Рабочая сеть Azure

  • Статья

Пользователями рабочей сети Azure могут быть как внешние клиенты, получающие доступ к собственным приложениям Azure, так и внутренний персонал службы поддержки Azure, управляющий рабочей сетью. В этой статье рассматриваются методы получения доступа и механизмы настройки защиты для подключения к рабочей сети Azure.

Интернет-маршрутизация и отказоустойчивость

Глобально избыточная внутренняя и внешняя инфраструктура службы доменных имен (DNS) Azure в сочетании с несколькими основными и дополнительными кластерами DNS-серверов обеспечивает отказоустойчивость. В то же время используются дополнительные средства управления безопасностью сети Azure, такие как NetScaler, для предотвращения распределенных атак типа "отказ в обслуживании" (DDoS) и защиты целостности служб Azure DNS.

Серверы Azure DNS расположены в разных объектах центра обработки данных. Реализация Azure DNS включает в себя иерархию дополнительных и основных DNS-серверов для публичного разрешения личных доменных имен Azure клиентов. Доменные имена обычно разрешаются в CloudApp.net адрес, который упаковывает виртуальный IP-адрес для службы клиента. Уникальный в Azure виртуальный IP-адрес, соответствующий внутреннему выделенному IP-адресу (DIP) преобразования клиента, выполняется ответственными за этот виртуальный IP-адрес подсистемами балансировки нагрузки Майкрософт.

Azure размещается в географически распределенных центрах обработки данных Azure в США и основывается на новейших компонентах платформ маршрутизации, реализующих надежные и масштабируемые архитектурные стандарты. Ниже приведены некоторые важные функции.

  • Инженерия трафика на основе переключения меток (MPLS) предоставляет эффективное использование каналов и постепенное снижение уровня обслуживания при возникновении сбоя.
  • Сети реализуются с архитектурой избыточности "потребность плюс один" (N+1) или лучше.
  • Извне центры обработки данных обслуживаются выделенными сетевыми каналами с высокой пропускной способностью, которые избыточно соединяют свойства с более чем 1200 поставщиками услуг Интернета по всему миру в нескольких точках пиринга. Это подключение обеспечивает пограничную пропускную способность более 2000 ГБ/с.

Так как корпорация Майкрософт использует собственные сетевые каналы между центрами обработки данных, эти атрибуты позволяют Azure добиться уровня доступности сети больше 99,9 % без использования обычных сторонних поставщиков услуг Интернета.

Подключение к рабочей сети и связанные брандмауэры

Политика потока интернет-трафика Azure направляет трафик в рабочую сеть Azure, находящуюся в ближайшем региональном центре обработки данных в пределах США. Так как в центрах обработки данных Azure поддерживаются согласованные сетевая архитектура и оборудование, описание потока трафика ниже применяется для всех центров обработки данных.

Когда интернет-трафик для Azure направлен в ближайший центр обработки данных, устанавливается подключение к маршрутизаторам доступа. Они предназначены для изоляции трафика между узлами Azure и созданными пользователем виртуальными машинами. Устройства сетевой инфраструктуры в расположениях доступа и пограничных расположениях являются граничными точками, в которых применяются фильтры входящего и исходящего трафика. Эти маршрутизаторы настраиваются через многоуровневые списки управления доступом (ACL) для фильтрации нежелательного сетевого трафика и применения ограничений по скорости трафика (при необходимости). Разрешенный ACL трафик направляется на подсистемы балансировки нагрузки. Маршрутизаторы распространения разрешают только одобренные корпорацией Майкрософт IP-адреса, обеспечивают защиту от спуфинга и устанавливают TCP-подключения с использованием списков ACL.

Внешние устройства балансировки нагрузки находятся за маршрутизаторами доступа, что позволяет им выполнять преобразование сетевых адресов (NAT) маршрутизируемых через Интернет IP-адресов Azure во внутренние IP-адреса. Эти устройства также передают пакеты на допустимые внутренние рабочие IP-адреса и порты и действуют как механизм защиты, ограничивая раскрытие адресного пространства внутренней рабочей сети.

По умолчанию корпорация Майкрософт применяет протокол HTTPS для всего трафика, передаваемого в веб-браузеры клиентов с момента входа в систему. Использование TLS версии 1.2 предоставляет безопасный поток трафика. Списки ACL для доступа и основных маршрутизаторов обеспечивают соответствие ожидаемого трафика.

Важным отличием этой архитектуры от традиционной архитектуры безопасности является отсутствие специально выделенных аппаратных брандмауэров, специализированных устройств обнаружения и предотвращения вторжений или других средств безопасности, которые обычно применяются перед подключением к рабочей среде Azure. Как правило, клиенты ожидают наличия этих аппаратных брандмауэров в сети Azure, однако в Azure они не используются. Очень редко эти функции безопасности встраиваются в программное обеспечение, выполняемое в среде Azure, для предоставления механизмов многоуровневой безопасности, включая возможности брандмауэра. Кроме того, область границы и связанный с ней рост количества критических устройств безопасности просты в управлении и выполнении инвентаризации (как показано на рисунке выше), так как они управляются программным обеспечением, выполняющимся в Azure.

Основные функции безопасности и брандмауэра

Azure реализует надежные функциональные возможности программного обеспечения безопасности и брандмауэра на различных уровнях обеспечения функций безопасности, выполняемых в традиционной среде, для защиты основной границы авторизации в системе безопасности.

Функции безопасности Azure

Azure реализует программные брандмауэры на основе узлов в пределах рабочей сети. Некоторые основные функциональные возможности безопасности и брандмауэра находятся в основной среде Azure. Эти функции безопасности отражают стратегию глубокой защиты в пределах среды Azure. Данные клиента в Azure защищены следующими брандмауэрами.

Брандмауэр гипервизора (фильтр пакетов). Этот брандмауэр реализуется в гипервизоре и настраивается агентом контроллера структуры. Он защищает от несанкционированного доступа клиент, работающий на виртуальной машине. По умолчанию при создании виртуальной машины весь трафик блокируется, а затем агент контроллера структуры добавляет в фильтр правила и исключения, которые позволяют передавать разрешенный трафик.

Здесь запрограммированы две категории правил.

  • Конфигурация компьютера или правила инфраструктуры. По умолчанию весь обмен данными блокируется. Существуют исключения, которые позволяют виртуальной машине отправлять и получать сообщения dhcp и сведения о DNS, а также отправлять трафик в "общедоступный" интернет-исходящий трафик на другие виртуальные машины в кластере FC и сервере активации ОС. Так как список разрешенных исходящих назначений виртуальных машин не включает подсети маршрутизатора Azure и другие свойства Майкрософт, правила действуют в качестве уровня защиты для них.
  • Правила файлов конфигурации ролей. Определяет входящие списки ACL на основе модели службы клиентов. Например, если клиент использует веб-интерфейс на порту 80 на определенной виртуальной машине, то порт 80 открывается для всех IP-адресов. Если на виртуальной машине запущена рабочая роль, она открывается только для виртуальных машин в пределах одного клиента.

Собственный брандмауэр узла. Azure Service Fabric и служба хранилища Azure работают в собственной операционной системе без гипервизора. Поэтому для брандмауэра Windows создаются два указанных выше набора правил.

Брандмауэр узла. Брандмауэр узла защищает секцию узла, на которой работает гипервизор. Правила программируются таким образом, чтобы с секцией узла могли взаимодействовать через конкретный порт только контроллер структуры и поля перехода. Существуют другие исключения, разрешающие ответы DHCP и DNS. Azure использует файл конфигурации компьютера, который содержит шаблон правил брандмауэра для секции узла. Имеется также исключение брандмауэра узла, позволяющее виртуальной машине взаимодействовать с компонентами узла, сетевым сервером, сервером метаданных и передавать данные через определенные протоколы и порты.

Гостевой брандмауэр. Часть брандмауэра Windows гостевой операционной системы, позволяющая настроить клиент на виртуальных машинах и в хранилище клиента.

Дополнительные встроенные функциональные возможности безопасности Azure:

  • Компоненты инфраструктуры — это назначенные IP-адреса из выделенных IP-адресов (DIP). Злоумышленник в Интернете не может направлять трафик на эти адреса, так как они не ведут к инфраструктуре Майкрософт. Маршрутизаторы шлюза Интернета фильтруют пакеты, направляемые исключительно на внутренние адреса, поэтому они не попадут в рабочую сеть. Только подсистемы балансировки нагрузки принимают трафик, направленный на виртуальные IP-адреса.

  • Для любого заданного сценария брандмауэры, реализующиеся на всех внутренних узлах, предоставляют три основных параметра архитектуры безопасности:

    • Они располагаются за подсистемой балансировки нагрузки и принимают пакеты из всех расположений. Эти пакеты доступны извне и должны соответствовать открытым портам в традиционном брандмауэре периметра сети.
    • Брандмауэру следует принимать только пакеты с ограниченного набора адресов. Это является частью тщательной стратегии защиты от атак DDoS. Такие подключения являются криптографически аутентифицированными.
    • К брандмауэрам возможен доступ только с выбранных внутренних узлов. В этом случае они принимают пакеты только из перечисленного списка исходных IP-адресов, которые являются выделенными IP-адресами в сети Azure. Например, атака на корпоративную сеть может направлять запросы на эти адреса, но они будут заблокированы, если исходный адрес пакета не был одним из перечисленных в списке в сети Azure.
      • Маршрутизатор доступа по периметру блокирует исходящие пакеты, направленные на адрес, который находится внутри сети Azure, благодаря настроенным статическим маршрутам.

Дальнейшие действия

Дополнительные сведения о действиях корпорации Майкрософт в сфере защиты инфраструктуры Azure приведены в следующих статьях: