Quali sono le opzioni di architettura di Firewall di Azure Manager?
Firewall di Azure Manager può fornire la gestione della sicurezza per due tipi di architettura di rete:
Hub virtuale protetto
Un hub di rete WAN virtuale di Azure è una risorsa gestita da Microsoft che consente di creare facilmente architetture hub-spoke. Quando i criteri di sicurezza e routing sono associati a tale hub, è noto come hub virtuale protetto.
Rete virtuale hub
Le reti virtuali hub sono reti virtuali di Azure standard che si possono creare e gestire in autonomia. Quando i criteri di sicurezza sono associati a tale hub, è noto come rete virtuale hub. Al momento, è supportato solo il criterio firewall di Azure. È possibile eseguire il peering delle reti virtuali spoke che contengono i server e i servizi del carico di lavoro. È anche possibile gestire i firewall all'interno di reti virtuali autonome non associate a spoke.
Confronto
La tabella seguente confronta queste due opzioni di architettura e consente di decidere quale sia la scelta appropriata per i requisiti di sicurezza dell'organizzazione:
| Rete virtuale hub | Hub virtuale protetto | |
|---|---|---|
| Risorsa sottostante | Rete virtuale | Hub della rete WAN virtuale |
| Hub &spoke | Usa il peering di rete virtuale | Automazione dell'uso della connessione di rete virtuale hub |
| Connettività locale | Gateway VPN fino a 10 Gbps e 30 connessioni S2S; ExpressRoute | Più scalabile Gateway VPN fino a 20 Gbps e 1000 connessioni S2S; ExpressRoute |
| Connettività automatica dei rami con SDWAN | Non supportato | Supportato |
| Hub per area | Più Rete virtuale per area | Più hub virtuali per area |
| Firewall di Azure: più indirizzi IP pubblici | Fornito dal cliente | Generato automaticamente |
| Firewall di Azure zone di disponibilità | Supportata | Supportata |
| Sicurezza Internet avanzata con partner di terze parti Security as a Service | Connettività VPN stabilita e gestita dal cliente al servizio partner preferito | Automatizzato tramite il flusso del provider di partner di sicurezza e l'esperienza di gestione dei partner |
| Gestione centralizzata delle route per instradare il traffico all'hub | Route definita dall'utente gestita dal cliente | Supportato con BGP |
| Supporto di più provider di sicurezza | Supportato con il tunneling forzato configurato manualmente in firewall di terze parti | Supporto automatizzato per due provider di sicurezza: Firewall di Azure per il filtro del traffico privato e terze parti per il filtro Internet |
| Web Application Firewall in gateway applicazione | Supportato in Rete virtuale | Attualmente supportato nella rete spoke |
| Appliance virtuale di rete | Supportato in Rete virtuale | Attualmente supportato nella rete spoke |
| Supporto di Protezione DDoS di Azure | Sì | No |