Patroon-implementatie voor inkomend verkeer via netwerk

Met netwerkbeveiliging worden verschillende ontwerppatronen ingekapseld, waaronder de patronen voor globale routering, wereldwijde offloading en statuseindpuntbewaking. U kunt de patroonimplementatie in dit artikel gebruiken als gateway voor elke HTTP- of HTTPS-workload waarvoor hoge beschikbaarheid of betrouwbaarheid is vereist door veilige wereldwijde routering te bieden naar workloads in verschillende regio's met failover met lage latentie.

Video: Implementatie van inkomend verkeer via netwerk

Patroonvereisten

In dit artikel worden drie vereisten beschreven waarop de patroonimplementatie voor inkomend netwerkbeveiliging zich richt op: wereldwijde routering, failover met lage latentie en het beperken van aanvallen aan de rand.

Globale routering

Het netwerkbeveiligingspatroon voor inkomend verkeer bevat het algemene routeringspatroon. Als zodanig kan de implementatie aanvragen routeren naar workloads in verschillende regio's.

Failover met lage latentie

De implementatie moet in staat zijn om gezonde en beschadigde workloads te identificeren en de routering dienovereenkomstig aan te passen op een tijdgevoelige manier. De latentie moet in een paar minuten ondersteuning kunnen bieden voor het aanpassen van de routering.

Aanvallen aan de rand beperken

Het beperken van aanvallen aan de rand vereist het onderdeel 'netwerkbeveiliging' van de implementatie. De workloads of PaaS-services (Platform as a Service) mogen niet toegankelijk zijn via internet. Internetverkeer mag alleen via de gateway kunnen worden gerouteerd. De gateway moet de mogelijkheid hebben om misbruik te beperken.

Patronen

Met deze oplossing worden de volgende ontwerppatronen geïmplementeerd:

• Routeringspatroon van gateway: routeaanvragen naar meerdere services of service-exemplaren die zich in verschillende regio's kunnen bevinden.
• Patroon gateway-offloading: Offload-functionaliteit, zoals het beperken van aanvallen, naar een gatewayproxy.
• Patroon statuseindpuntbewaking: eindpunten beschikbaar maken die de status van de workload valideren.

Ontwerpen

In het diagram ziet u een HTTPS-aanvraag die naar een Azure Front Door Premium-vak stroomt, dat een webtoepassingsfirewall bevat. Dit illustreert de integratie tussen Azure Front Door Premium en Azure Web Application Firewall. In het diagram ziet u vervolgens de aanvraag die via Private Link stroomt naar twee stempels in verschillende regio's. Elke stempel heeft een statische website en een interne load balancer. De aanvragen stromen via Private Link naar de statische websites en de load balancers in beide stempels.

Deze implementatie bevat de volgende details:

• Azure Blob Storage-accounts worden gebruikt om statische webworkloads te simuleren die in twee regio's worden uitgevoerd. Deze implementatie omvat geen workloads die worden uitgevoerd achter een interne load balancer (ILB). In het diagram ziet u een ILB om te laten zien dat deze implementatie zou werken voor privéworkloads die achter een ILB worden uitgevoerd.
• Het maakt gebruik van de Azure Front Door Premium-laag als de globale gateway.
• Het Azure Front Door-exemplaar heeft een globaal WAF-beleid (Web Application Firewall) dat is geconfigureerd met beheerde regels die bescherming bieden tegen veelvoorkomende aanvallen.
• De opslagaccounts worden niet via internet weergegeven.
• De Azure Front Door Premium-laag heeft toegang tot de opslagaccounts via Azure Private Link.
• Het Azure Front Door-exemplaar heeft de volgende configuratie op hoog niveau:
  • Een eindpunt met één route die verwijst naar één oorspronkelijke groep. Een oorsprongsgroep is een verzameling origins of back-ends.
  • De oorspronkelijke groep heeft een oorsprong die is geconfigureerd om naar elk opslagaccount te verwijzen.
  • Elke origin vraagt Private Link toegang tot het opslagaccount.
  • De oorspronkelijke groep bevat statustests die zijn geconfigureerd voor toegang tot een HTML-pagina in de opslagaccounts. De HTML-pagina fungeert als het statuseindpunt voor de statische workloads. Als de tests toegang hebben tot de oorsprong in drie van de laatste vier pogingen, wordt de oorsprong als in orde beschouwd.

Onderdelen

Webaanvraag

• Azure Web Application Firewall: De Premium-laag van Web Application Firewall ondersteunt door Microsoft beheerde regels die bescherming bieden tegen veelvoorkomende aanvallen.
• Azure Private Link: privé-eindpunten in Azure Private Link maken een Azure PaaS-service beschikbaar voor een privé-IP-adres in een virtueel netwerk. Dankzij deze blootstelling kan de communicatie via het Backbone-netwerk van Microsoft stromen en niet via het openbare internet.
• Azure Front Door Premium-laag: Azure Front Door biedt wereldwijde taakverdeling op laag 7. Azure Front Door heeft integratie met Web Application Firewall. De Premium-laag ondersteunt:
  • Azure Private Link: Met ondersteuning voor Private Link kan Azure Front Door communiceren met PaaS-services of -workloads die worden uitgevoerd in een virtueel privénetwerk via het Microsoft-backbonenetwerk.
  • Door Microsoft beheerde regelsets: de Premium-laag van Azure Front Door ondersteunt de Premium-laag van Web Application Firewall, die ondersteuning biedt voor de beheerde regelset in de WAF.
• Azure Storage: deze implementatie maakt gebruik van Blob Storage-accounts om een statische website of workload weer te geven.
• Interne load balancer: deze implementatie maakt geen gebruik van de interne load balancer. Het wordt weergegeven om een privéworkload weer te geven die achter die load balancer wordt uitgevoerd. De routering naar het opslagaccount is hetzelfde als voor load balancers.

Operations

Het beveiligen van resources vanuit een netwerkperspectief helpt bescherming te bieden tegen aanvallen, maar het isoleert ook de resources van processen of beheerders die mogelijk toegang nodig hebben tot deze resources. Een buildagent in een DevOps-pijplijn moet bijvoorbeeld toegang hebben tot het opslagaccount om een update voor de webtoepassing te implementeren. Een beheerder moet mogelijk ook toegang krijgen tot de resource voor probleemoplossingsdoeleinden.

Ter illustratie van het bieden van toegang tot beveiligde netwerktoegang voor operationele doeleinden, implementeert deze implementatie een virtuele machine (VM) in een virtueel netwerk met Private Link-toegang tot de opslagaccounts. Deze implementatie implementeert Azure Bastion, die de beheerder kan gebruiken om verbinding te maken met de virtuele machine. Voor het implementatiescenario kan een privé-buildagent worden geïmplementeerd in het virtuele netwerk, vergelijkbaar met de manier waarop de VIRTUELE machine was.

Hier vindt u informatie over de onderdelen voor bewerkingen:

• Azure Virtual Network: deze implementatie maakt gebruik van het virtuele netwerk om de onderdelen te bevatten die een beheerder nodig heeft om veilig te communiceren met het opslagaccount via het privé-Microsoft-backbonenetwerk.
• Azure Virtual Machines: deze implementatie maakt gebruik van een VIRTUELE machine als jumpbox waarmee beheerders verbinding kunnen maken. De virtuele machine wordt geïmplementeerd in het privé-virtuele netwerk.
• Azure Bastion: Met Azure Bastion kan de beheerder veilig verbinding maken met de jumpbox-VM via Secure Shell (SSH), zonder dat de VIRTUELE machine een openbaar IP-adres hoeft te hebben.
• Private Link-eindpunt: het privé-eindpunt krijgt een privé-IP-adres van het virtuele netwerk en maakt verbinding met de PaaS-service van het opslagaccount. Met deze verbinding kunnen resources in het particuliere virtuele netwerk communiceren met het opslagaccount via het privé-IP-adres.
• Privé-Azure DNS-zone: de privé-Azure DNS-zone is een DNS-service die wordt gebruikt om de Private Link-hostnaam van het Azure-opslagaccount om te omzetten in het privé-IP-adres van het privé-eindpunt.

Stroom voor webaanvragen

In het diagram ziet u een gebruiker die een webaanvraag indient bij Azure Front Door. In het vak Azure Front Door ziet u elk van de stappen van de Azure Front Door-routeringsstroom. Gemarkeerd in de stroom is de stap waarin WAF-regels worden geëvalueerd, waarbij de Azure Front Door-route overeenkomt en een origin-groep wordt geselecteerd en waar de oorsprong is geselecteerd uit de oorspronkelijke groep. Het laatste gemarkeerde gedeelte is waar Azure Front Door verbinding maakt met het Azure Blob Storage-account via Private Link.

1. De gebruiker geeft een HTTP- of HTTPS-aanvraag uit aan een Azure Front Door-eindpunt.

2. De WAF-regels worden geëvalueerd. Regels die overeenkomen, worden altijd geregistreerd. Als de WaF-beleidsmodus van Azure Front Door is ingesteld op preventie en de overeenkomende regel een actie heeft ingesteld om te blokkeren op anomalie, wordt de aanvraag geblokkeerd. Anders wordt de aanvraag voortgezet of omgeleid of worden de volgende regels geëvalueerd.

3. De route die is geconfigureerd in Azure Front Door, wordt vergeleken en de juiste oorspronkelijke groep is geselecteerd. In dit voorbeeld was het pad naar de statische inhoud op de website.

4. De oorsprong is geselecteerd uit de oorspronkelijke groep.

   a. In dit voorbeeld worden de statustests geacht dat de website niet in orde is, dus wordt deze verwijderd uit de mogelijke oorsprongen.
   b. Deze website is geselecteerd.

5. De aanvraag wordt via Private Link doorgestuurd naar het Azure-opslagaccount via het Microsoft backbone-netwerk.

Zie het overzicht van de routeringsarchitectuur van Azure Front Door voor meer informatie over de routeringsarchitectuur.

Operationele stroom

Het diagram heeft drie delen. Het eerste deel toont Azure Blob Storage die fungeert als een statische website. Azure Front Door maakt verbinding via Private Link met het opslagaccount. Het tweede deel is een vak dat een virtueel netwerk vertegenwoordigt. Het virtuele netwerk heeft subnetten en hun inhoud. Deze subnetten bevatten een privé-eindpuntsubnet dat een Private Link-eindpunt bevat met een IP-adres van 10.0.2.5, een jumpbox-subnet met een virtuele jumpbox-machine en een Azure Bastion-subnet met Daarin Azure Bastion. Het derde deel is een gebruiker met beheerdersrechten die SSH gebruikt voor toegang tot de jumpbox-VM in het virtuele netwerk via Azure Bastion. Een pijl gaat van de VIRTUELE machine naar de privé-Azure DNS-zone. De laatste pijl gaat van de VIRTUELE machine naar het Eindpunt van de Private Link en vervolgens naar het opslagaccount.

1. Een beheerder maakt verbinding met het Azure Bastion-exemplaar dat is geïmplementeerd in het virtuele netwerk.

2. Azure Bastion biedt SSH-connectiviteit met de jumpbox-VM.

3. De beheerder in de jumpbox probeert toegang te krijgen tot het opslagaccount via de Azure CLI. Met de jumpbox wordt DNS opgevraagd voor het eindpunt van het openbare Azure Blob Storage-account: storageaccountname.blob.core.windows.net.

   Privé-DNS uiteindelijk wordt omgezet in storageaccountname.privatelink.blob.core.windows.net. In dit voorbeeld wordt het privé-IP-adres van het Private Link-eindpunt geretourneerd. Dit is 10.0.2.5.

4. Er wordt een privéverbinding met het opslagaccount tot stand gebracht via het Private Link-eindpunt.

Overwegingen

Houd rekening met de volgende punten wanneer u deze oplossing gebruikt.

Betrouwbaarheid

Betrouwbaarheid zorgt ervoor dat uw toepassing kan voldoen aan de toezeggingen die u aan uw klanten hebt gedaan. Zie Overzicht van de betrouwbaarheidspijler voor meer informatie.

In dit scenario worden de volgende belangrijke punten over betrouwbaarheid aangepakt:

• Wereldwijde routering met lage latentie, door het gebruik van statustests, maakt betrouwbaarheid mogelijk door de toepassing te isoleren tegen regionale storingen.
• Web Application Firewall in Azure Front Door biedt gecentraliseerde beveiliging voor HTTP- en HTTPS-aanvragen.

Beveiliging

Beveiliging biedt garanties tegen opzettelijke aanvallen en misbruik van uw waardevolle gegevens en systemen. Zie Overzicht van de beveiligingspijler voor meer informatie.

In dit scenario worden de volgende belangrijke punten over beveiliging aangepakt:

• Private Link-ondersteuning in Azure Front Door Premium elimineert de noodzaak om uw interne of PaaS-services beschikbaar te maken via internet. Met Private Link kan Azure Front Door communiceren met uw privéservices of PaaS-services via het Microsoft-backbonenetwerk.
• Web Application Firewall in Azure Front Door biedt gecentraliseerde beveiliging voor HTTP- en HTTPS-aanvragen.
• Beheerde regels in Web Application Firewall Premium zijn door Microsoft beheerde regels die u helpen beschermen tegen een algemene set beveiligingsrisico's.

Kostenoptimalisatie

Kostenoptimalisatie gaat over manieren om onnodige uitgaven te verminderen en operationele efficiëntie te verbeteren. Zie Overzicht van de pijler kostenoptimalisatie voor meer informatie.

Hoewel zowel Azure Front Door Premium als Web Application Firewall Premium geavanceerde beveiligingsfuncties bieden via de Standard-laag, zijn er extra kosten verbonden aan beide. Raadpleeg de volgende bronnen voor meer informatie over prijzen voor Azure Front Door en Web Application Firewall:

• Prijzen van Azure Front Door
• Prijzen van Web Application Firewall
• Azure-prijscalculator

Operationele uitmuntendheid

Operationele uitmuntendheid omvat de operationele processen die een toepassing implementeren en deze in productie houden. Zie Overzicht van de operationele uitmuntendheidpijler voor meer informatie.

Het implementeren van netwerkbeveiligingsgrenzen voegt complexiteit toe aan bewerkingen en implementatie. Houd de volgende punten in gedachten:

• De IP-bereiken voor door Microsoft gehoste agents variëren in de loop van de tijd. Overweeg om zelf-hostende agents in uw virtuele netwerk te implementeren.
• Implementeer Azure Bastion voor scenario's waarin operationele teams toegang nodig hebben tot beveiligde netwerkresources.
• Het gebruik van Web Application Firewall in Azure Front Door voor gecentraliseerde beveiliging voor HTTP- en HTTPS-aanvragen is een voorbeeld van het offloadingpatroon van de gateway. De verantwoordelijkheid voor het onderzoeken van aanvragen voor exploits wordt naar Web Application Firewall in Azure Front Door verzonden. Het voordeel van operationele uitmuntendheid is dat u de regels op slechts één plek moet beheren.

Belangrijk

Met het voorbeeld van beveiligd inkomend verkeer van het netwerk kunt u alle resources implementeren die u nodig hebt om verbinding te maken met een jumpbox via Azure Bastion en verbinding te maken met een beveiligde vm met een netwerk.

Prestatie-efficiëntie

Prestatie-efficiëntie is de mogelijkheid van uw workload om te schalen om te voldoen aan de eisen die gebruikers erop plaatsen. Zie Overzicht van de pijler prestatie-efficiëntie voor meer informatie.

Globale routering maakt horizontaal schalen mogelijk door de implementatie van meer resources in dezelfde regio of verschillende regio's.

Volgende stappen

• Implementeer deze implementatie door de stappen te volgen die worden beschreven in het voorbeeld van beveiligd inkomend verkeer in het netwerk.