Bejövő és kimenő internetkapcsolat tervezése

  • Cikk

Ez a cikk az Azure és a nyilvános internet közötti bejövő és kimenő kapcsolatokra vonatkozó szempontokat és javaslatokat sorolja fel.

Kialakítási szempontok

  • Az Azure natív hálózati biztonsági szolgáltatásai, például az Azure Firewall, az Azure Web Application Firewall (WAF) Azure-alkalmazás Gatewayen és az Azure Front Door teljes körűen felügyeltek. Nem merülnek fel a nagy léptékű infrastruktúra-üzembe helyezés üzemeltetési és felügyeleti költségei és összetettsége.

  • Ha a szervezet inkább nem Azure-beli hálózati virtuális berendezést (NVA-kat) használ, vagy olyan helyzetekben, amikor a natív szolgáltatások nem felelnek meg bizonyos követelményeknek, az Azure célzóna architektúrája teljes mértékben kompatibilis a partner NVA-kkal.

  • Az Azure számos közvetlen kimenő internetkapcsolati módszert biztosít, például hálózati címfordítási (NAT) átjárókat vagy terheléselosztókat virtuális gépekhez (virtuális gépekhez) vagy virtuális hálózatok számítási példányaihoz. Az Azure NAT Gateway ajánlott alapértelmezettként a kimenő kapcsolatok engedélyezéséhez, mivel ez a legegyszerűbb beállítás, és az Azure-ban elérhető összes kimenő kapcsolati módszer közül a legskálázhatóbb és leghatékonyabb megoldás. További információkért tekintse meg az Azure kimenő kapcsolati módszereit.

Tervezési javaslatok

  • Az Azure NAT Gateway használatával közvetlen kimenő internetkapcsolatot létesíthet. A NAT-átjáró egy teljes mértékben felügyelt, rendkívül rugalmas NAT-szolgáltatás, amely skálázható és igény szerinti SNAT-t biztosít.

    • NAT-átjáró használata:

      • Dinamikus vagy nagy számítási feladatok, amely forgalmat küld az internetre.
      • Statikus és kiszámítható nyilvános IP-címek a kimenő kapcsolatokhoz. A NAT-átjáró legfeljebb 16 nyilvános IP-címmel vagy /28 nyilvános IP-előtaggal társítható.
      • Az SNAT-portok terheléselosztó kimenő szabályaival, az Azure Firewalllal vagy Azure-alkalmazás-szolgáltatásokkal kapcsolatos gyakori problémák elhárítása.
      • A hálózaton belüli erőforrások biztonsága és adatvédelem. Csak a kimenő és a visszafelé irányuló forgalom haladhat át a NAT-átjárón.

  • Az Azure Firewall használatával szabályozhatja az alábbiakat:

    • Azure-beli kimenő forgalom az internetre.
    • Nem HTTP/S bejövő kapcsolatok.
    • Kelet-nyugati forgalomszűrés, ha a szervezetnek szüksége van rá.

  • Az Azure Firewall Premium használata speciális tűzfalfunkciókhoz, például:

    • Transport Layer Security (TLS) vizsgálat.
    • Hálózati behatolásészlelési és -megelőzési rendszer (IDPS).
    • URL-szűrés.
    • Webkategóriák.

  • Az Azure Firewall Manager az Azure Virtual WAN-t és a hagyományos virtuális hálózatokat is támogatja. A Firewall Manager és a Virtual WAN használatával Azure-tűzfalakat helyezhet üzembe és kezelhet a Virtual WAN-központokban vagy a központi virtuális hálózatokban.

  • Ha több IP-címet és tartományt használ következetesen az Azure Firewall szabályaiban, állítsa be az IP-csoportokat az Azure Firewallban. Az Azure Firewall DNST-ben, hálózati és alkalmazásszabályokban található IP-csoportokat több azure-régióban és előfizetésben is használhatja.

  • Ha egyéni felhasználó által megadott útvonalat (UDR) használ az Azure-platform mint szolgáltatás (PaaS) szolgáltatáshoz való kimenő kapcsolat kezeléséhez, adjon meg egy szolgáltatáscímkét címelőtagként. A szolgáltatáscímkék automatikusan frissítik a mögöttes IP-címeket a módosítások belefoglalásához, és csökkentik az Azure-előtagok útvonaltáblában való kezelésének többletterhelését.

  • Hozzon létre egy globális Azure Firewall-szabályzatot a globális hálózati környezet biztonsági helyzetének szabályozásához. Rendelje hozzá a szabályzatot az összes Azure Firewall-példányhoz.

  • Lehetővé teszi, hogy a részletes szabályzatok megfeleljenek bizonyos régiókövetelményeknek az Azure szerepköralapú hozzáférés-vezérlésének használatával, hogy növekményes szabályzatokat delegáljanak a helyi biztonsági csapatoknak.

  • A WAF használata kezdőzónás virtuális hálózaton belül a bejövő HTTP/S-forgalom internetes védelméhez.

  • Az Azure Front Door- és WAF-szabályzatok használatával globális védelmet biztosíthat az Azure-régiók között a célzóna felé irányuló bejövő HTTP/S-kapcsolatokhoz.

  • Ha az Azure Front Door és Azure-alkalmazás Gateway használatával szeretné megvédeni a HTTP/S-alkalmazásokat, használja a WAF-szabályzatokat az Azure Front Doorban. Zárolja Azure-alkalmazás átjárót, hogy csak az Azure Front Doorból fogadhassa a forgalmat.

  • Ha partner NVA-kra van szüksége a bejövő HTTP/S kapcsolatokhoz, helyezze üzembe őket egy célzóna virtuális hálózaton belül, azokkal az alkalmazásokkal együtt, amelyeket védenek és tesznek elérhetővé az interneten.

  • A kimenő hozzáféréshez ne használja az Azure alapértelmezett kimenő internetes hozzáférését semmilyen forgatókönyvhöz. Az alapértelmezett kimenő hozzáféréssel kapcsolatos problémák a következők:

    • Az SNAT-portok kimerülésének megnövekedett kockázata.
    • Alapértelmezés szerint nem biztonságos.
    • Nem függhet az alapértelmezett hozzáférési IP-címektől. Ezek nem az ügyfél tulajdonában vannak, és változhatnak.

  • Nat-átjárót használjon online célzónákhoz, vagy a központi virtuális hálózathoz nem csatlakozó célzónákhoz. Az olyan számítási erőforrások, amelyeknek kimenő internet-hozzáférésre van szükségük, és nincs szükségük az Azure Firewall standard vagy prémium szintű biztonságára, vagy egy harmadik féltől származó NVA-hoz, használhatnak online célzónát.

  • Ha a szervezet a szolgáltatott szoftveres (SaaS) biztonsági szolgáltatókat szeretné használni a kimenő kapcsolatok védelméhez, konfigurálja a tűzfalkezelőben a támogatott partnereket.

  • Ha partner NVA-kat használ a kelet-nyugati vagy észak-déli forgalomvédelemhez és szűréshez:

    • Virtual WAN hálózati topológiák esetén helyezze üzembe az NVA-kat egy külön NVA virtuális hálózaton. Csatlakozás a virtuális hálózatot a regionális Virtual WAN-központhoz és az NVA-khoz hozzáférést igénylő célzónákhoz. További információ : Forgatókönyv: Forgalom irányítása NVA-n keresztül.
    • Nem Virtual WAN hálózati topológiák esetén telepítse a partner NVA-kat a központi központi virtuális hálózaton.

  • Ne tegye elérhetővé a virtuálisgép-felügyeleti portokat az interneten. Felügyeleti feladatok esetén:

    • Az Azure Policy használatával megakadályozhatja a virtuális gépek nyilvános IP-címekkel való létrehozását.
    • Az Azure Bastion használatával elérheti a jumpbox virtuális gépeket.

  • Az Azure DDoS Protection védelmi csomagjaival megvédheti a virtuális hálózatokon belül üzemeltetett nyilvános végpontokat.

  • Ne próbálja meg replikálni a helyszíni peremhálózati fogalmakat és architektúrákat az Azure-ba. Bár az Azure hasonló biztonsági képességekkel rendelkezik, az implementáció és az architektúra a felhőhöz van igazítva.