O que é uma NVA?
Uma aplicação virtual de rede (NVA) é uma aplicação virtual que consiste em várias camadas, como:
- Um firewall
- Um otimizador de WAN
- Controladores de entrega de aplicativos
- Routers
- Balanceadores de carga
- IDS/IPS
- Proxies
Você pode implantar NVAs que escolher entre provedores no Azure Marketplace. Esses fornecedores incluem Cisco, Check Point, Barracuda, Sophos, WatchGuard, e SonicWall. Pode utilizar uma NVA para filtrar o tráfego de entrada para uma rede virtual, bloquear pedidos maliciosos e bloquear pedidos efetuados de recursos inesperados.
No cenário de exemplo da organização de retalho, tem de trabalhar com as equipas de segurança e de rede. Quer implementar um ambiente seguro que analise todo o tráfego de entrada e bloqueie a passagem de tráfego não autorizado para a rede interna. Quer também proteger a rede de máquina virtual e a rede de serviços do Azure como parte da estratégia de segurança de rede da sua empresa.
O seu objetivo é impedir que tráfego de rede indesejado ou inseguro aceda aos sistemas principais.
Como parte da estratégia de segurança de rede, tem de controlar o fluxo de tráfego na sua rede virtual. Deve também aprender a função de uma NVA e o benefício de utilizar uma NVA para controlar o fluxo de tráfego através de uma rede do Azure.
Aplicação virtual de rede
As ferramentas virtuais de rede (NVAs) são máquinas virtuais que controlam o fluxo do tráfego de rede controlando o roteamento. Normalmente, você os usará para gerenciar o tráfego que flui de um ambiente de rede de perímetro para outras redes ou sub-redes.
Pode implementar aplicações de firewall numa rede virtual em diferentes configurações. Você pode colocar um dispositivo de firewall em uma sub-rede de rede de perímetro na rede virtual ou, se quiser mais controle de segurança, implementar uma abordagem de microssegmentação.
Com a abordagem de microssegmentação, consegue criar sub-redes dedicadas para a firewall e, em seguida, implementar aplicações Web e outros serviços noutras sub-redes. Todo o tráfego é encaminhado através da firewall e é inspecionado pelas NVAs. Você habilitará o encaminhamento nas interfaces de rede do dispositivo virtual para passar o tráfego aceito pela sub-rede apropriada.
A microssegmentação permite que a firewall inspecione todos os pacotes na camada OSI 4 e, no caso das aplicações com deteção de aplicações, isto ocorre na camada 7. Quando implementa uma NVA no Azure, esta atua como um router que reencaminha os pedidos entre as sub-redes na rede virtual.
Algumas NVAs exigem múltiplas interfaces de rede. Uma interface de rede é dedicada à rede de gerenciamento do aparelho. As interfaces de rede adicionais gerem e controlam o processamento de tráfego. Depois de implementar a NVA, poderá configurar a aplicação para encaminhar o tráfego através da interface adequada.
Rotas definidas pelo utilizador
Para a maioria dos ambientes, as rotas predefinidas do sistema já definidas pelo Azure são suficientes para colocar os ambientes a funcionar. Em certos casos, você deve criar uma tabela de roteamento e adicionar rotas personalizadas. Exemplos incluem:
- Acesso à Internet através de rede local usando tunelamento forçado
- A utilização de aplicações virtuais para controlar o fluxo de tráfego
Você pode criar várias tabelas de rotas no Azure. Cada tabela de rotas pode ser associada a uma ou mais sub-redes. Uma sub-rede só pode ser associada a uma tabela de rotas.
Aplicações virtuais de rede numa arquitetura de elevada disponibilidade
Se o tráfego for encaminhado através de uma NVA, esta passa a ser uma parte essencial da sua infraestrutura. Qualquer falha de NVA afeta diretamente a capacidade de comunicação dos seus serviços. É importante incluir uma arquitetura de elevada disponibilidade na implementação da NVA.
Existem vários métodos para se obter uma elevada disponibilidade ao utilizar NVAs. No final deste módulo, pode encontrar mais informações sobre como utilizar NVAs em cenários de elevada disponibilidade.