Deze referentiearchitectuur biedt een beveiligd hybride netwerk dat een on-premises netwerk uitbreidt naar Azure. De architectuur implementeert een perimeternetwerk, ook wel een DMZ genoemd, tussen het on-premises netwerk en een virtueel Azure-netwerk. Al het inkomende en uitgaande verkeer passeert Azure Firewall.
Architectuur
Een Visio-bestand van deze architectuur downloaden.
Onderdelen
De architectuur bestaat uit de volgende aspecten:
On-premises netwerk. Een particulier local-area netwerk geïmplementeerd in een organisatie.
Virtueel Azure-netwerk. Het virtuele netwerk fungeert als host voor de oplossingsonderdelen en andere resources die worden uitgevoerd in Azure.
Virtuele netwerkroutes definiëren de stroom van IP-verkeer binnen het virtuele Azure-netwerk. Het diagram bevat twee door de gebruiker gedefinieerde routetabellen.
In het gatewaysubnet wordt verkeer gerouteerd via het Azure Firewall exemplaar.
Notitie
Afhankelijk van de vereisten van uw VPN-verbinding kunt u BGP-routes (Border Gateway Protocol) configureren om de doorstuurregels te implementeren die verkeer terugleiden via het on-premises netwerk.
Gateway. De gateway biedt connectiviteit tussen de routers in het on-premises netwerk en het virtuele netwerk. De gateway wordt in een eigen subnet geplaatst.
Azure Firewall. Azure Firewall is een beheerde firewall als een service. Het firewall-exemplaar wordt in een eigen subnet geplaatst.
Netwerkbeveiligingsgroepen. Gebruik beveiligingsgroepen om netwerkverkeer binnen het virtuele netwerk te beperken.
Azure Bastion. Met Azure Bastion kunt u zich aanmelden bij virtuele machines (VM's) in het virtuele netwerk via SSH of Remote Desktop Protocol (RDP) zonder dat de VM's rechtstreeks op internet worden weergegeven. Gebruik Bastion om de VM's in het virtuele netwerk te beheren.
Bastion vereist een toegewezen subnet met de naam AzureBastionSubnet.
Potentiële gebruikscases
Deze architectuur vereist een verbinding met uw on-premises datacenter via een VPN-gateway of een ExpressRoute-verbinding. Deze architectuur wordt doorgaans gebruikt voor:
- Hybride toepassingen waarbij workloads deels on-premises en deels in Azure worden uitgevoerd.
- Infrastructuur die gedetailleerde controle vereist over verkeer dat een virtueel Azure-netwerk binnenkomt vanuit een on-premises datacenter.
- Toepassingen die uitgaand verkeer moeten controleren. Controle is vaak een wettelijke vereiste van veel commerciële systemen en kan helpen voorkomen dat persoonlijke informatie openbaar wordt gemaakt.
Aanbevelingen
De volgende aanbevelingen gelden voor de meeste scenario's. Volg deze aanbevelingen tenzij er een specifieke vereiste is die iets anders voorschrijft.
Aanbevelingen voor toegangsbeheer
Gebruik op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) om de resources in uw toepassing te beheren. Overweeg de volgende aangepaste rollen te maken:
Een DevOps-rol met machtigingen voor het beheren van de infrastructuur voor de toepassing, het gebruiken van de toepassingsonderdelen en het bewaken en opnieuw opstarten van VM's.
Een centrale IT-beheerdersrol voor het beheren en bewaken van netwerkbronnen.
Een IT-beheerdersrol voor beveiliging voor het beheren van beveiligde netwerkresources, zoals de firewall.
De rol VAN IT-beheerder mag geen toegang hebben tot de firewallresources. De toegang moet worden beperkt tot de rol VAN IT-beheerder voor beveiliging.
Aanbevelingen voor resourcegroepen
Azure-resources zoals VM's, virtuele netwerken en load balancers kunnen eenvoudig worden beheerd door ze samen te groeperen in resourcegroepen. Wijs Azure-rollen toe aan elke resourcegroep om de toegang te beperken.
We raden aan de volgende resourcegroepen te maken:
- Een resourcegroep met het virtuele netwerk (met uitzondering van de VM's), NSG's en de gatewayresources voor het maken van verbinding met het on-premises netwerk. Wijs de rol van centrale IT-beheerder toe aan deze resourcegroep.
- Een resourcegroep met de VM's voor het Azure Firewall-exemplaar en de door de gebruiker gedefinieerde routes voor het gatewaysubnet. Wijs de rol van IT-beveiligingsbeheerder toe aan deze resourcegroep.
- Afzonderlijke resourcegroepen voor elk virtueel spoke-netwerk dat de load balancer en VM's bevat.
Aanbevelingen voor netwerken
Als u binnenkomend verkeer van internet wilt accepteren, voegt u een DNAT-regel (Destination Network Address Translation) toe aan Azure Firewall.
- Doeladres = Openbaar IP-adres van het firewall-exemplaar.
- Vertaald adres = Privé IP-adres binnen het virtuele netwerk.
Forceer tunnel al het uitgaande internetverkeer via uw on-premises netwerk met behulp van de site-naar-site-VPN-tunnel en route naar internet met behulp van Network Address Translation (NAT). Dit ontwerp voorkomt onbedoeld lekken van vertrouwelijke informatie en maakt inspectie en controle van al het uitgaande verkeer mogelijk.
Blokkeer internetverkeer van de resources in de spoke-netwerksubnetten niet volledig. Als u verkeer blokkeert, kunnen deze resources geen Azure PaaS-services gebruiken die afhankelijk zijn van openbare IP-adressen, zoals logboekregistratie van diagnostische VM's, het downloaden van VM-extensies en andere functionaliteit. Ook voor de diagnosefuncties van Azure is het nodig dat onderdelen lees- en schrijftoegang hebben tot een Azure Storage-account.
Controleer of het uitgaande internetverkeer correct wordt doorgeleid via geforceerde tunneling. Als u een VPN-verbinding gebruikt met de routerings- en RAS-service op een on-premises server, gebruikt u een hulpprogramma zoals WireShark.
Overweeg het gebruik van Application Gateway of Azure Front Door voor SSL-beëindiging.
Overwegingen
Deze overwegingen implementeren de pijlers van het Azure Well-Architected Framework, een set richtlijnen die kunnen worden gebruikt om de kwaliteit van een workload te verbeteren. Zie Microsoft Azure Well-Architected Framework voor meer informatie.
Prestatie-efficiëntie
Prestatie-efficiëntie is de mogelijkheid om op efficiënte wijze uw werkbelasting te schalen om te voldoen aan de vereisten die gebruikers eraan stellen. Zie Overzicht van prestatie-efficiëntiepijler voor meer informatie.
Zie Gateway-SKU's voor meer informatie over de bandbreedtelimieten van VPN Gateway. Overweeg voor hogere bandbreedten te upgraden naar een ExpressRoute-gateway. ExpressRoute biedt een bandbreedte van maximaal 10 Gbps met een lagere latentie dan een VPN-verbinding.
Voor meer informatie over de schaalbaarheid van Azure-gateways raadpleegt u de overwegingen over schaalbaarheid in:
- Een hybride netwerkarchitectuur implementeren met Azure en on-premises VPN
- Een hybride netwerkarchitectuur implementeren met Azure ExpressRoute
Zie Azure Virtual Network Manager (AVNM): Een beveiligd hub- en spoke-netwerk maken om nieuwe hub- en spoke-topologieën te maken (en bestaande te onboarden) voor centraal beheer van connectiviteits- en NSG-regels voor meer informatie over het beheren van virtuele netwerken op schaal.
Betrouwbaarheid
Betrouwbaarheid zorgt ervoor dat uw toepassing kan voldoen aan de toezeggingen die u aan uw klanten doet. Zie Overzicht van de betrouwbaarheidspijler voor meer informatie.
Als u Azure ExpressRoute gebruikt om connectiviteit te bieden tussen het virtuele netwerk en het on-premises netwerk, configureert u een VPN-gateway om failover te bieden als de ExpressRoute-verbinding niet meer beschikbaar is.
Voor informatie over het onderhouden van beschikbaarheid voor VPN- en ExpressRoute-verbindingen raadpleegt u de beschikbaarheidsoverwegingen in:
- Een hybride netwerkarchitectuur implementeren met Azure en on-premises VPN
- Een hybride netwerkarchitectuur implementeren met Azure ExpressRoute
Operationele uitmuntendheid
Operationele uitmuntendheid omvat de operationele processen die een toepassing implementeren en deze in productie houden. Zie Overzicht van de pijler operationele uitmuntendheid voor meer informatie.
Als de gatewayverbinding van uw on-premises netwerk naar Azure niet beschikbaar is, kunt u de VIRTUELE machines in het virtuele Azure-netwerk nog steeds bereiken via Azure Bastion.
Elke subnetlaag in de referentiearchitectuur wordt beschermd door NSG-regels. Mogelijk moet u een regel maken om poort 3389 te openen voor toegang via Remote Desktop Protocol (RDP) op Windows-VM's of om poort 22 te openen voor SSH-toegang (secure shell-toegang) op Linux-VM's. Andere beheer- en bewakingshulpprogramma's hebben mogelijk regels nodig om extra poorten te openen.
Als u ExpressRoute gebruikt voor de connectiviteit tussen uw on-premises datacenter en Azure, gebruik dan de Azure Connectivity Toolkit (AzureCT) om verbindingsproblemen te detecteren en op te lossen.
Aanvullende informatie over het bewaken en beheren van VPN- en ExpressRoute-verbindingen vindt u in het artikel Een hybride netwerkarchitectuur implementeren met Azure en on-premises VPN.
Beveiliging
Beveiliging biedt garanties tegen opzettelijke aanvallen en misbruik van uw waardevolle gegevens en systemen. Zie Overzicht van de beveiligingspijler voor meer informatie.
Met deze referentiearchitectuur worden meerdere beveiligingsniveaus geïmplementeerd.
Alle on-premises gebruikersaanvragen routeren via Azure Firewall
De door de gebruiker gedefinieerde route in het gatewaysubnet blokkeert alle andere gebruikersaanvragen dan die van on-premises worden ontvangen. De route geeft toegestane aanvragen door aan de firewall. De aanvragen worden doorgegeven aan de resources in de virtuele spoke-netwerken als ze zijn toegestaan door de firewallregels. U kunt andere routes toevoegen, maar zorg ervoor dat deze niet per ongeluk de firewall omzeilen of beheerverkeer blokkeren dat is bedoeld voor het beheersubnet.
NSG's gebruiken om verkeer te blokkeren/door te geven aan subnetten van virtuele spoke-netwerken
Verkeer van en naar resourcesubnetten in virtuele spoke-netwerken wordt beperkt met behulp van NSG's. Als u een vereiste hebt om de NSG-regels uit te breiden om bredere toegang tot deze resources toe te staan, moet u deze vereisten afwegen tegen de beveiligingsrisico's. Met elk nieuw inkomend pad bestaat de kans dat er per ongeluk of met opzet gegevens worden gelekt of toepassingen worden beschadigd.
DDoS-bescherming
Azure DDoS Protection Standard, gecombineerd met best practices voor toepassingsontwerp, biedt verbeterde DDoS-risicobeperkingsfuncties om meer bescherming te bieden tegen DDoS-aanvallen. U moet Azure DDOS Protection Standard inschakelen op elk virtueel perimeternetwerk.
AVNM gebruiken om basislijnbeveiligingsregels Beheer te maken
Met AVNM kunt u basislijnen van beveiligingsregels maken, die voorrang kunnen hebben op regels voor netwerkbeveiligingsgroepen. Beveiligingsbeheerdersregels worden geëvalueerd vóór NSG-regels en hebben dezelfde aard van NSG's, met ondersteuning voor prioriteitstelling, servicetags en L3-L4-protocollen. Met AVNM kan de centrale IT een basislijn van beveiligingsregels afdwingen, terwijl de eigenaren van het virtuele spoke-netwerk een onafhankelijkheid van aanvullende NSG-regels toestaan. Om een gecontroleerde implementatie van wijzigingen in beveiligingsregels mogelijk te maken, kunt u met de implementatiefunctie van AVNM de belangrijke wijzigingen van deze configuraties veilig vrijgeven in de hub-and-spoke-omgevingen.
DevOps-toegang
Gebruik Azure RBAC om de bewerkingen te beperken die DevOps op elke laag kan uitvoeren. Hanteer bij het verlenen van machtigingen het principe van minimale bevoegdheid. Registreer alle beheergerelateerde bewerkingen en controleer regelmatig of eventuele configuratiewijzigingen inderdaad zo waren gepland.
Kostenoptimalisatie
Kostenoptimalisatie gaat over het zoeken naar manieren om onnodige uitgaven te verminderen en de operationele efficiëntie te verbeteren. Zie Overzicht van de pijler kostenoptimalisatie voor meer informatie.
Gebruik de Azure-prijscalculator om een schatting van de kosten te maken. Andere overwegingen worden beschreven in de sectie Kostenoptimalisatie in Microsoft Azure Well-Architected Framework.
Hier volgen kostenoverwegingen voor de services die in deze architectuur worden gebruikt.
Azure Firewall
In deze architectuur wordt Azure Firewall geïmplementeerd in het virtuele netwerk om het verkeer tussen het subnet van de gateway en de resources in de virtuele spoke-netwerken te beheren. Op deze manier is Azure Firewall rendabel omdat het wordt gebruikt als een gedeelde oplossing die door meerdere workloads wordt gebruikt. Dit zijn de Azure Firewall prijsmodellen:
- Vast tarief per implementatie-uur.
- Gegevens die per GB worden verwerkt ter ondersteuning van automatisch schalen.
In vergelijking met virtuele netwerkapparaten (NVA's) kunt u met Azure Firewall tot 30-50% besparen. Zie Azure Firewall vs NVA voor meer informatie.
Azure Bastion
Azure Bastion maakt veilig verbinding met uw virtuele machine via RDP en SSH zonder dat u een openbaar IP-adres op de virtuele machine hoeft te configureren.
Bastion-facturering is vergelijkbaar met een eenvoudige virtuele machine op laag niveau die is geconfigureerd als een jumpbox. Bastion is rendabeler dan een jumpbox, omdat het ingebouwde beveiligingsfuncties heeft en geen extra kosten met zich meebrengt voor opslag en het beheer van een afzonderlijke server.
Azure Virtual Network
Azure Virtual Network is gratis. Met elk abonnement mogen maximaal 50 virtuele netwerken worden gemaakt in alle regio's. Al het verkeer dat plaatsvindt binnen de grenzen van een virtueel netwerk is gratis. Voor VM's in hetzelfde virtuele netwerk die met elkaar communiceren, worden bijvoorbeeld geen kosten voor netwerkverkeer in rekening gebracht.
Interne load balancer
Eenvoudige taakverdeling tussen virtuele machines die zich in hetzelfde virtuele netwerk bevinden, is gratis.
In deze architectuur worden interne load balancers gebruikt om verkeer binnen een virtueel netwerk te verdelen.
Dit scenario implementeren
Met deze implementatie worden twee resourcegroepen gemaakt; de eerste bevat een gesimuleerd on-premises netwerk, de tweede een set hub- en spoke-netwerken. Het gesimuleerde on-premises netwerk en het hubnetwerk zijn verbonden met behulp van Azure Virtual Network-gateways om een site-naar-site-verbinding te vormen. Deze configuratie is vergelijkbaar met de manier waarop u uw on-premises datacenter verbindt met Azure.
Deze implementatie kan tot 45 minuten duren. De aanbevolen implementatiemethode maakt gebruik van de portaloptie hieronder.
Gebruik de volgende knop om de verwijzing te implementeren met behulp van de Azure Portal.
Zodra de implementatie is voltooid, controleert u de site-naar-site-connectiviteit door te kijken naar de zojuist gemaakte verbindingsresources. Zoek in de Azure Portal naar 'verbindingen' en let op de status van elke verbinding.
Het IIS-exemplaar in het spoke-netwerk kan worden geopend vanaf de virtuele machine die zich in het on-premises netwerk bevindt. Maak een verbinding met de virtuele machine met behulp van de meegeleverde Azure Bastion-host, open een webbrowser en navigeer naar het adres van de netwerktaakverdeler van de toepassing.
Zie de Azure Resource Manager-sjablonen (ARM-sjablonen) die worden gebruikt om deze oplossing te implementeren: Beveiligd hybride netwerk voor gedetailleerde informatie en aanvullende implementatieopties.