Esta arquitetura de referência mostra uma rede híbrida segura que expande uma rede no local para o Azure. A arquitetura implementa uma rede de perímetro, também denominada DMZ, entre a rede no local e uma rede virtual do Azure. Todo o tráfego de entrada e saída passa por Azure Firewall.
Arquitetura
Transfira um ficheiro do Visio desta arquitetura.
Componentes
A arquitetura consiste nos seguintes aspetos:
Rede no local. Uma rede de área local privada implementada numa organização.
Rede virtual do Azure. A rede virtual aloja os componentes da solução e outros recursos em execução no Azure.
As rotas de rede virtual definem o fluxo de tráfego IP na rede virtual do Azure. No diagrama, existem duas tabelas de rotas definidas pelo utilizador.
Na sub-rede do gateway, o tráfego é encaminhado através da instância Azure Firewall.
Nota
Consoante os requisitos da sua ligação VPN, pode configurar rotas bgp (Border Gateway Protocol) para implementar as regras de reencaminhamento que direcionam o tráfego de volta através da rede no local.
Gateway. O gateway fornece conectividade entre os routers na rede no local e na rede virtual. O gateway é colocado na sua própria sub-rede.
Azure Firewall. Azure Firewall é uma firewall gerida como um serviço. A instância da Firewall é colocada na sua própria sub-rede.
Grupos de segurança de rede. Utilize grupos de segurança para restringir o tráfego de rede na rede virtual.
Azure Bastion. O Azure Bastion permite-lhe iniciar sessão em máquinas virtuais (VMs) na rede virtual através de SSH ou protocolo de ambiente de trabalho remoto (RDP) sem expor as VMs diretamente na Internet. Utilize o Bastion para gerir as VMs na rede virtual.
O Bastion requer uma sub-rede dedicada com o nome AzureBastionSubnet.
Potenciais casos de utilização
Esta arquitetura requer uma ligação ao datacenter no local, com um gateway de VPN ou uma ligação ExpressRoute. Utilizações típicas desta arquitetura:
- Aplicações híbridas onde as cargas de trabalho são executadas parcialmente no local e parcialmente no Azure.
- Infraestrutura que requer controlo granular sobre o tráfego que entra numa rede virtual do Azure a partir de um datacenter no local.
- Aplicações que têm de auditar o tráfego de saída. A auditoria é, muitas vezes, um requisito regulamentar de muitos sistemas comerciais e pode ajudar a impedir a divulgação pública de informações privadas.
Recomendações
As recomendações seguintes aplicam-se à maioria dos cenários. Siga-as, a não ser que tenha requisitos específicos que as anulem.
Recomendações de controlo de acesso
Utilize o controlo de acesso baseado em funções do Azure (RBAC do Azure) para gerir os recursos na sua aplicação. Considere criar as seguintes funções personalizadas:
Uma função DevOps com permissões para administrar a infraestrutura da aplicação, implementar os componentes da aplicação e monitorizar e reiniciar as VMs.
Uma função de administrador de TI centralizada para gerir e monitorizar os recursos de rede.
Uma função de administrador de TI de segurança para gerir recursos de rede seguros, como a firewall.
A função de administrador de TI não deve ter acesso aos recursos da firewall. O acesso deve ser restringido à função de administrador de TI de segurança.
Recomendações para grupos de recursos
Os recursos do Azure, como VMs, redes virtuais e balanceadores de carga, podem ser facilmente geridos ao agrupá-los em grupos de recursos. Atribua funções do Azure a cada grupo de recursos para restringir o acesso.
Recomendamos que crie os seguintes grupos de recursos:
- Um grupo de recursos que contém a rede virtual (excluindo as VMs), os NSGs e os recursos de gateway para ligar à rede no local. Atribua a função de administrador de TI centralizada a este grupo de recursos.
- Um grupo de recursos que contém as VMs da instância Azure Firewall e as rotas definidas pelo utilizador para a sub-rede do gateway. Atribua a função de administrador de TI de segurança a este grupo de recursos.
- Separar grupos de recursos para cada rede virtual spoke que contém o balanceador de carga e as VMs.
Recomendações de redes
Para aceitar o tráfego de entrada da Internet, adicione uma regra dnat (Destination Network Address Translation) à Azure Firewall.
- Endereço de destino = Endereço IP público da instância da firewall.
- Endereço traduzido = Endereço IP privado na rede virtual.
Force-tunnel todo o tráfego de saída da Internet através da sua rede no local através do túnel VPN site a site e encaminhe para a Internet através da tradução de endereços de rede (NAT). Esta estrutura impede a fuga acidental de quaisquer informações confidenciais e permite a inspeção e auditoria de todo o tráfego de saída.
Não bloqueie completamente o tráfego da Internet dos recursos nas sub-redes de rede spoke. Bloquear o tráfego impedirá que estes recursos utilizem serviços PaaS do Azure que dependem de endereços IP públicos, como o registo de diagnósticos da VM, a transferência de extensões de VM e outras funcionalidades. O diagnóstico do Azure também requer que os componentes possam ler e escrever numa conta de Armazenamento do Azure.
Verifique se o tráfego de Internet de saída tem uma imposição de túnel correta. Se estiver a utilizar uma ligação VPN com o serviço de encaminhamento e acesso remoto num servidor no local, utilize uma ferramenta como o WireShark.
Considere utilizar Gateway de Aplicação ou o Azure Front Door para terminação SSL.
Considerações
Estas considerações implementam os pilares do Azure Well-Architected Framework, que é um conjunto de princípios orientadores que podem ser utilizados para melhorar a qualidade de uma carga de trabalho. Para obter mais informações, veja Microsoft Azure Well-Architected Framework.
Eficiência de desempenho
Eficiência de desempenho é a capacidade da sua carga de trabalho para dimensionar para satisfazer as exigências que os utilizadores lhe colocam de forma eficiente. Para obter mais informações, veja Descrição geral do pilar Eficiência de desempenho.
Para obter detalhes sobre os limites de largura de banda do Gateway de VPN, veja SKUs de Gateway. Para larguras de banda superiores, considere atualizar para um gateway do ExpressRoute. O ExpressRoute fornece uma largura de banda de até 10 Gbps com latência inferior à de uma ligação VPN.
Para obter mais informações sobre a escalabilidade dos gateways do Azure, veja as secções de consideração de escalabilidade em:
- Implementar uma arquitetura de rede híbrida com o Azure e a VPN no local
- Implementar uma arquitetura de rede híbrida com o Azure ExpressRoute
Para obter detalhes sobre a gestão de redes virtuais e NSGs em escala, veja Azure Rede Virtual Manager (AVNM): Criar uma rede hub-and-spoke segura para criar novas topologias de rede virtual hub e spoke novas (e integradas) para a gestão central das regras de conectividade e NSG.
Fiabilidade
A fiabilidade garante que a sua aplicação cumpre os compromissos assumidos com os seus clientes. Para obter mais informações, veja Descrição geral do pilar de fiabilidade.
Se estiver a utilizar o Azure ExpressRoute para fornecer conectividade entre a rede virtual e a rede no local, configure um gateway de VPN para fornecer ativação pós-falha se a ligação do ExpressRoute ficar indisponível.
Para obter informações sobre como manter a disponibilidade para ligações VPN e ExpressRoute, veja as considerações de disponibilidade em:
- Implementar uma arquitetura de rede híbrida com o Azure e a VPN no local
- Implementar uma arquitetura de rede híbrida com o Azure ExpressRoute
Excelência operacional
A excelência operacional abrange os processos de operações que implementam uma aplicação e a mantêm em execução na produção. Para obter mais informações, veja Descrição geral do pilar de excelência operacional.
Se a conectividade do gateway da rede no local para o Azure estiver inativa, ainda poderá aceder às VMs na rede virtual do Azure através do Azure Bastion.
Cada sub-rede da camada na arquitetura de referência está protegida por regras do NSG. Poderá ter de criar uma regra para abrir a porta 3389 para o acesso do protocolo RDP (Remote Desktop Protocol) em VMs do Windows ou a porta 22 para o acesso de secure shell (SSH) em VMs do Linux. Outras ferramentas de monitorização e gestão podem precisar de regras para abrir portas adicionais.
Se estiver a utilizar o ExpressRoute para fornecer conectividade entre o datacenter no local e o Azure, utilize o Toolkit de Conectividade do Azure (AzureCT) para monitorizar e resolver problemas de ligação.
Pode encontrar informações adicionais sobre a monitorização e gestão de ligações VPN e ExpressRoute no artigo Implementar uma arquitetura de rede híbrida com o Azure e a VPN no local.
Segurança
A segurança fornece garantias contra ataques deliberados e abuso dos seus valiosos dados e sistemas. Para obter mais informações, veja Descrição geral do pilar de segurança.
Esta arquitetura de referência implementa vários níveis de segurança.
Encaminhar todos os pedidos de utilizador no local através de Azure Firewall
A rota definida pelo utilizador na sub-rede do gateway bloqueia todos os pedidos de utilizador que não os recebidos no local. A rota transmite pedidos permitidos para a firewall. Os pedidos são transmitidos aos recursos nas redes virtuais spoke se forem permitidos pelas regras de firewall. Pode adicionar outras rotas, mas certifique-se de que não ignoram inadvertidamente a firewall ou bloqueiam o tráfego administrativo destinado à sub-rede de gestão.
Utilizar NSGs para bloquear/transmitir tráfego para sub-redes de rede virtual spoke
O tráfego de e para sub-redes de recursos em redes virtuais spoke é restringido através de NSGs. Se tiver um requisito para expandir as regras do NSG para permitir um acesso mais amplo a estes recursos, pondere estes requisitos em relação aos riscos de segurança. Cada caminho de entrada novo representa uma oportunidade para danos na aplicação ou fuga de dados acidental ou propositada.
Proteção contra DDoS
O Azure DDoS Protection Standard, combinado com as melhores práticas de conceção de aplicações, fornece funcionalidades de mitigação de DDoS melhoradas para fornecer mais defesa contra ataques DDoS. Deve ativar o Azure DDOS Protection Standard em qualquer rede virtual de perímetro.
Utilizar o AVNM para criar regras de Administração de Segurança de linha de base
O AVNM permite-lhe criar linhas de base de regras de segurança, que podem ter prioridade sobre as regras do grupo de segurança de rede. As regras de administrador de segurança são avaliadas antes das regras do NSG e têm a mesma natureza de NSGs, com suporte para atribuição de prioridades, etiquetas de serviço e protocolos L3-L4. O AVNM permite que as TI centrais apliquem uma linha de base de regras de segurança, ao mesmo tempo que permite a independência de regras NSG adicionais pelos proprietários de redes virtuais spoke. Para facilitar a implementação controlada de alterações às regras de segurança, a funcionalidade de implementações do AVNM permite-lhe libertar com segurança as alterações interruptivas destas configurações aos ambientes hub-and-spoke.
Acesso ao DevOps
Utilize o RBAC do Azure para restringir as operações que o DevOps pode executar em cada camada. Ao conceder permissões, utilize o princípio do menor privilégio. Registe todas as operações administrativas e realize auditorias regulares para garantir que as alterações de configuração foram planeadas.
Otimização de custos
A otimização de custos consiste em analisar formas de reduzir as despesas desnecessárias e melhorar a eficiência operacional. Para obter mais informações, veja Descrição geral do pilar de otimização de custos.
Utilize a calculadora de preços do Azure para prever os custos. Outras considerações são descritas na secção Otimização de custos no Microsoft Azure Well-Architected Framework.
Seguem-se considerações de custos para os serviços utilizados nesta arquitetura.
Azure Firewall
Nesta arquitetura, Azure Firewall é implementada na rede virtual para controlar o tráfego entre a sub-rede do gateway e os recursos nas redes virtuais spoke. Desta forma, Azure Firewall é rentável porque é utilizada como uma solução partilhada consumida por várias cargas de trabalho. Eis os modelos de preços Azure Firewall:
- Taxa fixa por hora de implementação.
- Dados processados por GB para suportar o dimensionamento automático.
Quando comparado com as aplicações virtuais de rede (NVAs), com Azure Firewall pode poupar até 30 a 50%. Para obter mais informações, veja Azure Firewall vs. NVA.
Azure Bastion
O Azure Bastion liga-se de forma segura à sua máquina virtual através de RDP e SSH sem ter de configurar um IP público na máquina virtual.
A faturação do Bastion é comparável a uma máquina virtual básica de baixo nível configurada como uma caixa de salto. O Bastion é mais rentável do que uma caixa de salto, uma vez que tem funcionalidades de segurança incorporadas e não incorre em custos adicionais para armazenamento e gestão de um servidor separado.
Rede Virtual do Azure
A Rede Virtual do Azure é gratuita. Todas as subscrições podem criar até 50 redes virtuais em todas as regiões. Todo o tráfego que ocorre dentro dos limites de uma rede virtual é gratuito. Por exemplo, as VMs na mesma rede virtual que falam entre si não incorrem em custos de tráfego de rede.
Balanceador de carga interno
O balanceamento de carga básico entre máquinas virtuais que residem na mesma rede virtual é gratuito.
Nesta arquitetura, os balanceadores de carga internos são utilizados para fazer o balanceamento de carga do tráfego dentro de uma rede virtual.
Implementar este cenário
Esta implementação cria dois grupos de recursos; o primeiro contém uma rede no local simulada, a segunda um conjunto de redes hub-and-spoke. A rede no local simulada e a rede hub estão ligadas com gateways de Rede Virtual do Azure para formar uma ligação site a site. Esta configuração é muito semelhante à forma como ligaria o datacenter no local ao Azure.
Esta implementação pode demorar até 45 minutos a concluir. O método de implementação recomendado está a utilizar a opção de portal encontrada abaixo.
Utilize o botão seguinte para implementar a referência com o portal do Azure.
Assim que a implementação estiver concluída, verifique a conectividade site a site ao analisar os recursos de ligação recentemente criados. Enquanto estiver no portal do Azure, procure "ligações" e tenha em atenção que o estado de cada ligação.
A instância do IIS encontrada na rede spoke pode ser acedida a partir da máquina virtual localizada na rede no local simulada. Crie uma ligação à máquina virtual com o anfitrião do Azure Bastion incluído, abra um browser e navegue para o endereço do balanceador de carga de rede da aplicação.
Para obter informações detalhadas e opções de implementação adicionais, veja os modelos do Azure Resource Manager (modelos arm) utilizados para implementar esta solução: Rede Híbrida Segura.