Implementar uma rede híbrida segura

Essa arquitetura de referência mostra uma rede híbrida segura que estende uma rede local para o Azure. A arquitetura implementa uma rede de perímetro, também chamada de DMZ, entre a rede local e uma rede virtual do Azure. Todo o tráfego de entrada e saída passa pelo Firewall do Azure.

Arquitetura

Baixe um Arquivo Visio dessa arquitetura.

Componentes

A arquitetura consiste nos seguintes componentes:

• Rede local. Uma rede local privada implementada em uma organização.

• Rede virtual do Azure. A rede virtual hospeda os componentes da solução e outros recursos em execução no Azure.

  As rotas de rede virtual definem o fluxo de tráfego IP dentro da rede virtual do Azure. No diagrama, há duas tabelas de rotas definidas pelo usuário.

  Na sub-rede do gateway, o tráfego é roteado por meio da instância do Firewall do Azure.

  Observação

  Dependendo dos requisitos da conexão de VPN, você pode configurar rotas de BGP (Border Gateway Protocol) para implementar as regras de encaminhamento que retornam o tráfego por meio da rede local.

• Gateway. O gateway conecta os roteadores na rede local e na rede virtual. O gateway é colocado em sua própria sub-rede.

• Firewall do Azure. O Firewall do Azure é um firewall gerenciado como serviço. A instância do firewall é inserida na própria sub-rede.

• Grupos de segurança de rede. Use grupos de segurança para restringir o tráfego na rede virtual.

• Bastião do Azure. O Bastião do Azure permite que você faça logon em máquinas virtuais (VMs) na rede virtual por meio de SSH ou protocolo de área de trabalho remota (RDP) sem expor as VMs diretamente à Internet. Use o Bastion para gerenciar as VMs na rede virtual.

  Bastion requer uma sub-rede dedicada chamada AzureBastionSubnet.

Possíveis casos de uso

Essa arquitetura exige uma conexão com o datacenter local, usando um Gateway de VPN ou uma conexão do ExpressRoute. Alguns usos típicos dessa arquitetura:

• Aplicativos híbridos nos quais as cargas de trabalho são executadas parcialmente localmente e parcialmente no Azure.
• Infraestrutura que requer um controle granular sobre o tráfego que entra em uma rede virtual do Azure proveniente de um datacenter local.
• Aplicativos que precisam auditar o tráfego de saída. A auditoria é frequentemente um requisito regulamentar de muitos sistemas comerciais e pode ajudar a impedir a divulgação pública de informações privadas.

Recomendações

As seguintes recomendações aplicam-se à maioria dos cenários. Siga estas recomendações, a menos que você tenha um requisito específico que as substitua.

Recomendações de controle de acesso

Use o RBAC (Controle de Acesso Baseado em Função) do Azure para gerenciar os recursos em aplicativos. Considere criar as seguintes funções personalizadas:

• Uma função de DevOps com permissões para administrar a infraestrutura do aplicativo, implantar os componentes do aplicativo e monitorar e reiniciar VMs.

• Uma função de administrador de TI centralizada para gerenciar e monitorar recursos de rede.

• Uma função de administrador de TI de segurança para gerenciar recursos de rede segura, como o firewall.

A função de administrador de TI não deve ter acesso aos recursos de firewall. O acesso deve ser restrito à função de administrador de TI de segurança.

Recomendações do grupo de recursos

Para facilitar o gerenciamento de recursos do Azure como VMs, redes virtuais e balanceadores de carga, é possível colocá-los em grupos de recursos. Atribua funções do Azure a cada grupo de recursos para restringir o acesso.

É recomendável criar os grupos de recursos a seguir:

• Um grupo de recursos que contenha a rede virtual (excluindo as VMs), os NSGs e os recursos de gateway para conectar-se à rede local. Atribua a função de administrador de TI centralizada a esse grupo de recursos.
• Um grupo de recursos que contém as VMs da instância do Firewall do Azure e as rotas definidas pelo usuário para a sub-rede do gateway. Atribua a função de administrador de TI de segurança a este grupo de recursos.
• Separe grupos de recursos para cada rede virtual spoke que contém o balanceador de carga e as VMs.

Recomendações de rede

Para aceitar o tráfego de entrada da Internet, adicione uma regra DNAT (Conversão de Endereço de Rede de Destino) ao Firewall do Azure.

• Endereço de destino = endereço IP público da instância do firewall.
• Endereço convertido = endereço IP privado na rede virtual.

Force por túnel todo o tráfego de Internet de saída pela rede local usando o túnel de VPN site a site e roteie à Internet usando a NAT (Conversão de Endereços de Rede). Este projeto evita o vazamento acidental de qualquer informação confidencial e permite a inspeção e auditoria de todo o tráfego de saída.

Não bloqueie completamente o tráfego da Internet dos recursos nas sub-redes de rede spoke. O bloqueio de tráfego impedirá que esses recursos usem os serviços de PaaS do Azure que dependem de endereços IP públicos, como log de diagnóstico de VM, download de extensões de VM e outras funcionalidades. O diagnóstico do Azure também requer que componentes possam ler e gravar em uma conta de armazenamento do Azure.

Verifique se o tráfego de saída da Internet é forçado ao túnel corretamente. Se você usa uma conexão VPN com o serviço de roteamento e acesso remoto em um servidor local, use uma ferramenta como o WireShark.

Considere usar o Gateway de Aplicativo ou o Azure Front Door para o encerramento de SSL.

Considerações

Essas considerações implementam os pilares do Azure Well-Architected Framework, que é um conjunto de princípios de orientação que podem ser usados para aprimorar a qualidade de uma carga de trabalho. Para obter mais informações, confira Microsoft Azure Well-Architected Framework.

Eficiência de desempenho

A eficiência do desempenho é a capacidade de dimensionar sua carga de trabalho para atender às demandas colocadas por usuários de maneira eficiente. Para saber mais, confira Visão geral do pilar de eficiência de desempenho.

Veja mais detalhes sobre os limites de largura de banda do Gateway de VPN em SKUs do Gateway. Para larguras de banda superiores, considere atualizar para um gateway do ExpressRoute. O ExpressRoute fornece largura de banda de até 10 Gbps com latência menor do que uma conexão VPN.

Para obter mais informações sobre a escalabilidade dos gateways do Azure, consulte as seções de consideração de escalabilidade em:

• Implementando uma arquitetura de rede híbrida com o Azure e VPN local
• Implementação de uma arquitetura de rede híbrida com o Azure ExpressRoute

Para saber mais sobre como gerenciar redes virtuais e NSGs em escala, confira AVNM (Gerenciador de Rede Virtual do Azure): crie uma rede hub e spoke segura para criar topologias de rede virtual de hub e spoke (ou integrar topologias que já existem) para gerenciamento central de regras de conectividade e NSG.

Confiabilidade

A confiabilidade garante que seu aplicativo possa cumprir os compromissos que você assume com seus clientes. Para obter mais informações, confira Visão geral do pilar de confiabilidade.

Se você usa o Azure ExpressRoute para conectar a rede virtual à rede local, configure um gateway de VPN para fazer failover se a conexão do ExpressRoute ficar indisponível.

Para obter informações sobre como manter a disponibilidade para conexões VPN e ExpressRoute, consulte as considerações de disponibilidade em:

• Implementando uma arquitetura de rede híbrida com o Azure e VPN local
• Implementação de uma arquitetura de rede híbrida com o Azure ExpressRoute

Excelência operacional

A excelência operacional abrange os processos de operações que implantam um aplicativo e o mantêm em execução na produção. Para obter mais informações, confira Visão geral do pilar de excelência operacional.

Se a conectividade de gateway entre a rede local e o Azure estiver inativa, você ainda poderá acessar as VMs na rede virtual do Azure por meio do Azure Bastion.

A sub-rede de cada camada na arquitetura de referência é protegida por regras de NSG. Talvez seja necessário criar uma regra para abrir a porta 3389 para acesso do protocolo RDP em VMs do Windows ou a porta 22 para acesso de SSH (Secure Shell) em VMs do Linux. Outras ferramentas de gerenciamento e monitoramentos podem exigir regras para abrir portas adicionais.

Se você estiver usando o ExpressRoute para fornecer a conectividade entre o datacenter local e o Azure, use o AzureCT (Kit de ferramentas de conectividade do Azure) para monitorar e solucionar problemas de conexão.

Para saber mais sobre como monitorar e gerenciar conexões de VPN e do ExpressRoute, confira o artigo Implementação de uma arquitetura de rede híbrida com o Azure e a VPN local .

Segurança

A segurança fornece garantias contra ataques deliberados e o abuso de seus dados e sistemas valiosos. Para saber mais, confira Visão geral do pilar de segurança.

Essa arquitetura de referência implementa vários níveis de segurança.

Rotear todas as solicitações de usuário locais por meio do Firewall do Azure

A rota definida pelo usuário na sub-rede do gateway bloqueia todas as solicitações de usuário que não são recebidas do local. A rota passa solicitações permitidas para o firewall. As solicitações são passadas para os recursos nas redes virtuais spoke se forem permitidas pelas regras de firewall. Você pode adicionar outras rotas, mas não ignore o firewall nem bloqueie o tráfego administrativo destinado à sub-rede de gerenciamento acidentalmente.

Usando NSGs para bloquear/passar tráfego para sub-redes de rede virtual spoke

O tráfego de e para sub-redes de recursos em redes virtuais spoke é restrito usando NSGs. Se você tiver um requisito para expandir as regras NSG para permitir acesso mais amplo a esses recursos, pese esses requisitos em relação aos riscos de segurança. Cada novo caminho de entrada representa uma oportunidade para danos de aplicativo ou perda de dados acidental ou intencional.

Proteção contra DDOS

A Proteção contra DDoS do Azure, combinada com as práticas recomendadas de design de aplicativos, fornece recursos aprimorados de mitigação de DDoS para fornecer mais defesa contra ataques de DDoS. Você deve habilitar a Proteção contra DDOS do Azure em qualquer rede virtual do perímetro.

Usar a AVNM para criar regras de administração de segurança de linha de base

O AVNM permite criar linhas de base de regras de segurança, que podem ter prioridade sobre as regras do grupo de segurança de rede. As regras de administrador de segurança são avaliadas antes das regras do NSG e têm a mesma natureza de NSGs, com suporte para priorização, marcas de serviço e protocolos L3-L4. O AVNM permite que a TI central imponha uma linha de base de regras de segurança, ao mesmo tempo em que permite uma independência de regras NSG adicionais pelos proprietários da rede virtual falada. Para facilitar a distribuição controlada de alterações nas regras de segurança, o recurso de implantações do AVNM permite que você libere com segurança as alterações interruptivas dessas configurações nos ambientes hub e spoke.

Acesso de DevOps

Use o Azure RBAC para restringir as operações que DevOps pode executar em cada camada. Ao conceder permissões, use o princípio de privilégios mínimos. Registre em log todas as operações administrativas e execute auditorias regulares para confirmar se todas as alterações de configuração foram planejadas.

Otimização de custo

A otimização de custos é a análise de maneiras de reduzir as despesas desnecessárias e melhorar a eficiência operacional. Para obter mais informações, confira Visão geral do pilar de otimização de custo.

Use a Calculadora de Preços do Azure para estimar os custos. Outras considerações são descritas na seção de otimização de custo em Microsoft Azure Well-Architected Framework.

Aqui estão as considerações de custo para os serviços usados nesta arquitetura.

Firewall do Azure

Nessa arquitetura, o Firewall do Azure é implantado na rede virtual para controlar o tráfego entre a sub-rede do gateway e os recursos nas redes virtuais de spoke. Dessa forma, o Firewall do Azure é econômico porque é usado como uma solução compartilhada consumida por várias cargas de trabalho. Aqui estão os modelos de preços do Firewall do Azure:

• Taxa fixa por hora de implantação.
• Dados processados por GB para dar suporte à escala automática.

Em comparação com as NVAs (soluções de virtualização de rede), com o Firewall do Azure você pode economizar até 30-50%. Para obter mais informações, consulte Firewall do Azure vs NVA.

Azure Bastion

O Azure Bastion se conecta com segurança a máquinas virtuais por meio de RDP e SSH, sem configurar um IP público na máquina virtual.

O faturamento do Bastion é comparável a uma máquina virtual básica de baixo nível configurada como uma caixa de salto. O Bastion é mais econômico do que uma caixa de salto, pois tem recursos de segurança integrados e não incorre em custos extras para armazenamento e gerenciamento de um servidor separado.

Rede Virtual do Azure

A Rede Virtual do Microsoft Azure é gratuita. Cada assinatura tem permissão para criar até 50 redes virtuais em todas as regiões. Todo o tráfego que ocorre dentro dos limites de uma rede virtual é gratuito. Por exemplo, as VMs na mesma rede virtual que conversam entre si não incorrem em cobranças de tráfego de rede.

Balanceador de carga interno

O balanceamento de carga básico entre máquinas virtuais que residem na mesma rede virtual é gratuito.

Nessa arquitetura, os balanceadores de carga internos são usados para balancear a carga do tráfego em uma rede virtual.

Implantar este cenário

A implantação cria dois grupos de recursos: o primeiro contém uma rede local fictícia e o segundo contém um conjunto de redes hub-spoke. A rede local fictícia e a rede hub estão conectadas usando gateways da Rede Virtual do Azure para formar uma conexão site a site. Essa configuração é muito semelhante a como você conectaria seu datacenter local ao Azure.

Essa implantação pode levar até 45 minutos. O método de implantação recomendado está usando a opção de portal encontrada abaixo.

az deployment sub create --location eastus \
    --template-uri https://raw.githubusercontent.com/mspnp/samples/master/solutions/secure-hybrid-network/azuredeploy.json

New-AzSubscriptionDeployment -Location eastus `
    -TemplateUri https://raw.githubusercontent.com/mspnp/samples/master/solutions/secure-hybrid-network/azuredeploy.json

Depois que a implantação for concluída, verifique a conectividade site a site examinando os recursos de conexão recém-criados. Enquanto estiver no portal do Azure, pesquise "conexões" e observe o status de cada conexão.

A instância do IIS encontrada na rede spoke pode ser acessada da máquina virtual localizada na rede local fictícia. Crie uma conexão com a máquina virtual usando o host do Azure Bastion incluído, abra um navegador da Web e acesse o endereço do balanceador de carga de rede do aplicativo.

Para obter informações detalhadas e opções de implantação adicionais, consulte os modelos do Gerenciador de Recursos do Azure (modelos ARM) usados para implantar esta solução: Rede Híbrida Segura.

Próximas etapas

• O datacenter virtual: uma perspectiva de rede.
• Documentação de segurança do Azure.

Recursos relacionados

• Conecte uma rede local ao Azure usando a Rota Expressa.
• Configurar conexões de coexistência de Rota Expressa e Site a Site usando o PowerShell
• Estenda uma rede local usando a Rota Expressa.