Bejövő és kimenő internetkapcsolat tervezése
Ez a cikk az Azure és a nyilvános internet közötti bejövő és kimenő kapcsolatokra vonatkozó szempontokat és javaslatokat sorolja fel.
Kialakítási szempontok
Az Azure natív hálózati biztonsági szolgáltatásai, például az Azure Firewall, az Azure Web Application Firewall (WAF) Azure-alkalmazás Gatewayen és az Azure Front Door teljes körűen felügyeltek. Nem merülnek fel a nagy léptékű infrastruktúra-üzembe helyezés üzemeltetési és felügyeleti költségei és összetettsége.
Ha a szervezet inkább nem Azure-beli hálózati virtuális berendezést (NVA-kat) használ, vagy olyan helyzetekben, amikor a natív szolgáltatások nem felelnek meg bizonyos követelményeknek, az Azure célzóna architektúrája teljes mértékben kompatibilis a partner NVA-kkal.
Az Azure számos közvetlen kimenő internetkapcsolati módszert biztosít, például hálózati címfordítási (NAT) átjárókat vagy terheléselosztókat virtuális gépekhez (virtuális gépekhez) vagy virtuális hálózatok számítási példányaihoz. Az Azure NAT Gateway ajánlott alapértelmezettként a kimenő kapcsolatok engedélyezéséhez, mivel ez a legegyszerűbb beállítás, és az Azure-ban elérhető összes kimenő kapcsolati módszer közül a legskálázhatóbb és leghatékonyabb megoldás. További információkért tekintse meg az Azure kimenő kapcsolati módszereit.
Tervezési javaslatok
Az Azure NAT Gateway használatával közvetlen kimenő internetkapcsolatot létesíthet. A NAT-átjáró egy teljes mértékben felügyelt, rendkívül rugalmas NAT-szolgáltatás, amely skálázható és igény szerinti SNAT-t biztosít.
NAT-átjáró használata:
- Dinamikus vagy nagy számítási feladatok, amely forgalmat küld az internetre.
- Statikus és kiszámítható nyilvános IP-címek a kimenő kapcsolatokhoz. A NAT-átjáró legfeljebb 16 nyilvános IP-címmel vagy /28 nyilvános IP-előtaggal társítható.
- Az SNAT-portok terheléselosztó kimenő szabályaival, az Azure Firewalllal vagy Azure-alkalmazás-szolgáltatásokkal kapcsolatos gyakori problémák elhárítása.
- A hálózaton belüli erőforrások biztonsága és adatvédelem. Csak a kimenő és a visszafelé irányuló forgalom haladhat át a NAT-átjárón.
Az Azure Firewall használatával szabályozhatja az alábbiakat:
- Azure-beli kimenő forgalom az internetre.
- Nem HTTP/S bejövő kapcsolatok.
- Kelet-nyugati forgalomszűrés, ha a szervezetnek szüksége van rá.
Az Azure Firewall Premium használata speciális tűzfalfunkciókhoz, például:
- Transport Layer Security (TLS) vizsgálat.
- Hálózati behatolásészlelési és -megelőzési rendszer (IDPS).
- URL-szűrés.
- Webkategóriák.
Az Azure Firewall Manager az Azure Virtual WAN-t és a hagyományos virtuális hálózatokat is támogatja. A Firewall Manager és a Virtual WAN használatával Azure-tűzfalakat helyezhet üzembe és kezelhet a Virtual WAN-központokban vagy a központi virtuális hálózatokban.
Ha több IP-címet és tartományt használ következetesen az Azure Firewall szabályaiban, állítsa be az IP-csoportokat az Azure Firewallban. Az Azure Firewall DNST-ben, hálózati és alkalmazásszabályokban található IP-csoportokat több azure-régióban és előfizetésben is használhatja.
Ha egyéni felhasználó által megadott útvonalat (UDR) használ az Azure-platform mint szolgáltatás (PaaS) szolgáltatáshoz való kimenő kapcsolat kezeléséhez, adjon meg egy szolgáltatáscímkét címelőtagként. A szolgáltatáscímkék automatikusan frissítik a mögöttes IP-címeket a módosítások belefoglalásához, és csökkentik az Azure-előtagok útvonaltáblában való kezelésének többletterhelését.
Hozzon létre egy globális Azure Firewall-szabályzatot a globális hálózati környezet biztonsági helyzetének szabályozásához. Rendelje hozzá a szabályzatot az összes Azure Firewall-példányhoz.
Lehetővé teszi, hogy a részletes szabályzatok megfeleljenek bizonyos régiókövetelményeknek az Azure szerepköralapú hozzáférés-vezérlésének használatával, hogy növekményes szabályzatokat delegáljanak a helyi biztonsági csapatoknak.
A WAF használata kezdőzónás virtuális hálózaton belül a bejövő HTTP/S-forgalom internetes védelméhez.
Az Azure Front Door- és WAF-szabályzatok használatával globális védelmet biztosíthat az Azure-régiók között a célzóna felé irányuló bejövő HTTP/S-kapcsolatokhoz.
Ha az Azure Front Door és Azure-alkalmazás Gateway használatával szeretné megvédeni a HTTP/S-alkalmazásokat, használja a WAF-szabályzatokat az Azure Front Doorban. Zárolja Azure-alkalmazás átjárót, hogy csak az Azure Front Doorból fogadhassa a forgalmat.
Ha partner NVA-kra van szüksége a bejövő HTTP/S kapcsolatokhoz, helyezze üzembe őket egy célzóna virtuális hálózaton belül, azokkal az alkalmazásokkal együtt, amelyeket védenek és tesznek elérhetővé az interneten.
A kimenő hozzáféréshez ne használja az Azure alapértelmezett kimenő internetes hozzáférését semmilyen forgatókönyvhöz. Az alapértelmezett kimenő hozzáféréssel kapcsolatos problémák a következők:
- Az SNAT-portok kimerülésének megnövekedett kockázata.
- Alapértelmezés szerint nem biztonságos.
- Nem függhet az alapértelmezett hozzáférési IP-címektől. Ezek nem az ügyfél tulajdonában vannak, és változhatnak.
Nat-átjárót használjon online célzónákhoz, vagy a központi virtuális hálózathoz nem csatlakozó célzónákhoz. Az olyan számítási erőforrások, amelyeknek kimenő internet-hozzáférésre van szükségük, és nincs szükségük az Azure Firewall standard vagy prémium szintű biztonságára, vagy egy harmadik féltől származó NVA-hoz, használhatnak online célzónát.
Ha a szervezet a szolgáltatott szoftveres (SaaS) biztonsági szolgáltatókat szeretné használni a kimenő kapcsolatok védelméhez, konfigurálja a tűzfalkezelőben a támogatott partnereket.
Ha partner NVA-kat használ a kelet-nyugati vagy észak-déli forgalomvédelemhez és szűréshez:
- Virtual WAN hálózati topológiák esetén helyezze üzembe az NVA-kat egy külön NVA virtuális hálózaton. Csatlakozás a virtuális hálózatot a regionális Virtual WAN-központhoz és az NVA-khoz hozzáférést igénylő célzónákhoz. További információ : Forgatókönyv: Forgalom irányítása NVA-n keresztül.
- Nem Virtual WAN hálózati topológiák esetén telepítse a partner NVA-kat a központi központi virtuális hálózaton.
Ne tegye elérhetővé a virtuálisgép-felügyeleti portokat az interneten. Felügyeleti feladatok esetén:
- Az Azure Policy használatával megakadályozhatja a virtuális gépek nyilvános IP-címekkel való létrehozását.
- Az Azure Bastion használatával elérheti a jumpbox virtuális gépeket.
Az Azure DDoS Protection védelmi csomagjaival megvédheti a virtuális hálózatokon belül üzemeltetett nyilvános végpontokat.
Ne próbálja meg replikálni a helyszíni peremhálózati fogalmakat és architektúrákat az Azure-ba. Bár az Azure hasonló biztonsági képességekkel rendelkezik, az implementáció és az architektúra a felhőhöz van igazítva.