Planejar a conectividade de entrada e saída da Internet
Este artigo lista as considerações e recomendações para conectividade de entrada e saída entre o Azure e a Internet pública.
Os serviços de segurança de rede nativos do Azure, como o Firewall do Azure, o Firewall de WAF (Aplicativo Web do Azure) no Gateway de Aplicativo do Azure e o Azure Front Door, são totalmente gerenciados. Você não contrai os custos operacionais e de gerenciamento e a complexidade das implantações de infraestrutura em escala.
Se sua organização preferir usar as NVAs (soluções de virtualização de rede) que não são do Azure ou para situações em que os serviços nativos não atendem a requisitos específicos, a arquitetura de zona de destino do Azure é totalmente compatível com NVAs de parceiros.
O Azure fornece vários métodos diretos de conectividade de saída da Internet, como gateways NAT (conversão de endereços de rede) ou balanceadores de carga, para VMs (máquinas virtuais) ou instâncias de computação em uma rede virtual. O Gateway NAT do Azure é recomendado como padrão para habilitar a conectividade de saída, pois é operacionalmente o mais simples de configurar e é a opção mais escalonável e eficiente entre todos os métodos de conectividade de saída disponíveis no Azure. Para obter mais informações, confira Métodos de conectividade de saída do Azure.
Use o Gateway NAT do Azure para conectividade direta de saída com a Internet. Um gateway NAT é um serviço NAT totalmente gerenciado e altamente resiliente que fornece SNAT escalável e sob demanda.
Use um gateway NAT para:
- Cargas de trabalho dinâmicas ou grandes enviando tráfego para a Internet.
- Endereços IP públicos estáticos e previsíveis para conectividade de saída. O gateway NAT pode ser associado a até 16 endereços IP públicos ou a um prefixo IP público /28.
- Mitigação de problemas com o esgotamento de portas SNAT comumente experimentados com regras de saída do Balanceador de carga, Firewall do Azure ou Serviços de Aplicativo do Azure.
- Segurança e privacidade dos recursos dentro da sua rede. Somente o tráfego de saída e de retorno pode passar pelo gateway NAT.
Use o Firewall do Azure para controlar:
- Tráfego de saída do Azure para a Internet.
- Conexões de entrada não HTTP/S.
- Filtragem de tráfego leste-oeste, se sua organização exigir.
Use o Firewall do Azure Premium para recursos avançados de firewall, como:
- Inspeção do protocolo TLS.
- Um IDPS (sistema de detecção e prevenção de intrusões).
- Filtragem de URL.
- Categorias da Web.
O Gerenciador de Firewall do Azure dá suporte a WAN Virtual do Azure e redes virtuais regulares. Use o Firewall do Azure com a WAN Virtual para implantar e gerenciar firewalls do Azure entre hubs da WAN Virtual ou em redes virtuais de hub.
Se você usar vários endereços IP e intervalos de IP consistentemente nas regras de Firewall do Azure, configure os Grupos de IP no Firewall do Azure. Você pode usar os grupos de IP nas regras DNAT, de rede e de aplicativo do Firewall do Azure para vários firewalls nas regiões e assinaturas do Azure.
Se você usar uma UDR (rota definida pelo usuário) personalizada para gerenciar a conectividade de saída com serviços de PaaS (plataforma como serviço) do Azure, especifique uma marca de serviço como o prefixo de endereço. As marcas de serviço atualizam os endereços IP subjacentes automaticamente para incluir alterações e reduzem a sobrecarga do gerenciamento de prefixos do Azure em uma tabela de rotas.
Crie uma política global do Firewall do Azure para reger a postura de segurança no ambiente de rede global. Atribua a política a todas as instâncias do Firewall do Azure.
Permita que políticas granulares atendam aos requisitos de região específicos, usando o controle de acesso baseado em função do Azure para delegar políticas incrementais às equipes de segurança locais.
Use WAF em uma rede virtual de zona de destino para proteger o tráfego HTTP/S de entrada a partir da Internet.
Use as políticas do WAF e do Azure Front Door para fornecer proteção global em regiões do Azure para conexões HTTP/S de entrada com uma zona de destino.
Para usar o Azure Front Door e o Gateway de Aplicativo do Azure para ajudar a proteger aplicativos HTTP/S, use políticas de WAF no Azure Front Door. Bloqueie o Gateway de Aplicativo do Azure para receber o tráfego somente do Azure Front Door.
Se você precisar de NVAs de parceiros para conexões HTTP/S de entrada, implante-as em uma rede virtual da zona de destino, juntamente com os aplicativos que elas protegem e expõem à Internet.
Para acesso de saída, não use o acesso de saída da Internet padrão do Azure em nenhum cenário. Os problemas enfrentados com o acesso de saída padrão incluem:
- Aumento do risco de esgotamento da porta SNAT.
- Inseguro por padrão.
- Não pode depender de IPs de acesso padrão. Eles não são de propriedade do cliente e estão sujeitos a alterações.
Use um gateway NAT para zonas de destino online ou zonas de destino não conectadas à rede virtual do hub. Os recursos de computação que precisam do acesso à Internet de saída e não precisam da segurança de Firewall do Azure standard ou premium nem de uma NVA de terceiros, podem usar zonas de destino online.
Se sua organização quiser usar provedores de segurança de SaaS (software como serviço) para ajudar a proteger as conexões de saída, configure parceiros compatíveis no Gerenciador de Firewall.
Se você usar NVAs de parceiros para proteção e filtragem de tráfego leste-oeste ou norte-sul:
- Para topologias de rede de WAN virtual, implante as NVAs em uma rede virtual NVA separada. Conecte a rede virtual ao hub de WAN Virtual regional e às zonas de destino que precisam de acesso às NVAs. Para obter mais informações, confira Cenário: encaminhar o tráfego por meio de uma NVA.
- Para topologias de rede de WANs não virtuais, implante as NVAs de parceiros na rede virtual do hub central.
Não exponha as portas de gerenciamento de VM à Internet. Para tarefas de gerenciamento:
- Use o Azure Policy para impedir a criação de VM com IPs públicos.
- Use o Azure Bastion para acessar VMs de jumpbox.
Use os planos de proteção contra DDoS do Azure para ajudar a proteger os pontos de extremidade públicos que você hospeda em suas redes virtuais.
Não tente replicar os conceitos e as arquiteturas da rede de perímetro local no Azure. Embora o Azure tenha recursos de segurança semelhantes, a implementação e a arquitetura são adaptadas à nuvem.