Produkční síť Azure
Uživatelé produkční sítě Azure zahrnují jak externí zákazníky, kteří přistupují k vlastním aplikacím Azure, tak interní podpora Azure pracovníky, kteří spravují produkční síť. Tento článek popisuje metody zabezpečení přístupu a mechanismy ochrany pro navazování připojení k produkční síti Azure.
Internetové směrování a odolnost proti chybám
Globálně redundantní interní a externí infrastruktura DNS (Domain Name Service) v kombinaci s několika primárními a sekundárními clustery serverů DNS poskytuje odolnost proti chybám. Současně se používají další ovládací prvky zabezpečení sítě Azure, jako je NetScaler, k prevenci distribuovaných útoků dos (DDoS) a k ochraně integrity služeb Azure DNS.
Servery Azure DNS se nacházejí v několika datových centrech. Implementace Azure DNS zahrnuje hierarchii sekundárních a primárních serverů DNS pro veřejný překlad názvů domén zákazníků Azure. Názvy domén se obvykle přeloží na CloudApp.net adresu, která zabalí virtuální IP adresu (VIP) služby zákazníka. Virtuální IP adresu odpovídající interní vyhrazené IP adrese (DIP) překladu tenanta, která je jedinečná pro Azure, provádí nástroje pro vyrovnávání zatížení Microsoftu zodpovědné za tuto virtuální IP adresu.
Azure je hostovaný v geograficky distribuovaných datacentrech Azure v RÁMCI USA a je postavený na nejmodernějších směrovacích platformách, které implementují robustní a škálovatelné architektonické standardy. Mezi hlavní funkce patří:
- Technologie mpls (Multiprotocol Label Switching), která poskytuje efektivní využití propojení a řádné snížení výkonu služby v případě výpadku.
- Sítě se implementují s architekturou redundance "potřeba plus jedna" (N+1) nebo lepší.
- Datacentra jsou externě obsluhována vyhrazenými síťovými okruhy s velkou šířkou pásma, které redundantně propojují vlastnosti s více než 1200 poskytovateli internetových služeb po celém světě v několika partnerských bodech. Toto připojení poskytuje více než 2 000 gigabajtů za sekundu (GB/s) hraniční kapacity.
Vzhledem k tomu, že Microsoft vlastní vlastní síťové okruhy mezi datovými centry, pomáhají tyto atributy nabídce Azure dosáhnout více než 99,9% dostupnosti sítě bez nutnosti tradičních poskytovatelů internetových služeb třetích stran.
Připojení k produkční síti a přidruženým branám firewall
Zásady toku internetového provozu sítě Azure směrují provoz do produkční sítě Azure, která se nachází v nejbližším regionálním datacentru v USA. Vzhledem k tomu, že produkční datacentra Azure udržují konzistentní síťovou architekturu a hardware, platí následující popis toku provozu konzistentně pro všechna datacentra.
Po směrování internetového provozu pro Azure do nejbližšího datacentra se naváže připojení k přístupovým směrovačům. Tyto přístupové směrovače slouží k izolaci provozu mezi uzly Azure a virtuálními počítači založenými na instancích zákazníků. Zařízení síťové infrastruktury v přístupových a hraničních umístěních jsou hraniční body, kde se používají filtry příchozího a výchozího přenosu dat. Tyto směrovače se konfigurují prostřednictvím vrstveného seznamu řízení přístupu (ACL), který umožňuje filtrovat nežádoucí síťový provoz a v případě potřeby uplatňovat omezení přenosové rychlosti. Provoz, který povoluje seznam ACL, se směruje do nástrojů pro vyrovnávání zatížení. Distribuční směrovače jsou navržené tak, aby umožňovaly pouze IP adresy schválené Microsoftem, poskytují ochranu proti falšování identity a navazují připojení TCP, která používají seznamy ACL.
Externí zařízení pro vyrovnávání zatížení jsou umístěná za přístupovým směrovači, aby prováděla překlad síťových adres (NAT) z IP adres směrovatelných z internetu na interní IP adresy Azure. Zařízení také směrují pakety na platné interní IP adresy a porty v produkčním prostředí a fungují jako ochranný mechanismus k omezení adresního prostoru interní produkční sítě.
Ve výchozím nastavení Microsoft vynucuje protokol HTTPS (Hypertext Transfer Protocol Secure) pro veškerý provoz přenášený do webových prohlížečů zákazníků, včetně přihlášení a veškerého následného provozu. Použití protokolu TLS v1.2 umožňuje zabezpečený tunel pro tok provozu. Seznamy ACL na přístupových a základních směrovačích zajišťují, aby byl zdroj provozu konzistentní s tím, co se očekává.
V porovnání s tradiční architekturou zabezpečení je důležitým rozdílem v tom, že neexistují žádné vyhrazené hardwarové brány firewall, specializovaná zařízení pro detekci nebo prevenci neoprávněných vniknutí ani jiná bezpečnostní zařízení, která by se normálně očekávala před vytvořením připojení k produkčnímu prostředí Azure. Zákazníci obvykle očekávají tato hardwarová zařízení brány firewall v síti Azure. v Rámci Azure se však žádný z nich nevyučuje. Téměř výhradně jsou tyto funkce zabezpečení integrované v softwaru, který spouští prostředí Azure, a poskytují robustní mechanismy vícevrstého zabezpečení, včetně funkcí brány firewall. Rozsah ohraničení a souvisejícího rozmachu důležitých bezpečnostních zařízení se navíc snadněji spravuje a inventarizuje, jak je znázorněno na předchozím obrázku, protože ho spravuje software, na kterém běží Azure.
Základní funkce zabezpečení a brány firewall
Azure implementuje robustní funkce zabezpečení softwaru a brány firewall na různých úrovních, které vynucují funkce zabezpečení, které se obvykle očekávají v tradičním prostředí za účelem ochrany základní hranice autorizace zabezpečení.
Funkce zabezpečení Azure
Azure implementuje softwarové brány firewall založené na hostiteli v produkční síti. Několik základních funkcí zabezpečení a brány firewall se nachází v základním prostředí Azure. Tyto funkce zabezpečení odrážejí strategii hloubkové ochrany v prostředí Azure. Zákaznická data v Azure jsou chráněná následujícími branami firewall:
Brána firewall hypervisoru (filtr paketů): Tato brána firewall je implementovaná v hypervisoru a nakonfigurovaná agentem kontroleru prostředků infrastruktury (FC). Tato brána firewall chrání tenanta, který běží uvnitř virtuálního počítače, před neoprávněným přístupem. Ve výchozím nastavení se při vytvoření virtuálního počítače zablokuje veškerý provoz a agent FC pak do filtru přidá pravidla a výjimky, které povolí autorizovaný provoz.
Zde jsou naprogramovány dvě kategorie pravidel:
- Konfigurace počítače nebo pravidla infrastruktury: Ve výchozím nastavení je veškerá komunikace blokovaná. Existují výjimky, které virtuálnímu počítači umožňují odesílat a přijímat komunikaci a informace DNS protokolu DHCP (Dynamic Host Configuration Protocol) a odesílat odchozí provoz do "veřejného" internetu do jiných virtuálních počítačů v rámci clusteru FC a aktivačního serveru operačního systému. Vzhledem k tomu, že seznam povolených odchozích cílů virtuálních počítačů neobsahuje podsítě směrovačů Azure a další vlastnosti Microsoftu, pravidla pro ně fungují jako vrstva ochrany.
- Pravidla konfiguračního souboru role: Definuje příchozí seznamy ACL na základě modelu služby tenantů. Pokud má například tenant webový front-end na portu 80 na určitém virtuálním počítači, otevře se port 80 pro všechny IP adresy. Pokud má virtuální počítač spuštěnou roli pracovního procesu, role pracovního procesu se otevře pouze pro virtuální počítač ve stejném tenantovi.
Brána firewall nativního hostitele: Azure Service Fabric a Azure Storage běží v nativním operačním systému, který nemá hypervisor, a proto je brána Windows Firewall nakonfigurovaná s předchozími dvěma sadami pravidel.
Brána firewall hostitele: Brána firewall hostitele chrání oddíl hostitele, na kterém běží hypervisor. Pravidla jsou naprogramovaná tak, aby umožňovala komunikaci s hostitelským oddílem na konkrétním portu pouze fc a jumpboxy. Dalšími výjimkami je povolení odpovědi DHCP a odpovědí DNS. Azure používá konfigurační soubor počítače, který obsahuje šablonu pravidel brány firewall pro oddíl hostitele. Existuje také výjimka brány firewall hostitele, která umožňuje virtuálním počítačům komunikovat s hostitelskými komponentami, drátovým serverem a serverem metadat prostřednictvím konkrétního protokolu nebo portů.
Brána firewall hosta: Součást brány Windows Firewall hostovaného operačního systému, kterou můžou konfigurovat zákazníci na zákaznických virtuálních počítačích a úložišti.
Mezi další funkce zabezpečení, které jsou integrované do funkcí Azure, patří:
Komponenty infrastruktury, které mají přiřazené IP adresy, které pocházejí z IP adres. Útočník na internetu nemůže adresovat provoz na tyto adresy, protože by se nedostal k Microsoftu. Směrovače internetových bran filtrují pakety, které jsou adresovány výhradně interním adresám, takže by nevstupovaly do produkční sítě. Jediné komponenty, které přijímají provoz směrovaný na virtuální IP adresy, jsou nástroje pro vyrovnávání zatížení.
Brány firewall implementované na všech interních uzlech mají pro každý scénář tři hlavní aspekty architektury zabezpečení:
- Brány firewall jsou umístěné za nástrojem pro vyrovnávání zatížení a přijímají pakety odkudkoli. Tyto pakety mají být přístupné externě a odpovídají otevřeným portům v tradiční hraniční bráně firewall.
- Brány firewall přijímají pakety pouze z omezené sady adres. Tato úvaha je součástí obranné hloubkové strategie proti útokům DDoS. Taková připojení se kryptograficky ověřují.
- Brány firewall jsou přístupné jenom z vybraných interních uzlů. Přijímají pakety pouze z výčtu seznamu zdrojových IP adres, z nichž všechny jsou IP adresy v rámci sítě Azure. Například útok na podnikovou síť může směrovat požadavky na tyto adresy, ale útoky by byly zablokované, pokud by zdrojová adresa paketu nebyla ve výčtu v síti Azure.
- Přístupový směrovač v hraniční síti blokuje odchozí pakety adresované na adresu, která je v síti Azure kvůli nakonfigurovaným statickým trasám.
Další kroky
Další informace o tom, co Microsoft dělá pro zabezpečení infrastruktury Azure, najdete tady:
- Zařízení, prostory a fyzické zabezpečení Azure
- Dostupnost infrastruktury Azure
- Komponenty a hranice informačního systému Azure
- Síťová architektura Azure
- Funkce zabezpečení služby Azure SQL Database
- Produkční provoz a správa Azure
- Monitorování infrastruktury Azure
- Integrita infrastruktury Azure
- Ochrana zákaznických dat Azure