Integrazione del firewall dell'hub di Azure Stack

È consigliabile usare un dispositivo firewall per proteggere l'hub di Azure Stack. I firewall possono aiutare a difendersi da elementi come attacchi DDOS (Distributed Denial of Service), rilevamento delle intrusioni e ispezione del contenuto. Tuttavia, possono anche diventare un collo di bottiglia della velocità effettiva per i servizi di archiviazione di Azure, ad esempio BLOB, tabelle e code.

Se viene usata una modalità di distribuzione disconnessa, è necessario pubblicare l'endpoint AD FS. Per altre informazioni, vedere l'articolo sull'identità dell'integrazione del data center.

Gli endpoint di Azure Resource Manager (amministratore), portale di amministratore e Key Vault (amministratore) non richiedono necessariamente la pubblicazione esterna. Ad esempio, come provider di servizi, è possibile limitare la superficie di attacco solo amministrare l'hub di Azure Stack dall'interno della rete e non da Internet.

Per le organizzazioni aziendali, la rete esterna può essere la rete aziendale esistente. In questo scenario è necessario pubblicare gli endpoint per gestire l'hub di Azure Stack dalla rete aziendale.

Network Address Translation

Network Address Translation (NAT) è il metodo consigliato per consentire alla macchina virtuale di distribuzione (DVM) di accedere alle risorse esterne e a Internet durante la distribuzione, nonché alle macchine virtuali di Ripristino di emergenza (ERCS) o all'endpoint con privilegi (PEP) durante la registrazione e la risoluzione dei problemi.

NAT può anche essere un'alternativa agli indirizzi IP pubblici nella rete esterna o negli indirizzi VIP pubblici. Tuttavia, non è consigliabile farlo perché limita l'esperienza utente del tenant e aumenta la complessità. Un'opzione sarebbe una a una nat che richiede ancora un INDIRIZZO IP pubblico per utente nel pool. Un'altra opzione è un numero elevato di NAT che richiede una regola NAT per utente VIP per tutte le porte che un utente può usare.

Alcuni dei aspetti negativi dell'uso di NAT per VIP pubblico sono:

  • NAT aggiunge sovraccarico durante la gestione delle regole del firewall perché gli utenti controllano i propri endpoint e le proprie regole di pubblicazione nello stack SDN (Software Defined Networking). Gli utenti devono contattare l'operatore hub di Azure Stack per ottenere i propri INDIRIZZI VIP pubblicati e aggiornare l'elenco delle porte.
  • Mentre l'utilizzo NAT limita l'esperienza utente, offre il controllo completo all'operatore sulla pubblicazione delle richieste.
  • Per gli scenari cloud ibridi con Azure, considerare che Azure non supporta la configurazione di un tunnel VPN in un endpoint tramite NAT.

Intercettamento SSL

È attualmente consigliabile disabilitare qualsiasi intercettazione SSL (ad esempio decrittografia offload) in tutto il traffico dell'hub di Azure Stack. Se è supportato negli aggiornamenti futuri, verranno fornite indicazioni su come abilitare l'intercettazione SSL per l'hub di Azure Stack.

Scenario del firewall perimetrale

In una distribuzione perimetrale l'hub di Azure Stack viene distribuito direttamente dietro il router perimetrale o il firewall. In questi scenari, è supportato per il firewall al di sopra del bordo (scenario 1) in cui supporta configurazioni firewall attive e attive o che agiscono come dispositivo di bordo (scenario 2) in cui supporta solo la configurazione del firewall attivo-attivo basata su multi-path (ECMP) con multi-path (ECMP) uguale a costi uguali con BGP o routing statico per il failover.

Gli indirizzi IP instradabili pubblici vengono specificati per il pool VIP pubblico dalla rete esterna in fase di distribuzione. In uno scenario perimetrale non è consigliabile usare indirizzi IP instradabili pubblici in qualsiasi altra rete a scopo di sicurezza. Questo scenario consente a un utente di sperimentare l'esperienza cloud auto-controllata completa come in un cloud pubblico come Azure.

Azure Stack Hub edge firewall example

Enterprise scenario del firewall di rete intranet o perimetrale

In una distribuzione intranet o perimetrale aziendale, l'hub di Azure Stack viene distribuito in un firewall a più zone o tra il firewall perimetrale e il firewall di rete aziendale interno. Il traffico viene quindi distribuito tra la rete sicura, perimetrale o la rete perimetrale e le zone non sicure, come descritto di seguito:

  • Zona sicura: si tratta della rete interna che usa indirizzi IP interni o aziendali instradabili. La rete sicura può essere divisa, avere l'accesso in uscita a Internet tramite NAT sul firewall ed è in genere accessibile da qualsiasi posizione all'interno del data center tramite la rete interna. Tutte le reti hub di Azure Stack devono risiedere nella zona sicura, ad eccezione del pool VIP pubblico della rete esterna.
  • Zona perimetrale. La rete perimetrale è la posizione in cui vengono in genere distribuite app esterne o con connessione Internet come i server Web. In genere è monitorato da un firewall per evitare attacchi come DDoS e intrusioni (hacking) mentre consentono comunque il traffico in ingresso specificato da Internet. Solo il pool VIP pubblico di rete esterna dell'hub di Azure Stack deve risiedere nella zona dmZ.
  • Zona non sicura. Si tratta della rete esterna, internet. Non è consigliabile distribuire l'hub di Azure Stack nella zona non sicura.

Azure Stack Hub perimeter network example

Altre informazioni

Altre informazioni sulle porte e sui protocolli usati dagli endpoint dell'hub di Azure Stack.

Passaggi successivi

Requisiti dell'infrastruttura PKI dell'hub di Azure Stack