Integrasi firewall Azure Stack Hub
Sebaiknya gunakan perangkat firewall untuk membantu mengamankan Azure Stack Hub. Firewall dapat membantu mempertahankan diri dari hal-hal seperti denial-of-service (DDOS), deteksi intrusi, dan inspeksi konten. Namun, firewall juga bisa menjadi hambatan throughput untuk layanan penyimpanan Azure seperti blob, tabel, dan antrean.
Jika mode penyebaran terputus digunakan, Anda harus menerbitkan titik akhir AD FS. Untuk informasi selengkapnya, lihat artikel identitas integrasi pusat data.
Azure Resource Manager (administrator), portal administrator, dan titik akhir Key Vault (administrator) tidak selalu memerlukan penerbitan eksternal. Misalnya, sebagai penyedia layanan, Anda dapat membatasi permukaan serangan dengan hanya mengelola Azure Stack Hub dari dalam jaringan Anda, dan bukan dari internet.
Untuk organisasi perusahaan, jaringan eksternal dapat berupa jaringan perusahaan yang ada. Dalam skenario ini, Anda harus menerbitkan titik akhir untuk mengoperasikan Azure Stack Hub dari jaringan perusahaan.
Network Address Translation
Network Address Translation (NAT) adalah metode yang direkomendasikan guna memungkinkan penyebaran mesin virtual (DVM) untuk mengakses sumber daya eksternal dan internet selama penyebaran serta mesin virtual Emergency Recovery Console (ERCS) atau titik akhir istimewa (PEP) selama pendaftaran dan pemecahan masalah.
NAT juga dapat menjadi alternatif untuk alamat IP Publik pada jaringan eksternal atau VIP publik. Namun, tidak disarankan untuk melakukannya karena membatasi pengalaman pengguna penyewa dan meningkatkan kompleksitas. Salah satu opsi adalah NAT satu lawan satu yang masih membutuhkan satu IP publik per IP pengguna di kumpulan. Opsi lainnya adalah NAT banyak ke satu yang memerlukan aturan NAT per VIP pengguna untuk semua port yang mungkin digunakan pengguna.
Beberapa kelemahan menggunakan NAT untuk VIP Publik adalah:
- NAT menambahkan overhead saat mengelola aturan firewall karena pengguna mengontrol titik akhir mereka sendiri dan aturan penerbitan mereka sendiri di tumpukan jaringan yang ditentukan perangkat lunak (SDN). Pengguna harus menghubungi operator Azure Stack Hub untuk menerbitkan VIP mereka, dan untuk memperbarui daftar port.
- Meskipun penggunaan NAT membatasi pengalaman pengguna, NAT memberikan kontrol penuh kepada operator atas permintaan penerbitan.
- Untuk skenario cloud hibrida dengan Azure, pertimbangkan bahwa Azure tidak mendukung penyiapan tunnel VPN ke titik akhir menggunakan NAT.
Intersepsi SSL
Saat ini disarankan untuk menonaktifkan semua intersepsi SSL (misalnya pembongkaran dekripsi) pada semua lalu lintas Azure Stack Hub. Jika didukung di pembaruan mendatang, panduan akan diberikan tentang cara mengaktifkan intersepsi SSL untuk Azure Stack Hub.
Skenario firewall Edge
Dalam penyebaran edge, Azure Stack Hub disebarkan langsung di belakang router edge atau firewall. Dalam skenario ini, didukung untuk firewall berada di atas perbatasan (Skenario 1) di mana ia mendukung konfigurasi firewall aktif-aktif dan aktif-pasif atau bertindak sebagai perangkat perbatasan (Skenario 2) di mana hanya mendukung konfigurasi firewall aktif-aktif mengandalkan multi-path biaya sama (ECMP) dengan BGP atau perutean statis untuk failover.
Alamat IP yang dapat dirutekan publik ditentukan untuk kumpulan VIP publik dari jaringan eksternal pada waktu penyebaran. Dalam skenario edge, tidak disarankan untuk menggunakan IP yang dapat dirutekan publik di jaringan lain mana pun untuk tujuan keamanan. Skenario ini memungkinkan pengguna untuk mengalami pengalaman cloud yang sepenuhnya dikendalikan sendiri seperti di cloud publik seperti Azure.
Skenario intranet atau firewall jaringan perimeter perusahaan
Dalam penyebaran intranet atau perimeter perusahaan, Azure Stack Hub disebarkan di firewall multi-zona atau di antara firewall edge dan firewall jaringan internal perusahaan. Lalu lintasnya kemudian didistribusikan antara aman, jaringan perimeter (atau DMZ), dan zona tidak aman seperti yang dijelaskan di bawah ini:
- Zona aman: Ini adalah jaringan internal yang menggunakan alamat IP internal atau perusahaan yang dapat dirutekan. Jaringan aman dapat dibagi, memiliki akses keluar internet melalui NAT pada Firewall, dan biasanya dapat diakses dari mana saja di dalam pusat data Anda melalui jaringan internal. Semua jaringan Azure Stack Hub harus berada di zona aman kecuali untuk kumpulan VIP publik jaringan eksternal.
- Zona perimeter. Jaringan perimeter adalah tempat aplikasi eksternal atau yang tersambung internet seperti server Web biasanya digunakan. Jaringan tersebut biasanya dipantau oleh firewall untuk menghindari serangan seperti DDoS dan intrusi (hacking) sementara masih memungkinkan lalu lintas masuk tertentu dari internet. Hanya kumpulan VIP publik jaringan eksternal dari Azure Stack Hub yang harus berada di zona DMZ.
- Zona tidak aman. Ini adalah jaringan eksternal, internet. Tidak disarankan untuk menyebarkan Azure Stack Hub di zona tidak aman.
Pelajari lebih lanjut
Pelajari lebih lanjut port dan protokol yang digunakan oleh titik akhir Azure Stack Hub.