Sítě pro úlohy SaaS v Azure
Vaše síť poskytuje páteř pro přístup zákazníků k vaší aplikaci SaaS a umožňuje komunikaci mezi komponentami vašeho řešení. Způsob návrhu sítě má přímý vliv na zabezpečení, provoz, náklady, výkon a spolehlivost vašeho řešení. Strukturovaný přístup ke strategii sítě je ještě důležitější, když se vaše cloudové prostředí rozrůstá.
Rozhodnutí o strategii a topologii nasazení sítě
Řešení SaaS mají jedinečné požadavky na síť. Při onboardingu více zákazníků a jejich využití se mění požadavky na sítě. Zpracování růstu může být náročné kvůli omezeným prostředkům, jako jsou rozsahy IP adres. Návrh vaší sítě má vliv na zabezpečení a izolaci zákazníků. Plánování strategie sítě pomáhá spravovat růst, zlepšit zabezpečení a snížit provozní složitost.
Aspekty návrhu
Naplánujte strategii nasazení sítě na základě modelu tenantů. Rozhodněte se, jestli se vaše síťové prostředky budou sdílet mezi zákazníky, které budou vyhrazené pro jednoho zákazníka, nebo jejich kombinaci. Tato volba má vliv na funkce, zabezpečení a izolaci zákazníků vaší aplikace.
Sdílení síťových prostředků, jako jsou virtuální sítě a profily služby Azure Front Door, je běžné mezi několika zákazníky. Tento přístup snižuje náklady a provozní režii. Zjednodušuje také připojení. Prostředky zákazníka můžete snadno propojit se sdílenými prostředky, jako jsou sdílené účty úložiště nebo řídicí rovina.
Vyhrazené síťové prostředky pro každého zákazníka ale můžou být nezbytné k vytvoření vysokého zabezpečení a dodržování předpisů. Pokud například chcete podporovat vysoký stupeň segmentace sítě mezi zákazníky, použijete jako hranici virtuální sítě. Vyhrazené prostředky můžou být nezbytné, když počet síťových prostředků napříč všemi zákazníky překročí kapacitu jedné sdílené sítě.
Naplánujte počet síťových prostředků, které bude každý zákazník potřebovat, s ohledem na okamžité a budoucí požadavky. Požadavky zákazníků a limity prostředků Azure můžou vynutit konkrétní výsledky. Různé prostředky můžou vyžadovat různé strategie nasazení, například použití samostatných sítí pro partnerský vztah virtuálních sítí s virtuálními sítěmi Azure vlastněnými zákazníky.
Další informace o sdílení prostředků v řešení SaaS najdete v tématu Organizace prostředků pro úlohy SaaS.
Seznamte se s topologiemi sítě. Topologie sítě obvykle spadají do tří kategorií:
Plochá síť: Jedna izolovaná síť s podsítěmi pro segmentaci. Vhodné, pokud máte jednu víceklientovou aplikaci s jednoduchým rozložením sítě. Ploché sítě můžou při škálování vyžadovat více sítí, což zvyšuje režii a náklady. Pokud plánujete hostovat více aplikací nebo používat vyhrazené razítka nasazení ve stejné virtuální síti, možná budete potřebovat komplexní rozložení sítě.
Hvězdicová architektura: Centralizovaná centrální síť s partnerským vztahem k izolovaným paprskovým sítím. Vhodné pro vysokou škálovatelnost a izolaci zákazníků, protože každý zákazník nebo aplikace má vlastní paprskovou komunikaci pouze s centrem. Podle potřeby můžete rychle nasadit více paprsků, aby všechny paprsky mohly využívat prostředky v centru. Přenosná nebo paprsková komunikace prostřednictvím centra je ve výchozím nastavení zakázaná, což pomáhá udržovat izolaci zákazníků v řešeních SaaS.
Žádná síť: Používá se pro služby Azure PaaS, kde můžete hostovat složité úlohy bez nasazení virtuálních sítí. Služba Aplikace Azure například umožňuje přímou integraci s dalšími službami PaaS přes páteřní síť Azure. I když tento přístup zjednodušuje správu, omezuje flexibilitu při nasazování kontrolních mechanismů zabezpečení a možnosti optimalizace výkonu. Tento přístup může dobře fungovat pro aplikace nativní pro cloud. S vývojem vašeho řešení počítejte s přechodem na hvězdicovou topologii v průběhu času.
Kompromis: Složitost a zabezpečení. Spuštění bez definované hranice sítě může snížit provozní zátěž správy síťových komponent, jako jsou skupiny zabezpečení, adresní prostor IP adres a brány firewall. Hraniční síť je však pro většinu úloh nezbytná. Při absenci kontrolních mechanismů zabezpečení sítě se spoléháte na silnou správu identit a přístupu k ochraně úloh před škodlivým provozem.
Seznamte se s tím, jak architektura s více oblastmi ovlivňuje topologie sítě. V architektuře s více oblastmi pomocí virtuálních sítí se většina síťových prostředků nasazuje v každé oblasti zvlášť, protože mezi oblastmi nelze sdílet brány firewall, brány virtuální sítě a skupiny zabezpečení sítě.
Doporučení k návrhu
| Doporučení | Výhoda |
|---|---|
| Rozhodněte se, které síťové komponenty jsou sdílené a které komponenty jsou vyhrazené pro zákazníka. Sdílejte prostředky, které se účtují na instanci, jako jsou Azure Firewall, Azure Bastion a Azure Front Door. |
Dopřejte si vyváženou podporu mezi požadavky na zabezpečení a izolaci a zároveň snižte náklady a provozní zátěž. |
| Začněte plochou topologií nebo žádným přístupem k síti. Nejprve vždy zkontrolujte požadavky na zabezpečení, protože tyto přístupy nabízejí omezenou izolaci a řízení provozu. |
Složitost a náklady na řešení můžete snížit pomocí jednodušších síťových topologií. |
| Zvažte hvězdicové topologie pro složité potřeby nebo při nasazování vyhrazených virtuálních sítí na zákazníka. Centrum slouží k hostování sdílených síťových prostředků napříč sítěmi zákazníků. | Můžete snadněji škálovat a zlepšit nákladovou efektivitu sdílením prostředků prostřednictvím centrální sítě. |
Návrh zabezpečené hraniční sítě
Hranice zabezpečení vaší sítě vytváří hranice zabezpečení mezi vaší aplikací a jinými sítěmi, včetně internetu. Dokumentováním hraniční sítě můžete rozlišovat mezi různými typy toků přenosů:
- Příchozí provoz, který dorazí do sítě z externího zdroje.
- Interní provoz, který prochází mezi komponentami v síti.
- Odchozí provoz, který opustí síť.
Každý tok zahrnuje různá rizika a kontroly. Například k kontrole a zpracování příchozího provozu je potřeba více kontrolních mechanismů zabezpečení.
Důležité
Obecně platí, že vždy dodržujte přístup nulové důvěryhodnosti. Ujistěte se, že je veškerý provoz řízený a kontrolovaný, včetně interního provozu.
Vaši zákazníci můžou mít také specifické požadavky na dodržování předpisů, které ovlivňují vaši architekturu. Pokud například potřebují dodržování předpisů SOC 2, musí implementovat různé síťové ovládací prvky, včetně brány firewall, firewallu webových aplikací a skupin zabezpečení sítě, aby splňovaly požadavky na zabezpečení. I když nepotřebujete okamžitě dodržovat předpisy, při návrhu architektury zvažte tyto faktory rozšiřitelnosti.
Aspekty návrhu
Chraňte a spravujte příchozí provoz. Zkontrolujte tento provoz na příchozí hrozby.
Brány firewall umožňují blokovat škodlivé IP adresy a provádět pokročilé analýzy, které chrání před pokusy o vniknutí. Brány firewall ale můžou být nákladné. Vyhodnoťte své požadavky na zabezpečení a zjistěte, jestli se vyžaduje brána firewall.
Webové aplikace jsou zranitelné vůči běžným útokům, jako je injektáž SQL, skriptování mezi weby a další OWASP s 10 hlavními ohroženími zabezpečení. Firewall webových aplikací Azure chrání před těmito útoky a je integrovaný se službou Application Gateway a Službou Azure Front Door. Projděte si úrovně těchto služeb a zjistěte, které funkce WAF jsou v jakých produktech.
Útoky DDoS představují riziko pro internetové aplikace. Azure poskytuje základní úroveň ochrany bez poplatků. Azure DDoS Protection poskytuje pokročilou ochranu tím, že se naučíte vzory provozu a odpovídajícím způsobem upravíte ochranu, i když jsou za cenu. Pokud používáte Službu Front Door, využijte integrované funkce DDoS.
Kromě zabezpečení můžete také manipulovat s příchozím přenosem dat za účelem zlepšení výkonu aplikace pomocí ukládání do mezipaměti a vyrovnávání zatížení.
Zvažte použití služby reverzního proxy serveru, jako je Azure Front Door, pro globální správu provozu HTTP(S). Alternativně můžete pro řízení příchozího provozu použít Službu Application Gateway nebo jiné služby Azure. Další informace o možnostech vyrovnávání zatížení v Azure najdete v tématu Možnosti vyrovnávání zatížení.
Chraňte interní provoz. Zajistěte, aby provoz mezi vaší aplikací a jeho komponentami byl zabezpečený, aby se zabránilo škodlivému přístupu. Chraňte tyto prostředky a zvyšte výkon pomocí interního provozu místo směrování přes internet. Azure Private Link se běžně používá k připojení k prostředkům Azure prostřednictvím interní IP adresy ve vaší síti. U některých typů prostředků můžou být koncové body služby cenově výhodnější alternativou. Pokud povolíte připojení k veřejnému internetu pro vaše prostředky, zjistěte, jak omezit provoz pomocí IP adres a identit aplikací, jako jsou spravované identity.
Chraňte výchozí přenos dat. V některých řešeních zkontrolujte odchozí provoz, abyste zabránili exfiltraci dat, zejména pro dodržování právních předpisů a podnikových zákazníků. Brány firewall slouží ke správě a kontrole odchozího provozu, blokování připojení k neoprávněným umístěním.
Naplánujte škálování odchozího připojení a SNAT. Vyčerpání portů překladu zdrojových síťových adres (SNAT) může mít vliv na víceklientské aplikace. Tyto aplikace často potřebují různá síťová připojení pro každého tenanta a sdílení prostředků mezi zákazníky zvyšuje riziko vyčerpání SNAT, protože vaše zákaznická základna roste. Vyčerpání SNAT můžete zmírnit pomocí služby Azure NAT Gateway, bran firewall, jako je Azure Firewall, nebo kombinace těchto dvou přístupů.
Doporučení k návrhu
| Doporučení | Výhoda |
|---|---|
| Udržujte katalog koncových bodů sítě, které jsou vystavené internetu. Zachyťte podrobnosti, jako jsou IP adresa (pokud statická), název hostitele, porty, použité protokoly a odůvodnění připojení. Zdokumentujte, jak plánujete chránit jednotlivé koncové body. |
Tento seznam tvoří základ vaší definice hraniční sítě a umožňuje vám učinit explicitní rozhodnutí o správě provozu prostřednictvím vašeho řešení. |
| Seznamte se s možnostmi služby Azure, abyste omezili přístup a vylepšili ochranu. Například zveřejnění koncových bodů účtu úložiště pro zákazníky vyžaduje další ovládací prvky, jako jsou sdílené přístupové podpisy, brány firewall účtu úložiště a použití samostatných účtů úložiště pro interní a externí použití. |
Můžete vybrat ovládací prvky, které splňují vaše požadavky na zabezpečení, náklady a výkon. |
| Pro aplikace založené na PROTOKOLU HTTP použijte reverzní proxy server, jako je Azure Front Door nebo Application Gateway. | Reverzní proxy servery poskytují širokou škálu funkcí pro vylepšení výkonu, odolnost, zabezpečení a snížení provozní složitosti. |
| Zkontrolujte příchozí provoz pomocí firewallu webových aplikací. Vyhněte se zveřejnění webových prostředků, jako je App Service nebo Azure Kubernetes Service (AKS) přímo na internetu. |
Můžete efektivněji chránit webové aplikace před běžnými hrozbami a snížit celkové vystavení vašeho řešení. |
| Chraňte svou aplikaci před útoky DDoS. Azure Front Door nebo Azure DDoS Protection použijte v závislosti na protokolech používaných vašimi veřejnými koncovými body. |
Chraňte své řešení před běžným typem útoku. |
| Pokud vaše aplikace vyžaduje připojení výchozího přenosu dat ve velkém měřítku, použijte ke službě NAT Gateway nebo bráně firewall další porty SNAT. | Můžete podporovat vyšší úrovně škálování. |
Možnosti připojení mezi sítěmi
V některých scénářích se možná budete muset připojit k prostředkům externím v Azure, jako jsou data v privátní síti nebo prostředcích zákazníka na jiném poskytovateli cloudu v nastavení s více cloudy. Tyto potřeby můžou komplikovat návrh sítě, což vyžaduje různé přístupy k implementaci připojení mezi sítěmi na základě vašich konkrétních požadavků.
Aspekty návrhu
Identifikujte koncové body, ke kterým aplikace potřebuje připojení. Aplikace může potřebovat komunikovat s jinými službami, jako jsou například služby úložiště a databáze. Zdokumentuje jejich vlastníka, umístění a typ připojení. Pak můžete zvolit příslušnou metodu pro připojení k těmto koncovým bodům. Mezi běžné přístupy patří:
Umístění prostředku Vlastník Možnosti připojení, které je potřeba zvážit Azure Zákazník - Privátní koncový bod (napříč tenanty Microsoft Entra ID)
- Partnerský vztah virtuálních sítí (napříč tenanty Microsoft Entra ID)
- Koncový bod služby (napříč tenanty Microsoft Entra ID)
Jiný poskytovatel cloudových služeb IsV nebo customer - Site-to-site VPN
- ExpressRoute
- Internet
Místní IsV nebo customer - Site-to-site VPN
- ExpressRoute
- Internet
Private Link a privátní koncový bod. Zajištění zabezpečeného připojení k různým prostředkům Azure, včetně interních nástrojů pro vyrovnávání zatížení pro virtuální počítače. Umožňují privátní přístup k vašemu řešení SaaS pro zákazníky, i když přijdou s ohledem na náklady.
Kompromis: Bezpečnost a náklady. Private Link zajišťuje, že provoz zůstane ve vaší privátní síti a doporučuje se pro síťové připojení napříč tenanty Microsoft Entra. Každý privátní koncový bod ale nese náklady, které se můžou sčítat na základě vašich potřeb zabezpečení. Koncové body služby můžou být nákladově efektivní alternativou, která zajišťuje provoz v páteřní síti Microsoftu a zároveň poskytuje určitou úroveň privátního připojení.Koncový bod služby. Směruje provoz do prostředků PaaS prostřednictvím páteřní sítě Microsoftu a zajišťuje komunikaci mezi službami. Mohou být nákladově efektivní pro aplikace s velkou šířkou pásma, ale vyžadují konfiguraci a údržbu seznamů řízení přístupu pro zabezpečení. Podpora koncových bodů služby napříč tenanty Microsoft Entra ID se liší podle služby Azure. Projděte si dokumentaci k produktu pro každou službu, kterou používáte.
Partnerský vztah virtuálních sítí propojuje dvě virtuální sítě, což umožňuje prostředkům v jedné síti přistupovat k IP adresům v druhé síti. Usnadňuje připojení k privátním prostředkům ve virtuální síti Azure. Přístup je možné spravovat pomocí skupin zabezpečení sítě, ale vynucení izolace může být náročné. Proto je důležité naplánovat topologii sítě na základě konkrétních potřeb zákazníků.
Virtuální privátní sítě (VPN) vytvářejí zabezpečený tunel přes internet mezi dvěma sítěmi, včetně poskytovatelů cloudu a místních umístění. Sítě VPN typu Site-to-Site používají síťová zařízení v každé síti pro konfiguraci. Nabízejí možnost připojení s nízkými náklady, ale vyžadují nastavení a nezaručují předvídatelnou propustnost.
ExpressRoute poskytuje vyhrazené, vysoce výkonné privátní připojení mezi Azure a dalšími poskytovateli cloudu nebo místními sítěmi. Zajišťuje předvídatelný výkon a zabraňuje internetovému provozu, ale přináší vyšší náklady a vyžaduje složitější konfiguraci.
Plánujte podle cíle. Možná se budete muset připojit k prostředkům v různých tenantech Microsoft Entra ID, zejména pokud se cílový prostředek nachází v předplatném Azure zákazníka. Zvažte použití privátních koncových bodů, sítě VPN typu site-to-site nebo peeringem virtuálních sítí. Další informace najdete v tématu Partnerské vztahy virtuálních sítí v různých tenantech Microsoft Entra ID.
Pokud se chcete připojit k prostředkům hostovaným v jiném poskytovateli cloudu, je běžné používat veřejné připojení k internetu, síť VPN typu site-to-site nebo ExpressRoute. Další informace najdete v tématu Připojení k dalším poskytovatelům cloudu.
Seznamte se s účinky připojení na topologii vaší sítě. Virtuální síť Azure může mít jenom jednu bránu virtuální sítě, která se může připojit k více umístěním přes síť VPN typu site-to-site nebo ExpressRoute. Existuje ale omezení počtu připojení přes bránu a izolace provozu zákazníků může být náročná. Pokud chcete mít více připojení k různým umístěním, naplánujte topologii sítě odpovídajícím způsobem tak, že pro každého zákazníka nasadíte samostatnou virtuální síť.
Vysvětlení dopadů na plánování IP adres Některé přístupy k připojení automaticky poskytují překlad síťových adres (NAT), aby nedocházelo k problémům s překrývajícími se IP adresami. Partnerský vztah virtuálních sítí a ExpressRoute ale neprovádí překlad adres (NAT). Při použití těchto metod pečlivě naplánujte síťové prostředky a přidělování IP adres, abyste se vyhnuli překrývání rozsahů IP adres a zajistili budoucí růst. Plánování IP adres může být složité, zejména při připojování k třetím stranám, jako jsou zákazníci, proto zvažte potenciální konflikty s jejich rozsahy IP adres.
Vysvětlení fakturace výchozího přenosu dat sítě Azure obvykle účtuje odchozí síťový provoz, když opustí síť Microsoftu nebo se přesune mezi oblastmi Azure. Při návrhu řešení s více oblastmi nebo více cloudy je důležité porozumět dopadům na náklady. Možnosti architektury, jako je použití služby Azure Front Door nebo ExpressRoute, můžou ovlivnit způsob fakturace síťového provozu.
Doporučení k návrhu
| Doporučení | Výhoda |
|---|---|
| Upřednostněte přístupy k privátním sítím pro připojení napříč sítěmi, abyste upřednostněli zabezpečení. Po vyhodnocení souvisejících dopadů na zabezpečení a výkon zvažte pouze směrování přes internet. |
Privátní provoz prochází zabezpečenou síťovou cestou, která pomáhá snižovat mnoho typů bezpečnostních rizik. |
| Při připojování k prostředkům zákazníků hostovaným v prostředíCh Azure použijte Private Link, koncové body služeb nebo partnerské vztahy virtuálních sítí. | Provoz můžete udržovat v síti Microsoftu, což pomáhá snížit náklady a provozní složitost v porovnání s jinými přístupy. |
| Při připojování mezi poskytovateli cloudu nebo k místním sítím použijte sítě VPN typu site-to-site nebo ExpressRoute. | Tyto technologie poskytují zabezpečená připojení mezi poskytovateli. |
Nasazení do prostředí vlastněných zákazníky
Váš obchodní model může vyžadovat hostování aplikace nebo jejích komponent v prostředí Azure zákazníka. Zákazník spravuje vlastní předplatné Azure a přímo platí náklady na prostředky potřebné ke spuštění aplikace. Jako poskytovatel řešení zodpovídáte za správu řešení, jako je počáteční nasazení, použití konfigurace a nasazení aktualizací do aplikace.
V takových situacích zákazníci často přinesou vlastní síť a nasadí vaši aplikaci do síťového prostoru, který definují. Spravované aplikace Azure nabízejí možnosti pro usnadnění tohoto procesu. Další informace najdete v tématu Použití existující virtuální sítě se spravovanými aplikacemi Azure.
Aspekty návrhu
Rozsahy a konflikty IP adres Když zákazníci nasazují a spravují virtuální sítě, zodpovídají za zpracování konfliktů sítě a škálování. Měli byste ale očekávat různé scénáře využití zákazníků. Naplánujte nasazení v prostředích s minimálním adresním prostorem IP adres efektivním použitím IP adres a vyhněte se pevně zakódování rozsahů IP adres, aby se zabránilo překrývání s rozsahy zákazníků.
Případně nasaďte vyhrazenou virtuální síť pro vaše řešení. Pomocí služby Private Link nebo partnerského vztahu virtuálních sítí můžete zákazníkům umožnit připojení k prostředkům. Tyto přístupy jsou popsány v připojení mezi sítěmi. Pokud jste definovali příchozí a výchozí body, vyhodnoťte překlad adres (NAT) jako přístup k odstranění problémů způsobených překrytím IP adres.
Poskytovat přístup k síti pro účely správy. Projděte si prostředky, které nasadíte do zákaznických prostředí, a naplánujte, jak k nim budete mít přístup, abyste je mohli monitorovat, spravovat nebo překonfigurovat. Když se prostředky nasadí s privátními IP adresami do prostředí vlastněného zákazníkem, ujistěte se, že máte síťovou cestu, ke které se dostanete z vlastní sítě. Zvažte, jak usnadnit změny aplikací i prostředků, například nasdílení nové verze aplikace nebo aktualizaci konfigurace prostředků Azure.
V některých řešeních můžete využít funkce poskytované spravovanými aplikacemi Azure, jako je přístup za běhu a nasazení aktualizací do aplikací. Pokud potřebujete větší kontrolu, můžete v síti zákazníka hostovat koncový bod, ke kterému se vaše řídicí rovina může připojit, a poskytnout tak přístup k vašim prostředkům. Tato metoda vyžaduje další prostředky Azure a vývoj, které splňují požadavky na zabezpečení, provoz a výkon. Příklad implementace tohoto přístupu najdete v tématu Ukázka aktualizace spravovaných aplikací Azure.
Doporučení k návrhu
| Doporučení | Výhoda |
|---|---|
| Použití spravovaných aplikací Azure k nasazení a správě prostředků nasazených zákazníkem | Spravované aplikace Azure poskytují řadu funkcí, které umožňují nasadit a spravovat prostředky v rámci předplatného Azure zákazníka. |
| Minimalizujte počet IP adres, které v prostoru virtuální sítě zákazníka využíváte. | Zákazníci mají často omezenou dostupnost IP adres. Minimalizací vašich nároků a oddělením škálování od využití IP adres můžete rozšířit počet zákazníků, kteří můžou vaše řešení používat, a umožnit vyšší úroveň růstu. |
| Naplánujte, jak získat přístup k síti pro správu prostředků v zákaznických prostředích, zvažte monitorování, změny konfigurace prostředků a aktualizace aplikací. | Prostředky, které spravujete, můžete přímo nakonfigurovat. |
| Rozhodněte se, jestli chcete nasadit vyhrazenou virtuální síť nebo integrovat s existující virtuální sítí zákazníka. | Plánováním předem zajistíte splnění požadavků zákazníků na izolaci, zabezpečení a integraci s ostatními systémy. |
| Ve výchozím nastavení zakažte veřejný přístup k prostředkům Azure. Pokud je to možné, upřednostněte privátní příchozí přenos dat. | Snížíte rozsah síťových prostředků, které vy a vaši zákazníci potřebujete chránit. |
Další materiály
Víceklientská architektura je základní obchodní metodologie pro navrhování úloh SaaS. V těchto článcích najdete další informace týkající se návrhu sítě:
- Přístupy architektury pro sítě ve víceklientských řešeních
- Modely tenantů
- Hvězdicová síťová topologie
- Důležité informace o službě Azure NAT Gateway pro víceklientské prostředí
- Přístupy k architektuře pro integraci tenanta a přístup k datům
Další krok
Seznamte se s aspekty datových platforem pro integritu dat a výkon úloh SaaS v Azure.