó használhat.
A NAT nyilvános VIP-hez való használatának néhány hátránya a következő:
- A NAT többletterhelést jelent a tűzfalszabályok kezelésekor, mivel a felhasználók a saját végpontjaikat és saját közzétételi szabályaikat szabályozzák a szoftveralapú hálózatkezelési (SDN-) veremben. A felhasználóknak kapcsolatba kell lépniük az Azure Stack Hub-operátorral a VIRTUÁLIS IP-címek közzétételéhez és a portlista frissítéséhez.
- Bár a NAT-használat korlátozza a felhasználói élményt, teljes körű vezérlést biztosít az operátornak a közzétételi kérések felett.
- Az Azure-ral kapcsolatos hibrid felhős forgatókönyvek esetében vegye figyelembe, hogy az Azure nem támogatja a VPN-alagút végpontra történő beállítását NAT használatával.
SSL-elfogás
Jelenleg ajánlott letiltani minden SSL-elfogást (például visszafejtési kiszervezést) az összes Azure Stack Hub-forgalomon. Ha a jövőbeli frissítések támogatják, útmutatást kap arról, hogyan engedélyezheti az SSL-elfogást az Azure Stack Hubhoz.
Edge tűzfalforgatókönyv
Peremhálózati üzembe helyezés esetén az Azure Stack Hub közvetlenül a peremhálózati útválasztó vagy a tűzfal mögött van üzembe helyezve. Ezekben a forgatókönyvekben támogatott, hogy a tűzfal a határ felett legyen (1. forgatókönyv), ahol az aktív-aktív és az aktív-passzív tűzfalkonfigurációkat is támogatja, vagy szegélyeszközként (2. forgatókönyv), ahol csak az aktív-aktív tűzfalkonfigurációt támogatja, amely egyenlő költségű többútvonalos (ECMP) BGP-vel vagy statikus útválasztással működik a feladatátvételhez.
A nyilvánosan irányítható IP-címek a külső hálózatról származó nyilvános VIRTUÁLIS IP-címkészlethez vannak megadva az üzembe helyezés időpontjában. Peremhálózati forgatókönyvekben nem ajánlott nyilvános, irányítható IP-címeket használni más hálózatokon biztonsági okokból. Ez a forgatókönyv lehetővé teszi, hogy a felhasználó a teljes önvezérelt felhőélményt megtapasztalja, mint egy nyilvános felhőben, például az Azure-ban.
Vállalati intranetes vagy szegélyhálózati tűzfalforgatókönyv
Vállalati intranetes vagy peremhálózati környezetben az Azure Stack Hub többzónás tűzfalon vagy a peremhálózati tűzfal és a belső vállalati hálózati tűzfal között van üzembe helyezve. A forgalom ezután el van osztva a biztonságos, szegélyhálózat (vagy DMZ) és a nem biztonságos zónák között az alábbiak szerint:
- Biztonságos zóna: Ez az a belső hálózat, amely belső vagy vállalati irányítható IP-címeket használ. A biztonságos hálózat felosztható, a tűzfal nat-on keresztüli internetes kimenő hozzáférése van, és általában az adatközponton belülről, a belső hálózaton keresztül érhető el. Minden Azure Stack Hub-hálózatnak a biztonsági zónában kell lennie, kivéve a külső hálózat nyilvános VIP-készletét.
- Szegélyhálózat. A szegélyhálózaton általában külső vagy internetes alkalmazások, például webkiszolgálók vannak üzembe helyezve. Általában egy tűzfal figyeli, hogy elkerülje az olyan támadásokat, mint a DDoS és a behatolás (hackelés), miközben továbbra is engedélyezi a megadott bejövő forgalmat az internetről. Csak az Azure Stack Hub külső hálózati nyilvános VIP-készlete legyen a DMZ-zónában.
- Nem biztonságos zóna. Ez a külső hálózat, az internet. Nem ajánlott az Azure Stack Hub üzembe helyezése a nem biztonságos zónában.
Tudjon meg többet
További információ az Azure Stack Hub-végpontok által használt portokról és protokollokról.
Következő lépések
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: