A rede de produção do Azure

Os utilizadores da rede de produção do Azure incluem clientes externos que acedem às suas próprias aplicações do Azure e pessoal de suporte do Azure interno que gere a rede de produção. Este artigo aborda os métodos de acesso de segurança e os mecanismos de proteção para estabelecer ligações à rede de produção do Azure.

Encaminhamento da Internet e tolerância a falhas

Uma infraestrutura DNS (Domain Name Service) interna e externa globalmente redundante, combinada com vários clusters de servidores DNS primários e secundários, fornece tolerância a falhas. Ao mesmo tempo, os controlos de segurança de rede do Azure adicionais, como o NetScaler, são utilizados para impedir ataques denial of service distribuídos (DDoS) e proteger a integridade dos serviços DNS do Azure.

Os servidores DNS do Azure estão localizados em várias instalações do datacenter. A implementação do DNS do Azure incorpora uma hierarquia de servidores DNS secundários e primários para resolver publicamente os nomes de domínio do cliente do Azure. Normalmente, os nomes de domínio são resolvidos para um endereço CloudApp.net, que encapsula o endereço IP virtual (VIP) do serviço do cliente. Exclusivo do Azure, o VIP que corresponde ao endereço IP dedicado interno (DIP) da tradução de inquilinos é feito pelos balanceadores de carga da Microsoft responsáveis por esse VIP.

O Azure está alojado em datacenters do Azure distribuídos geograficamente nos EUA e baseia-se em plataformas de encaminhamento de última geração que implementam padrões arquitetónicos robustos e dimensionáveis. Entre as funcionalidades mais importantes estão:

• Engenharia de tráfego baseada em Multiprotocol Label Switching (MPLS), que fornece uma utilização eficiente das ligações e uma degradação correta do serviço em caso de indisponibilidade.
• As redes são implementadas com arquiteturas de redundância "need plus one" (N+1) ou melhor.
• Externamente, os datacenters são servidos por circuitos de rede dedicados e de alta largura de banda que ligam propriedades com mais de 1200 fornecedores de serviços internet globalmente em vários pontos de peering. Esta ligação fornece mais de 2000 gigabytes por segundo (GBps) de capacidade edge.

Uma vez que a Microsoft detém os seus próprios circuitos de rede entre datacenters, estes atributos ajudam a oferta do Azure a alcançar 99,9% de disponibilidade de rede sem a necessidade de fornecedores tradicionais de serviços internet de terceiros.

Ligação à rede de produção e firewalls associadas

A política de fluxo de tráfego da Internet de rede do Azure direciona o tráfego para a rede de produção do Azure localizada no datacenter regional mais próximo nos EUA. Uma vez que os datacenters de produção do Azure mantêm arquitetura e hardware de rede consistentes, a descrição do fluxo de tráfego que se segue aplica-se consistentemente a todos os datacenters.

Depois de o tráfego de Internet para o Azure ser encaminhado para o datacenter mais próximo, é estabelecida uma ligação aos routers de acesso. Estes routers de acesso servem para isolar o tráfego entre nós do Azure e VMs instanciadas pelo cliente. Os dispositivos de infraestrutura de rede nas localizações de acesso e limite são os pontos de limite onde os filtros de entrada e saída são aplicados. Estes routers são configurados através de uma lista de controlo de acesso (ACL) em camadas para filtrar o tráfego de rede indesejado e aplicar limites de taxa de tráfego, se necessário. O tráfego permitido pela ACL é encaminhado para os balanceadores de carga. Os routers de distribuição foram concebidos para permitir apenas endereços IP aprovados pela Microsoft, fornecer anti-spoofing e estabelecer ligações TCP que utilizam ACLs.

Os dispositivos de balanceamento de carga externos estão localizados atrás dos routers de acesso para efetuar a tradução de endereços de rede (NAT) de IPs encaminháveis pela Internet para IPs internos do Azure. Os dispositivos também encaminham pacotes para portas e IPs internos de produção válidos e atuam como um mecanismo de proteção para limitar a exposição do espaço de endereços da rede de produção interna.

Por predefinição, a Microsoft impõe o PROTOCOLO HTTPS (Hypertext Transfer Protocol Secure) para todo o tráfego transmitido para os browsers dos clientes, incluindo o início de sessão e todo o tráfego posteriormente. A utilização do TLS v1.2 permite que o tráfego flua através de um túnel seguro. As ACLs no acesso e nos routers principais garantem que a origem do tráfego é consistente com o esperado.

Uma distinção importante nesta arquitetura, quando comparada com a arquitetura de segurança tradicional, é que não existem firewalls de hardware dedicadas, dispositivos especializados de deteção ou prevenção de intrusões ou outras aplicações de segurança que normalmente são esperadas antes de as ligações serem efetuadas ao ambiente de produção do Azure. Normalmente, os clientes esperam estes dispositivos de firewall de hardware na rede do Azure; no entanto, nenhum é utilizado no Azure. Quase exclusivamente, essas funcionalidades de segurança estão incorporadas no software que executa o ambiente do Azure para fornecer mecanismos de segurança robustos e de várias camadas, incluindo capacidades de firewall. Além disso, o âmbito do limite e a expansão associada de dispositivos de segurança críticos é mais fácil de gerir e inventariar, conforme mostrado na ilustração anterior, porque é gerido pelo software que está a executar o Azure.

Principais funcionalidades de segurança e firewall

O Azure implementa funcionalidades robustas de segurança de software e firewall em vários níveis para impor funcionalidades de segurança que normalmente são esperadas num ambiente tradicional para proteger o limite de Autorização de Segurança principal.

Funcionalidades de segurança do Azure

O Azure implementa firewalls de software baseadas no anfitrião dentro da rede de produção. Várias funcionalidades principais de segurança e firewall residem no ambiente principal do Azure. Estas funcionalidades de segurança refletem uma estratégia de defesa em profundidade no ambiente do Azure. Os dados do cliente no Azure estão protegidos pelas seguintes firewalls:

Firewall do hipervisor (filtro de pacotes): esta firewall é implementada no hipervisor e configurada pelo agente do controlador de recursos de infraestrutura (FC). Esta firewall protege o inquilino que é executado dentro da VM contra acesso não autorizado. Por predefinição, quando uma VM é criada, todo o tráfego é bloqueado e, em seguida, o agente do FC adiciona regras e exceções no filtro para permitir tráfego autorizado.

Duas categorias de regras são programadas aqui:

• Configuração do computador ou regras de infraestrutura: por predefinição, todas as comunicações estão bloqueadas. Existem exceções que permitem que uma VM envie e receba comunicações e informações DNS do Protocolo DHCP (Dynamic Host Configuration Protocol) e envie tráfego para a saída "pública" da Internet para outras VMs dentro do cluster do FC e do servidor de Ativação do SO. Uma vez que a lista permitida de destinos de saída das VMs não inclui sub-redes do router do Azure e outras propriedades da Microsoft, as regras atuam como uma camada de defesa para as mesmas.
• Regras de ficheiro de configuração de função: define as ACLs de entrada com base no modelo de serviço dos inquilinos. Por exemplo, se um inquilino tiver um front-end Web na porta 80 numa determinada VM, a porta 80 é aberta para todos os endereços IP. Se a VM tiver uma função de trabalho em execução, a função de trabalho é aberta apenas na VM no mesmo inquilino.

Firewall do anfitrião nativo: o Azure Service Fabric e o Armazenamento do Azure são executados num SO nativo, que não tem hipervisor e, por conseguinte, a Firewall do Windows está configurada com os dois conjuntos de regras anteriores.

Firewall do anfitrião: a firewall do anfitrião protege a partição do anfitrião, que executa o hipervisor. As regras são programadas para permitir que apenas o FC e as caixas de salto falem com a partição de anfitrião numa porta específica. As outras exceções são permitir respostas DNS e respostas DHCP. O Azure utiliza um ficheiro de configuração do computador, que contém um modelo de regras de firewall para a partição do anfitrião. Também existe uma exceção de firewall de anfitrião que permite que as VMs comuniquem com componentes de anfitrião, servidor de fios e servidor de metadados, através de protocolos/portas específicos.

Firewall de convidado: a parte da Firewall do Windows do SO convidado, que é configurável pelos clientes em VMs e armazenamento do cliente.

As funcionalidades de segurança adicionais incorporadas nas capacidades do Azure incluem:

• Componentes de infraestrutura aos quais são atribuídos endereços IP provenientes de DIPs. Um atacante na Internet não consegue endereçar o tráfego para esses endereços porque não chegaria à Microsoft. Os routers de gateway de Internet filtram pacotes que são endereçados exclusivamente a endereços internos, pelo que não entrariam na rede de produção. Os únicos componentes que aceitam tráfego direcionado para VIPs são os balanceadores de carga.

• As firewalls implementadas em todos os nós internos têm três considerações de arquitetura de segurança principais para qualquer cenário:

  • As firewalls são colocadas atrás do balanceador de carga e aceitam pacotes a partir de qualquer lugar. Estes pacotes destinam-se a ser expostos externamente e corresponderiam às portas abertas numa firewall de perímetro tradicional.
  • As firewalls aceitam pacotes apenas a partir de um conjunto limitado de endereços. Esta consideração faz parte da estratégia defensiva aprofundada contra ataques DDoS. Estas ligações são autenticadas criptograficamente.
  • As firewalls só podem ser acedidas a partir de nós internos selecionados. Só aceitam pacotes de uma lista enumerada de endereços IP de origem, todos eles DIPs na rede do Azure. Por exemplo, um ataque à rede empresarial poderia direcionar pedidos para estes endereços, mas os ataques seriam bloqueados, a menos que o endereço de origem do pacote estivesse na lista enumerada na rede do Azure.
    • O router de acesso no perímetro bloqueia pacotes de saída endereçados a um endereço dentro da rede do Azure devido às rotas estáticas configuradas.

Passos seguintes

Para saber mais sobre o que a Microsoft faz para proteger a infraestrutura do Azure, veja:

• Instalações, instalações e segurança física do Azure
• Disponibilidade da infraestrutura do Azure
• Componentes e limites do sistema de informações do Azure
• Arquitetura de rede do Azure
• funcionalidades de segurança da Base de Dados do SQL do Azure
• Operações e gestão de produção do Azure
• Monitorização da infraestrutura do Azure
• Integridade da infraestrutura do Azure
• Proteção de dados do cliente do Azure