Udostępnij za pośrednictwem

Planowanie łączności przychodzącej i wychodzącej z Internetem

W tym artykule wymieniono zagadnienia i zalecenia dotyczące łączności przychodzącej i wychodzącej między platformą Azure a publicznym Internetem.

Zagadnienia dotyczące projektowania

  • Natywne usługi zabezpieczeń sieci platformy Azure, takie jak Azure Firewall, Azure Web Application Firewall (WAF) w usłudze Azure Application Gatewayi usługi Azure Front Door są w pełni zarządzane. Nie ponosisz kosztów operacyjnych i zarządzania oraz złożoności wdrożeń infrastruktury na dużą skalę.

  • Jeśli Twoja organizacja woli używać wirtualnego urządzenia sieciowego (WUS) spoza platformy Azure lub w sytuacjach, gdy usługi natywne nie spełniają określonych wymagań, architektura strefy docelowej platformy Azure jest w pełni zgodna z partnerskimi urządzeniami WUS.

  • Platforma Azure udostępnia kilka bezpośrednich metod łączności wychodzącej z Internetu, takich jak bramy translatora adresów sieciowych (NAT) lub moduły równoważenia obciążenia, dla maszyn wirtualnych lub wystąpień obliczeniowych w sieci wirtualnej. usługi Azure NAT Gateway jest zalecana jako domyślna opcja włączania łączności wychodzącej, ponieważ jest ona najprostsza do skonfigurowania i jest najbardziej skalowalną i wydajną opcją wśród wszystkich metod łączności wychodzącej dostępnych na platformie Azure. Aby uzyskać więcej informacji, zobacz metody łączności wychodzącej platformy Azure.

Notatka

Karta sieciowa Azure Firewall Management NIC była pierwotnie wymagana tylko do wymuszonego tunelowania. To wymaganie zostało jednak zaktualizowane w celu obsługi nowych funkcji usługi Azure Firewall, które zależą od karty sieciowej zarządzania. Dokumentacja usługi Azure Firewall odzwierciedla tę zmianę. Aby skorzystać z tych nadchodzących funkcji, upewnij się, że usługa Azure Firewall została wdrożona z włączoną kartą sieciową zarządzania. Aby uzyskać więcej informacji, zobacz Kartę sieciową zarządzania usługą Azure Firewall.

Zalecenia dotyczące projektowania

  • Użyj usługi Azure NAT Gateway, aby uzyskać bezpośrednią łączność wychodzącą z Internetem. Brama NAT to w pełni zarządzana, wysoce odporna usługa NAT, która zapewnia skalowalne i na żądanieSNAT.

    • Użyj bramy NAT do:

      • Dynamiczne lub duże obciążenia wysyłające ruch do Internetu.
      • Statyczne i przewidywalne publiczne adresy IP dla łączności wychodzącej. Brama NAT może być połączona z maksymalnie 16 publicznymi adresami IP lub z prefiksem sieci publicznej /28.
      • Ograniczenie problemów z wyczerpaniem portów SNAT często spotykanych w przypadku reguł ruchu wychodzącego modułu równoważenia obciążenia , Zapory Azure Firewall lub Usług Azure App Services .
      • Bezpieczeństwo i prywatność zasobów w sieci. Tylko ruch wychodzący i zwrotny może przechodzić przez bramę NAT.

  • Użyj usługi Azure Firewall, aby zarządzać:

    • Ruch wychodzący z platformy Azure do internetu.
    • Połączenia przychodzące inne niż HTTP/S.
    • Filtrowanie ruchu wschodnio-zachodniego, jeśli twoja organizacja tego wymaga.

  • Wdrażanie usługi Azure Firewall z włączoną kartą sieciową zarządzania

    • Upewnij się, że podsieć AzureFirewallManagementSubnet została utworzona z wyprzedzeniem, aby uniknąć problemów z wdrażaniem podczas korzystania z istniejącej sieci wirtualnej z minimalnym rozmiarem podsieci /26
    • Przypisz publiczny adres IP do interfejsu sieciowego do zarządzania. Ten adres IP ułatwia zadania operacyjne zapory, w tym aktualizacje i komunikację zarządzania.
    • Domyślnie platforma Azure kojarzy tabelę tras zapewnianą przez system z podsiecią AzureFirewallManagementSubnet. Ta tabela zawiera domyślną trasę do Internetu i propagacja tras bramy internetowej musi być wyłączona.

  • Użyj Azure Firewall Premium do uzyskania zaawansowanych możliwości zapory, takich jak:

    • Inspekcja protokołu Transport Layer Security (TLS).
    • System wykrywania i zapobiegania włamaniom do sieci (IDPS).
    • Filtrowanie adresów URL.
    • Kategorie sieci Web.

Notatka

W przypadku wersji zapory sieciowej Standard i Premium, karta sieciowa do zarządzania zaporą musi być ręcznie włączona podczas procesu tworzenia. Wszystkie wersje Podstawowej Zapory i wszystkie zapory Zabezpieczonego Hubu zawsze mają kartę sieciową zarządzania włączoną.

  • Azure Firewall Manager obsługuje zarówno Azure Virtual WAN, jak i zwykłe sieci wirtualne. Użyj Firewall Manager z usługą Virtual WAN, aby wdrażać i zarządzać zaporami platformy Azure w koncentratorach Virtual WAN lub w sieciach wirtualnych koncentratora.

  • Jeśli używasz wielu adresów IP i zakresów konsekwentnie w regułach usługi Azure Firewall, skonfiguruj grupy adresów IP. Można używać grup adresów IP w regułach DNAT, aplikacyjnych i sieciowych Azure Firewall dla wielu zapór w różnych regionach i subskrypcjach platformy Azure.

  • Jeśli używasz niestandardowej trasy zdefiniowanej przez użytkownika (, UDR) do zarządzania łącznością wychodzącą do usług platformy Azure jako usługi (PaaS), określ tag usługi jako prefiks adresu. Tagi usługi aktualizują bazowe adresy IP automatycznie w celu uwzględnienia zmian i zmniejszają obciążenie związane z zarządzaniem prefiksami platformy Azure w tabeli tras.

Notatka

Unikaj kojarzenia tabel tras klienta z usługą AzureFirewallManagementSubnet. Kojarzenie niestandardowych tabel tras z podsiecią zarządzania może prowadzić do błędnych konfiguracji i potencjalnych zakłóceń usługi. Jeśli skojarzysz tabelę tras, upewnij się, że ma domyślną trasę do Internetu, aby uniknąć przerw w działaniu usługi.

  • Utwórz globalne zasady usługi Azure Firewall, aby zarządzać stanem zabezpieczeń w globalnym środowisku sieciowym. Przypisz politykę do wszystkich wystąpień usługi Azure Firewall.

  • Zezwalaj na szczegółowe zasady spełniające określone wymagania dotyczące regionów przy użyciu kontroli dostępu opartej na rolach platformy Azure w celu delegowania zasad przyrostowych do lokalnych zespołów ds. zabezpieczeń.

  • Używaj zapory aplikacji webowych (WAF) w sieci wirtualnej strefy wdrożenia w celu ochrony przychodzącego z Internetu ruchu HTTP/S.

  • Użyj usługi Azure Front Door i zasad zapory aplikacji internetowej (WAF), aby zapewnić globalną ochronę w regionach platformy Azure dla przychodzących połączeń HTTP/S do strefy docelowej.

  • Aby chronić aplikacje HTTP/S przy użyciu Azure Front Door i Azure Application Gateway, zastosuj zasady zapory aplikacji sieciowych (WAF) w usłudze Azure Front Door. Zablokuj usługę Azure Application Gateway, aby odbierać ruch tylko z usługi Azure Front Door.

  • Jeśli potrzebujesz partnerskich wirtualnych urządzeń sieciowych (NVAs) do obsługi przychodzących połączeń HTTP/S, wdróż je w sieci wirtualnej strefy docelowej, wraz z aplikacjami, które chronią i udostępniają w Internecie.

  • W przypadku dostępu wychodzącego nie używaj domyślnego dostępu wychodzącego z Internetu platformy Azure w żadnym scenariuszu. Problemy z domyślnym dostępem wychodzącym obejmują:

    • Zwiększone ryzyko wyczerpania portów SNAT.
    • Niezabezpieczone domyślnie.
    • Nie można zależeć od domyślnych adresów IP dostępu. Nie są własnością klienta i mogą ulec zmianie.

  • Użyj bramy NAT dla stref docelowych online lub tych, które nie są połączone z siecią wirtualną koncentratora. Zasoby obliczeniowe, które wymagają wychodzącego dostępu do Internetu i nie potrzebują zabezpieczeń usługi Azure Firewall warstwy Standardowa lub Premium ani urządzenia NVA innej firmy, mogą korzystać ze stref docelowych online.

  • Jeśli Twoja organizacja chce używać dostawców zabezpieczeń typu oprogramowanie jako usługa (SaaS), aby chronić połączenia wychodzące, skonfiguruj obsługiwanych partnerów w programie Firewall Manager.

  • Jeśli używasz partnerskich wirtualnych urządzeń sieciowych (NVA) do ochrony i filtrowania ruchu na osi wschód-zachód lub północ-południe:

    • Dla topologii sieci usługi Virtual WAN wdrażaj zasoby NVA w oddzielnej sieci wirtualnej NVA. Połącz sieć wirtualną z regionalnym koncentratorem usługi Virtual WAN oraz z obszarami docelowymi, które wymagają dostępu do wirtualnych urządzeń sieciowych (NVAs). Aby uzyskać więcej informacji, zobacz scenariusz : Kierowanie ruchu przez urządzenie NVA.
    • W przypadku topologii sieciowych bez użycia wirtualnej sieci WAN wdróż wirtualne urządzenia sieciowe (NVAs) partnera w centralnej wirtualnej sieci koncentratora.

  • Nie uwidaczniaj portów zarządzania maszynami wirtualnymi w Internecie. W przypadku zadań zarządzania:

  • Użyj planów ochrony Azure DDoS Protection, aby chronić publiczne punkty końcowe hostowane w Twoich sieciach wirtualnych.

  • Nie próbuj replikować lokalnych pojęć i architektur sieci obwodowych na platformę Azure. Chociaż platforma Azure ma podobne możliwości zabezpieczeń, jej implementacja i architektura zostały dostosowane do chmury.