Az Azure éles hálózata

  • Cikk

Az Azure éles hálózat felhasználói közé tartoznak a saját Azure-alkalmazásaikat elérő külső ügyfelek és az éles hálózatot felügyelő belső Azure-támogatás személyzet. Ez a cikk az Azure éles hálózatához való csatlakozás biztonsági hozzáférési módszereit és védelmi mechanizmusait ismerteti.

Internetes útválasztás és hibatűrés

A globálisan redundáns belső és külső Azure Domain Name Service- (DNS-) infrastruktúra több elsődleges és másodlagos DNS-kiszolgálófürttel kombinálva hibatűrést biztosít. Ugyanakkor további Azure hálózati biztonsági vezérlők, például a NetScaler is használatosak az elosztott szolgáltatásmegtagadási (DDoS) támadások megelőzésére és az Azure DNS-szolgáltatások integritásának védelmére.

Az Azure DNS-kiszolgálók több adatközpontban találhatók. Az Azure DNS implementációja magában foglalja a másodlagos és elsődleges DNS-kiszolgálók hierarchiáját az Azure-ügyféltartománynevek nyilvános feloldásához. A tartománynevek általában egy CloudApp.net címre lesznek feloldva, amely az ügyfél szolgáltatásának virtuális IP-címét (VIP) burkolja. Az Azure-ban egyedi, a bérlői fordítás belső dedikált IP-címének (DIP) megfelelő VIRTUÁLIS IP-címet az adott VIRTUÁLIS IP-címért felelős Microsoft terheléselosztók végzik.

Az Azure az USA-ban földrajzilag elosztott Azure-adatközpontokban üzemel, és a legmodernebb útválasztási platformokra épül, amelyek robusztus, méretezhető architekturális szabványokat implementálnak. A fontosabb funkciók közé tartoznak a következők:

  • Multiprotocol Label Switching (MPLS)-alapú forgalomtervezés, amely hatékony kapcsolatkihasználtságot és a szolgáltatás kecses romlását biztosítja, ha kimaradás történik.
  • A hálózatok a "need plus one" (N+1) redundanciaarchitektúrákkal vannak implementálva, vagy jobbak.
  • Az adatközpontokat külsőleg dedikált, nagy sávszélességű hálózati kapcsolatcsoportok szolgálják ki, amelyek világszerte több mint 1200 internetszolgáltatóval kötnek össze tulajdonságokat több társviszony-létesítési ponton. Ez a kapcsolat másodpercenként 2000 gigabájtot (GBps) meghaladó peremhálózati kapacitást biztosít.

Mivel a Microsoft saját hálózati kapcsolatcsoportokat birtokol az adatközpontok között, ezek az attribútumok segítenek elérni az Azure-ajánlat 99,9%-os hálózati rendelkezésre állását anélkül, hogy hagyományos külső internetszolgáltatókra van szükség.

Kapcsolat az éles hálózathoz és a kapcsolódó tűzfalakhoz

Az Azure hálózati internetes forgalomáramlási szabályzata az Usa legközelebbi regionális adatközpontjában található Azure éles hálózatra irányítja a forgalmat. Mivel az Azure éles adatközpontjai konzisztens hálózati architektúrát és hardvert tartanak fenn, az ezt követő forgalom leírása következetesen vonatkozik az összes adatközpontra.

Miután az Azure internetes forgalmát a legközelebbi adatközpontba irányították, létrejön egy kapcsolat a hozzáférési útválasztókkal. Ezek a hozzáférési útválasztók az Azure-csomópontok és az ügyfél által példányosított virtuális gépek közötti forgalom elkülönítésére szolgálnak. A hozzáférési és peremhálózati helyeken található hálózati infrastruktúra-eszközök azok a határpontok, ahol a bemeneti és kimenő forgalom szűrőit alkalmazza a rendszer. Ezek az útválasztók rétegzett hozzáférés-vezérlési listán (ACL) keresztül vannak konfigurálva a nem kívánt hálózati forgalom szűrésére és szükség esetén a forgalmi sebesség korlátainak alkalmazására. Az ACL által engedélyezett forgalmat a rendszer a terheléselosztókhoz irányítja. A terjesztési útválasztók úgy vannak kialakítva, hogy csak a Microsoft által jóváhagyott IP-címeket engedélyezzenek, hamisítás elleni hamisítást biztosítsanak, és ACL-eket használó TCP-kapcsolatokat hozzanak létre.

A külső terheléselosztási eszközök a hozzáférési útválasztók mögött találhatók, hogy hálózati címfordítást (NAT) hajtsanak végre az internetre irányítható IP-címekről az Azure belső IP-címeire. Az eszközök a csomagokat érvényes éles belső IP-címekre és portokra is átirányítják, és védelmi mechanizmusként működnek a belső éles hálózati címtér felszabadítására.

Alapértelmezés szerint a Microsoft a Hypertext Transfer Protocol Secure (HTTPS) protokollt kényszeríti ki az ügyfelek webböngészőinek továbbított összes forgalomra, beleértve a bejelentkezést és az azt követő összes forgalmat. A TLS v1.2 használata biztonságos alagutat tesz lehetővé a forgalom számára. A hozzáférési és alapvető útválasztók ACL-jei biztosítják, hogy a forgalom forrása összhangban legyen a várttal.

Ebben az architektúrában a hagyományos biztonsági architektúrához képest fontos különbség, hogy nincsenek dedikált hardveres tűzfalak, speciális behatolásészlelő vagy -megelőzési eszközök vagy egyéb biztonsági berendezések, amelyek általában elvárhatóak az Azure éles környezethez való csatlakozás előtt. Az ügyfelek általában elvárják ezeket a hardveres tűzfaleszközöket az Azure-hálózatban; az Azure-ban azonban egyik sem alkalmazható. Ezek a biztonsági funkciók szinte kizárólag az Azure-környezetet futtató szoftverbe vannak beépítve, hogy robusztus, többrétegű biztonsági mechanizmusokat, köztük tűzfalfunkciókat biztosítsanak. Emellett a kritikus fontosságú biztonsági eszközök határainak és a hozzájuk tartozó sprawl hatókörének kezelése és leltározása is egyszerűbb az előző ábrán látható módon, mivel az Azure-t futtató szoftver kezeli.

Alapvető biztonsági és tűzfalfunkciók

Az Azure robusztus szoftverbiztonsági és tűzfalfunkciókat valósít meg különböző szinteken, hogy a hagyományos környezetben általában elvárt biztonsági funkciókat kényszerítse ki az alapvető biztonsági engedélyezési határ védelme érdekében.

Az Azure biztonsági funkciói

Az Azure gazdagépalapú szoftveres tűzfalakat implementál az éles hálózaton belül. Az alapvető Azure-környezetben számos alapvető biztonsági és tűzfalfunkció található. Ezek a biztonsági funkciók az Azure-környezeten belüli mélységi védelmi stratégiát tükrözik. Az Azure-beli ügyféladatokat a következő tűzfalak védik:

Hipervizor tűzfal (csomagszűrő):Ez a tűzfal a hipervizorban van implementálva, és a hálóvezérlő (FC) ügynöke konfigurálja. Ez a tűzfal védi a virtuális gépen futó bérlőt a jogosulatlan hozzáféréstől. Alapértelmezés szerint a virtuális gép létrehozásakor az összes forgalom le lesz tiltva, majd az FC-ügynök szabályokat és kivételeket ad hozzá a szűrőhöz az engedélyezett forgalom engedélyezéséhez.

Itt két szabálykategória van beprogramozva:

  • Gépkonfigurálási vagy infrastruktúra-szabályok: Alapértelmezés szerint minden kommunikáció le van tiltva. Léteznek olyan kivételek, amelyek lehetővé teszik a virtuális gépek számára a DHCP-kommunikációk és DNS-információk küldését és fogadását, valamint a forgalom "nyilvános" internetes kimenő küldését az FC-fürt és az operációsrendszer-aktiválási kiszolgáló más virtuális gépei felé. Mivel a virtuális gépek kimenő célhelyeinek engedélyezett listája nem tartalmazza az Azure-útválasztó alhálózatait és más Microsoft-tulajdonságokat, a szabályok védelmi rétegként működnek számukra.
  • Szerepkörkonfigurációs fájlszabályok: Meghatározza a bejövő ACL-eket a bérlők szolgáltatásmodellje alapján. Ha például egy bérlő webes előtérrel rendelkezik egy adott virtuális gépen a 80-as porton, a 80-ás port minden IP-címre megnyílik. Ha a virtuális gép futó feldolgozói szerepkörrel rendelkezik, a feldolgozói szerepkör csak az ugyanazon bérlőn belüli virtuális gép számára nyílik meg.

Natív gazdagép tűzfala: Az Azure Service Fabric és az Azure Storage natív operációs rendszeren fut, amely nem rendelkezik hipervizorral, ezért a Windows tűzfal az előző két szabálykészlettel van konfigurálva.

Gazdagép tűzfala: A gazdagép tűzfala védi a hipervizort futtató gazdagéppartíciót. A szabályok úgy vannak beprogramozva, hogy csak az FC és a jump mezők kommunikálhassanak a gazdagéppartícióval egy adott porton. A többi kivétel a DHCP-válasz és a DNS-válaszok engedélyezése. Az Azure egy gépkonfigurációs fájlt használ, amely a gazdagéppartíció tűzfalszabályainak sablonját tartalmazza. Létezik egy gazdagép tűzfalkivétele is, amely lehetővé teszi, hogy a virtuális gépek adott protokollon/portokon keresztül kommunikáljanak a gazdagép összetevőivel, a vezetékes kiszolgálóval és a metaadat-kiszolgálóval.

Vendég tűzfal: A vendég operációs rendszer Windows tűzfala, amelyet az ügyfelek konfigurálnak az ügyfél virtuális gépeihez és tárolóihoz.

Az Azure-képességekbe beépített további biztonsági funkciók a következők:

  • A DIP-ekből származó IP-címekhez rendelt infrastruktúra-összetevők. Az interneten lévő támadók nem tudják kezelni az ilyen címekre érkező forgalmat, mert nem érik el a Microsoftot. Az internetes átjáró útválasztói a kizárólag belső címekre címzett csomagokat szűrik, így nem lépnek be az éles hálózatba. A VIRTUÁLIS IP-címekre irányuló forgalmat csak terheléselosztók fogadják.

  • Az összes belső csomóponton implementált tűzfalak esetében három elsődleges biztonsági architektúra-szempontot kell figyelembe venni minden adott forgatókönyv esetében:

    • A tűzfalak a terheléselosztó mögött vannak elhelyezve, és bárhonnan fogadják a csomagokat. Ezeket a csomagokat külsőleg kell elérhetővé tenni, és egy hagyományos peremhálózati tűzfal nyitott portjainak felelnek meg.
    • A tűzfalak csak korlátozott számú címről fogadnak csomagokat. Ez a szempont a DDoS-támadások elleni mélységi védelmi stratégia része. Az ilyen kapcsolatok titkosítással hitelesítve vannak.
    • A tűzfalak csak bizonyos belső csomópontokról érhetők el. Csak a forrás IP-címek enumerált listájából fogadnak csomagokat, amelyek mindegyike az Azure-hálózaton belüli DIP-k. A vállalati hálózatra irányuló támadás például a kéréseket ezekre a címekre irányíthatja, de a támadások le lesznek tiltva, kivéve, ha a csomag forráscíme szerepel az Azure-hálózat számba vehető listájában.
      • A peremhálózati hozzáférési útválasztó blokkolja azOkat a kimenő csomagokat, amelyek a konfigurált statikus útvonalak miatt az Azure-hálózaton belüli címre vannak címezve.

Következő lépések

Ha többet szeretne megtudni arról, hogy mit tesz a Microsoft az Azure-infrastruktúra védelme érdekében, tekintse meg a következő témakört: