Reti perimetrali
Le reti perimetrali, talvolta chiamate zone demilitarizzate (DMZ), consentono di fornire connettività sicura tra reti cloud, reti locali o data center fisiche e Internet.
Nelle reti perimetrali efficaci, i pacchetti in ingresso passano attraverso appliance di sicurezza ospitate in subnet sicure, prima che i pacchetti possano raggiungere i server back-end. Le appliance di sicurezza includono firewall, appliance virtuali di rete (NVA) e altri sistemi di rilevamento e prevenzione delle intrusioni. I pacchetti associati a Internet dai carichi di lavoro devono anche passare attraverso appliance di sicurezza nella rete perimetrale prima di lasciare la rete.
In genere, i team IT centrali e i team di sicurezza sono responsabili della definizione dei requisiti operativi per le reti perimetrali. Le reti perimetrali possono fornire un'applicazione dei criteri, un'ispezione e un controllo.
Le reti perimetrali possono usare le funzionalità e i servizi di Azure seguenti:
- Reti virtuali, route definite dall'utente e gruppi di sicurezza di rete
- Firewall di Azure
- Web application firewall di Azure in gateway applicazione di Azure
- Azure Web application firewall in Frontdoor di Azure
- Altre appliance virtuali di rete (NVA)
- Azure Load Balancer
- Indirizzi IP pubblici
Per altre informazioni sulle reti perimetrali, vedere Data center virtuale: prospettiva di rete.
Ad esempio, i modelli che è possibile usare per implementare reti perimetrali personalizzate, vedere l'architettura di riferimento Implementa una rete ibrida sicura.
Topologia di rete perimetrale
Il diagramma seguente illustra una rete hub e spoke di esempio con reti perimetrali che applicano l'accesso a Internet e a una rete locale.
Le reti perimetrali sono connesse all'hub dmZ. Nell'hub della rete perimetrale, la rete perimetrale a Internet può aumentare le prestazioni per supportare molte linee di business. Questo supporto usa più farm di firewall applicazioni Web e Firewall di Azure istanze che consentono di proteggere le reti virtuali spoke. L'hub consente anche la connettività alle reti locali o partner tramite rete privata virtuale (VPN) o Azure ExpressRoute in base alle esigenze.
Reti virtuali
Le reti perimetrali vengono in genere compilate all'interno di reti virtuali. La rete virtuale usa più subnet per ospitare i diversi tipi di servizi che filtrano e controllano il traffico verso o da altre reti o da Internet. Questi servizi includono NVA, WAFs e istanze di gateway applicazione.
Route definite dall'utente
In una topologia di rete hub e spoke è necessario garantire che il traffico generato dalle macchine virtuali (VM) negli spoke passi attraverso le appliance virtuali corrette nell'hub. Questo routing del traffico richiede route definite dall'utente nelle subnet degli spoke.
Le route definite dall'utente possono garantire che il traffico passi attraverso macchine virtuali personalizzate, NVAs e servizi di bilanciamento del carico specificati. La route imposta l'indirizzo IP front-end del servizio di bilanciamento del carico interno come hop successivo. Il servizio di bilanciamento del carico interno distribuisce il traffico interno alle appliance virtuali nel pool back-end del servizio di bilanciamento del carico.
È possibile usare route definite dall'utente per indirizzare il traffico tramite firewall, sistemi di rilevamento delle intrusioni e altre appliance virtuali. I clienti possono instradare il traffico di rete attraverso queste appliance di sicurezza per l'imposizione dei criteri di sicurezza, il controllo e l'ispezione.
Firewall di Azure
Firewall di Azure è un servizio firewall basato sul cloud gestito che consente di proteggere le risorse nelle reti virtuali. Firewall di Azure è un firewall completamente gestito con stato con disponibilità elevata predefinita e scalabilità cloud senza restrizioni. È possibile usare Firewall di Azure per creare, applicare e registrare in modo centralizzato le applicazioni e i criteri di connettività di rete tra sottoscrizioni e reti virtuali.
Firewall di Azure usa un indirizzo IP pubblico statico per le risorse di rete virtuale. I firewall esterni possono usare l'IP pubblico statico per identificare il traffico proveniente dalla rete virtuale. Firewall di Azure funziona con Monitoraggio di Azure per la registrazione e l'analisi.
Appliance virtuali di rete
È possibile gestire reti perimetrali con accesso a Internet tramite Firewall di Azure o tramite una farm di firewall o WAF. Un'istanza Firewall di Azure e un firewall NVA possono usare un piano di amministrazione comune con un set di regole di sicurezza. Queste regole consentono di proteggere i carichi di lavoro ospitati negli spoke e controllare l'accesso alle reti locali. Firewall di Azure ha scalabilità predefinita e i firewall di rete possono essere ridimensionati manualmente dietro un servizio di bilanciamento del carico.
Diverse linee di business usano molte applicazioni Web diverse, che possono soffrire di varie vulnerabilità e potenziali exploit. Un WAF rileva attacchi alle applicazioni Web HTTP/S in modo più approfondito rispetto a un firewall generico. Rispetto alla tecnologia firewall tradizionale, i WAFS hanno un set di funzionalità specifiche per proteggere i server Web interni dalle minacce.
Una farm del firewall ha un software meno specializzato di un WAF, ma ha anche un ambito di applicazione più ampio per filtrare e controllare qualsiasi tipo di traffico in uscita e in ingresso. Se si usa un approccio NVA, è possibile trovare e distribuire software dall'Azure Marketplace.
Usare un set di istanze Firewall di Azure o NVA per il traffico che ha origine su Internet e un altro set per il traffico che ha origine in locale. L'uso di un solo set di firewall per entrambi i tipi di traffico è un rischio di sicurezza, perché non esiste un perimetro di sicurezza tra i due set di traffico di rete. L'uso di livelli firewall separati riduce la complessità delle regole di sicurezza e chiarisce quali regole corrispondono alle richieste di rete in ingresso.
Azure Load Balancer
Azure Load Balancer offre un servizio di bilanciamento del carico tcp/UDP (PROTOCOLLO TCP/UDP) a disponibilità elevata. Questo servizio può distribuire il traffico in ingresso tra le istanze del servizio definite da un set di bilanciamento del carico. Load Balancer può ridistribuire il traffico da endpoint IP pubblici o privati front-end, con o senza traduzione degli indirizzi, a un pool di indirizzi IP back-end come NVA o VM.
Load Balancer può anche eseguire il probe dell'integrità delle istanze del server. Quando un'istanza non riesce a rispondere a un probe, il servizio di bilanciamento del carico smette di inviare il traffico all'istanza non integra.
Nell'esempio di topologia di rete hub e spoke si distribuisce un servizio di bilanciamento del carico esterno nell'hub e negli spoke. Nell'hub il servizio di bilanciamento del carico instrada in modo efficiente il traffico ai servizi negli spoke. Il servizio di bilanciamento del carico negli spoke gestisce il traffico dell'applicazione.
Frontdoor di Azure
Frontdoor di Azure è una piattaforma di accelerazione dell'applicazione Web a disponibilità elevata e scalabile e servizio di bilanciamento del carico HTTPS globale. È possibile usare Frontdoor di Azure per creare, gestire e aumentare le prestazioni per un'applicazione Web dinamica e per il contenuto statico. Frontdoor di Azure viene eseguito in più di 100 posizioni al bordo della rete globale di Microsoft.
Frontdoor di Azure fornisce all'applicazione:
- Automazione unificata della manutenzione a livello di area e timbro.
- Automazione della continuità aziendale e del ripristino di emergenza.Business continuity and disaster recovery (BCDR).
- Informazioni utente e client unificata.
- Memorizzazione nella cache
- Informazioni dettagliate sul servizio
Frontdoor di Azure offre contratti di servizio, affidabilità e prestazioni per il supporto. Frontdoor di Azure offre anche certificazioni di conformità e procedure di sicurezza controllabili che Azure sviluppa, opera e supporta in modo nativo.
Gateway applicazione
gateway applicazione è un'appliance virtuale dedicata che offre un controller di recapito di applicazioni gestite. gateway applicazione offre varie funzionalità di bilanciamento del carico di livello 7 per l'applicazione.
gateway applicazione consente di ottimizzare la produttività della web farm offload della terminazione ssl (Secure Socket Layer) a elevato utilizzo della CPU. gateway applicazione offre anche altre funzionalità di routing di livello 7, ad esempio:
- Distribuzione round-robin del traffico in ingresso.
- Affinità di sessione basata su cookie
- Routing basato su percorsi URL
- Hosting di più siti Web dietro un gateway applicazione singolo.
Il gateway applicazione con LO SKU WAF include un WAF e fornisce protezione alle applicazioni Web da vulnerabilità e exploit Web comuni. È possibile configurare il gateway applicazione come gateway con connessione Internet, come gateway solo interno o come una combinazione di queste due opzioni.
Indirizzi IP pubblici
Alcune funzionalità di Azure consentono di associare gli endpoint di servizio a un indirizzo IP pubblico Questa opzione consente l'accesso alla risorsa da Internet. L'endpoint usa la traduzione degli indirizzi di rete (NAT) per instradare il traffico all'indirizzo interno e alla porta nella rete virtuale di Azure. Questo percorso è il modo principale per passare il traffico esterno alla rete virtuale. È possibile configurare gli indirizzi IP pubblici per controllare il traffico passato e come e dove viene tradotto nella rete virtuale.
Protezione DDoS di Azure
Protezione DDoS di Azure offre funzionalità di mitigazione aggiuntive per proteggere le risorse di Azure nelle reti virtuali da attacchi DDoS (Distributed Denial of Service). Protezione DDoS include due SKU, protezione IP DDoS e protezione di rete DDoS. Per altre informazioni, vedere Informazioni sul confronto degli SKU di protezione DDoS di Azure.
Protezione DDoS è facile da abilitare e non richiede modifiche all'applicazione. È possibile ottimizzare i criteri di protezione tramite il monitoraggio del traffico dedicato e algoritmi di Machine Learning. Protezione DDoS applica la protezione agli indirizzi IP pubblici di Azure IPv4 associati alle risorse distribuite nelle reti virtuali. Le risorse di esempio includono Load Balancer, gateway applicazione e istanze di Azure Service Fabric.
I dati di telemetria in tempo reale sono disponibili tramite le visualizzazioni monitoraggio di Azure, sia durante un attacco che per scopi cronologici. È possibile aggiungere la protezione a livello di applicazione usando Web application firewall in gateway applicazione.
Passaggi successivi
Informazioni su come gestire in modo efficiente i requisiti di comunicazione o sicurezza comuni usando il modello di topologia di rete hub e spoke .