Azure-produktionsnätverket

Användarna av Azures produktionsnätverk omfattar både externa kunder som har åtkomst till sina egna Azure-program och interna Azure Support personal som hanterar produktionsnätverket. I den här artikeln beskrivs metoder för säkerhetsåtkomst och skyddsmekanismer för att upprätta anslutningar till Azures produktionsnätverk.

Internetroutning och feltolerans

En globalt redundant intern och extern DNS-infrastruktur (Azure Domain Name Service) i kombination med flera primära och sekundära DNS-serverkluster ger feltolerans. Samtidigt används ytterligare säkerhetskontroller för Azure-nätverk, till exempel NetScaler, för att förhindra DDoS-attacker (Distribuerad överbelastningsattack) och skydda integriteten för Azure DNS-tjänster.

Azure DNS-servrarna finns på flera datacenteranläggningar. Azure DNS-implementeringen innehåller en hierarki med sekundära och primära DNS-servrar för att offentligt matcha Azure-kunddomännamn. Domännamnen matchas vanligtvis till en CloudApp.net adress, som omsluter den virtuella IP-adressen (VIP) för kundens tjänst. VIP:en som motsvarar den interna dedikerade IP-adressen (DIP) för klientöversättningen är unik för Azure och utförs av De Microsoft-lastbalanserare som ansvarar för denna VIP.

Azure finns i geografiskt distribuerade Azure-datacenter i USA och bygger på toppmoderna routningsplattformar som implementerar robusta, skalbara arkitekturstandarder. Bland de viktigaste funktionerna finns:

• MpLS-baserad trafikteknik (Multiprotocol Label Switching), som ger effektiv länkanvändning och smidig försämring av tjänsten om det uppstår ett avbrott.
• Nätverk implementeras med redundansarkitekturer för "need plus one" (N+1).
• Externt hanteras datacenter av dedikerade nätverkskretsar med hög bandbredd som redundant ansluter egenskaper med över 1 200 Internettjänstleverantörer globalt vid flera peeringpunkter. Den här anslutningen ger mer än 2 000 gigabyte per sekund (GBIT/s) gränskapacitet.

Eftersom Microsoft äger sina egna nätverkskretsar mellan datacenter hjälper dessa attribut Azure-erbjudandet att uppnå 99,9 procents nätverkstillgänglighet utan att traditionella internetleverantörer från tredje part behöver det.

Anslutning till produktionsnätverk och associerade brandväggar

Azure-nätverkets internettrafikflödesprincip dirigerar trafik till Azure-produktionsnätverket som finns i närmaste regionala datacenter i USA. Eftersom Azures produktionsdatacenter upprätthåller konsekvent nätverksarkitektur och maskinvara gäller beskrivningen av trafikflödet som följer konsekvent för alla datacenter.

När Internettrafik för Azure dirigeras till närmaste datacenter upprättas en anslutning till åtkomstroutrarna. Dessa åtkomstroutrar används för att isolera trafik mellan Azure-noder och kund-instansierade virtuella datorer. Nätverksinfrastrukturenheter på åtkomst- och gränsplatserna är de gränspunkter där ingress- och utgående filter tillämpas. Dessa routrar konfigureras via en nivåindelad åtkomstkontrollista (ACL) för att filtrera oönskad nätverkstrafik och tillämpa trafikhastighetsgränser om det behövs. Trafik som tillåts av ACL dirigeras till lastbalanserarna. Distributionsroutrar är utformade för att endast tillåta Microsoft-godkända IP-adresser, tillhandahålla förfalskningsskydd och upprätta TCP-anslutningar som använder ACL:er.

Externa belastningsutjämningsenheter finns bakom åtkomstroutrarna för att utföra NAT (Network Address Translation) från internetroutningsbara IP-adresser till interna IP-adresser i Azure. Enheterna dirigerar också paket till giltiga interna IP-adresser och portar för produktion, och de fungerar som en skyddsmekanism för att begränsa exponeringen av det interna produktionsnätverkets adressutrymme.

Som standard tillämpar Microsoft Hypertext Transfer Protocol Secure (HTTPS) för all trafik som överförs till kundernas webbläsare, inklusive inloggning och all trafik därefter. Användningen av TLS v1.2 möjliggör en säker tunnel för trafik att flöda genom. ACL:er för åtkomst- och kärnroutrar säkerställer att trafikkällan överensstämmer med vad som förväntas.

En viktig skillnad i den här arkitekturen, när den jämförs med traditionell säkerhetsarkitektur, är att det inte finns några dedikerade maskinvarubrandväggar, specialiserade intrångsidentifierings- eller skyddsenheter eller andra säkerhetsenheter som normalt förväntas innan anslutningar görs till Azure-produktionsmiljön. Kunder förväntar sig vanligtvis dessa maskinvarubrandväggsenheter i Azure-nätverket. Ingen används dock i Azure. Nästan uteslutande är dessa säkerhetsfunktioner inbyggda i den programvara som kör Azure-miljön för att tillhandahålla robusta säkerhetsmekanismer i flera lager, inklusive brandväggsfunktioner. Dessutom är omfattningen av gränsen och den associerade spridningen av kritiska säkerhetsenheter enklare att hantera och inventera, som du ser i föregående bild, eftersom den hanteras av programvaran som kör Azure.

Grundläggande säkerhets- och brandväggsfunktioner

Azure implementerar robusta programvarusäkerhets- och brandväggsfunktioner på olika nivåer för att framtvinga säkerhetsfunktioner som vanligtvis förväntas i en traditionell miljö för att skydda kärngränsen för säkerhetsauktorisering.

Säkerhetsfunktioner i Azure

Azure implementerar värdbaserade programvarubrandväggar i produktionsnätverket. Flera grundläggande säkerhets- och brandväggsfunktioner finns i azure-kärnmiljön. Dessa säkerhetsfunktioner återspeglar en djupgående strategi för skydd i Azure-miljön. Kunddata i Azure skyddas av följande brandväggar:

Hypervisor-brandväggen (paketfilter): Den här brandväggen implementeras i hypervisor-programmet och konfigureras av infrastrukturkontrollantens agent (FC). Den här brandväggen skyddar klientorganisationen som körs i den virtuella datorn från obehörig åtkomst. När en virtuell dator skapas blockeras som standard all trafik och sedan lägger FC-agenten till regler och undantag i filtret för att tillåta auktoriserad trafik.

Två kategorier av regler är programmerade här:

• Datorkonfigurations- eller infrastrukturregler: Som standard blockeras all kommunikation. Undantag finns som gör att en virtuell dator kan skicka och ta emot DHCP-kommunikation (Dynamic Host Configuration Protocol) och DNS-information och skicka trafik till det "offentliga" Internet utgående till andra virtuella datorer i FC-klustret och OS-aktiveringsservern. Eftersom de virtuella datorernas tillåtna lista över utgående mål inte innehåller Azure-routerundernät och andra Microsoft-egenskaper fungerar reglerna som ett skyddslager för dem.
• Filregler för rollkonfiguration: Definierar inkommande ACL:er baserat på klientorganisationens tjänstmodell. Om en klientorganisation till exempel har en webbklientdel på port 80 på en viss virtuell dator öppnas port 80 för alla IP-adresser. Om den virtuella datorn har en arbetsroll som körs öppnas arbetsrollen endast för den virtuella datorn i samma klientorganisation.

Intern värdbrandvägg: Azure Service Fabric och Azure Storage körs på ett internt operativsystem, som inte har någon hypervisor och därför är Windows-brandväggen konfigurerad med de föregående två regeluppsättningarna.

Värdbrandvägg: Värdbrandväggen skyddar värdpartitionen, som kör hypervisor-programmet. Reglerna är programmerade så att endast FC- och jumpboxarna kan kommunicera med värdpartitionen på en specifik port. De andra undantagen är att tillåta DHCP-svar och DNS-svar. Azure använder en datorkonfigurationsfil som innehåller en mall med brandväggsregler för värdpartitionen. Det finns också ett undantag från värdbrandväggen som gör att virtuella datorer kan kommunicera med värdkomponenter, trådserver och metadataserver via specifika protokoll/portar.

Gästbrandvägg: Windows-brandväggen i gästoperativsystemet, som kan konfigureras av kunder på kundens virtuella datorer och lagring.

Ytterligare säkerhetsfunktioner som är inbyggda i Azure-funktionerna är:

• Infrastrukturkomponenter som är tilldelade IP-adresser som kommer från DIP:er. En angripare på Internet kan inte adressera trafik till dessa adresser eftersom den inte når Microsoft. Internet-gatewayroutrar filtrerar paket som enbart adresseras till interna adresser, så att de inte kommer in i produktionsnätverket. De enda komponenter som accepterar trafik som dirigeras till VIP:er är lastbalanserare.

• Brandväggar som implementeras på alla interna noder har tre huvudsakliga säkerhetsarkitekturöverväganden för varje givet scenario:

  • Brandväggar placeras bakom lastbalanseraren och accepterar paket var som helst. Dessa paket är avsedda att exponeras externt och motsvarar de öppna portarna i en traditionell perimeterbrandvägg.
  • Brandväggar accepterar endast paket från en begränsad uppsättning adresser. Detta är en del av den defensiva djupgående strategin mot DDoS-attacker. Sådana anslutningar är kryptografiskt autentiserade.
  • Brandväggar kan endast nås från utvalda interna noder. De accepterar endast paket från en uppräknad lista över käll-IP-adresser, som alla är DIP:er i Azure-nätverket. Till exempel kan en attack på företagsnätverket dirigera begäranden till dessa adresser, men attackerna skulle blockeras om inte paketets källadress var en i den uppräknade listan i Azure-nätverket.
    • Åtkomstroutern i perimetern blockerar utgående paket som är adresserade till en adress som finns i Azure-nätverket på grund av dess konfigurerade statiska vägar.

Nästa steg

Mer information om vad Microsoft gör för att skydda Azure-infrastrukturen finns i:

• Azure-anläggningar, lokaler och fysisk säkerhet
• Tillgänglighet för Azure-infrastruktur
• Komponenter och gränser för Azure-informationssystem
• Azure-nätverksarkitektur
• Azure SQL Database-säkerhetsfunktioner
• Azure-produktionsåtgärder och -hantering
• Övervakning av Azure-infrastruktur
• Azure-infrastrukturintegritet
• Azure-kunddataskydd