Planen der eingehenden und ausgehenden Internetkonnektivität
In diesem Artikel werden Überlegungen und Empfehlungen für die ein- und ausgehende Konnektivität zwischen Azure und dem öffentlichen Internet aufgeführt.
Überlegungen zum Entwurf
Native Azure-Netzwerksicherheitsdienste wie Azure Firewall, Azure Web Application Firewall (WAF) für Azure Application Gateway und Azure Front Door sind vollständig verwaltete Dienste. Sie verursachen keine Betriebs- oder Verwaltungskosten und haben keine Auswirkungen auf die Komplexität von Infrastrukturbereitstellungen im großen Stil.
Wenn Ihre Organisation es vorzieht, eine Nicht-Azure-NVA (Network Virtual Appliance) zu verwenden, oder in Situationen, in denen native Dienste bestimmte Anforderungen nicht erfüllen, ist die Azure-Zielzonenarchitektur vollständig mit Partner-NVAs kompatibel.
Azure stellt mehrere direkte Methoden für die ausgehende Internetkonnektivität für VMs oder Compute-Instanzen im virtuellen Netzwerk bereit, z. B. NAT-Gateways (Netzwerkadressenübersetzung) oder Lastenausgleichsmodule. Azure NAT Gateway wird als Standard für die Realisierung der ausgehenden Konnektivität empfohlen, da es aus betrieblicher Sicht am einfachsten einzurichten ist und die skalierbarste und effizienteste Option unter allen in Azure verfügbaren Methoden für ausgehende Konnektivität darstellt. Weitere Informationen finden Sie unter Azure-Methoden für ausgehende Verbindungen.
Entwurfsempfehlungen
Verwenden Sie Azure NAT Gateway für direkte ausgehende Verbindungen mit dem Internet. Ein NAT-Gateway ist ein vollständig verwalteter, äußerst resilienter NAT-Dienst, der skalierbares und bedarfsgesteuertes SNAT bereitstellt.
Verwenden Sie NAT-Gateway für Folgendes:
- Dynamische oder große Workloads mit Datenverkehr zum Internet
- Statische und vorhersagbare öffentliche IP-Adressen für ausgehende Verbindungen NAT-Gateway kann bis zu 16 öffentlichen IP-Adressen oder einem /28-Präfix für öffentliche IP-Adressen zugeordnet werden.
- Entschärfung von Problemen mit der SNAT-Portauslastung, die häufig bei Load Balancer-Ausgangsregeln, Azure Firewall oder Azure App Services auftreten.
- Sicherheit und Datenschutz für Ressourcen in Ihrem Netzwerk. Nur ausgehender und zurückgegebener Datenverkehr kann das NAT-Gateway passieren.
Verwenden Sie Azure Firewall, um Folgendes zu steuern:
- Ausgehender Azure-Datenverkehr zum Internet
- Eingehende Nicht-HTTP/S-Verbindungen
- Filtern von Ost-West-Datenverkehr (falls von Ihrer Organisation gefordert)
Verwenden Sie Azure Firewall Premium für erweiterte Firewallfunktionen, wie z. B.:
- TLS-Inspektion (Transport Layer Security)
- Angriffserkennungs- und Schutzsystem für das Netzwerk (IDPS)
- URL-Filterung
- Webkategorien
Azure Firewall Manager unterstützt sowohl Azure Virtual WAN als auch normale virtuelle Netzwerke. Verwenden Sie Firewall Manager mit Virtual WAN, um Azure-Firewalls für Virtual WAN-Hubs oder in virtuellen Netzwerken im Hub bereitzustellen und zu verwalten.
Wenn Sie regelmäßig mehrere IP-Adressen und -bereiche in Azure Firewall-Regeln verwenden, richten Sie IP-Gruppen in Azure Firewall ein. Sie können IP-Adressgruppen über Azure-Regionen und -Abonnements hinweg in Azure Firewall-DNAT-, Netzwerk- und Anwendungsregeln für mehrere Firewalls wiederverwenden.
Wenn Sie eine eigene benutzerdefinierte Route (UDR) verwenden, um ausgehende Verbindungen mit Azure-PaaS-Diensten (Platform as a Service) zu verwalten, geben Sie als Adresspräfix ein Diensttag an. Diensttags aktualisieren die zugrunde liegenden IP-Adressen automatisch, um Änderungen zu übernehmen, und sie reduzieren den Mehraufwand für die Verwaltung von Azure-Präfixen in einer Routingtabelle.
Erstellen Sie eine globale Azure Firewall-Richtlinie, um den Sicherheitsstatus in der globalen Netzwerkumgebung zu steuern. Weisen Sie die Richtlinie allen Azure Firewall-Instanzen zu.
Ermöglichen Sie präzise Richtlinien, um die Anforderungen bestimmter Regionen zu erfüllen, indem Sie die rollenbasierte Zugriffssteuerung in Azure verwenden, um inkrementelle Richtlinien an lokale Sicherheitsteams zu delegieren.
Verwenden Sie WAF in einem virtuellen Netzwerk in einer Zielzonen zum Schützen eingehenden HTTP/S-Datenverkehrs aus dem Internet.
Verwenden Sie Azure Front Door- und WAF-Richtlinien, um über Azure-Regionen hinweg globalen Schutz für eingehende HTTP/S-Verbindungen mit einer Zielzone bereitzustellen.
Um Azure Front Door und Azure Application Gateway zum Schutz von HTTP/S-Anwendungen zu nutzen, verwenden Sie WAF-Richtlinien in Azure Front Door. Sperren Sie Azure Application Gateway, um nur Datenverkehr von Azure Front Door zu empfangen.
Wenn Sie Partner-NVAs für eingehende HTTP/S-Verbindungen benötigen, stellen Sie sie in einem virtuellen Netzwerk in einer Zielzone und zusammen mit den Anwendungen bereit, die sie schützen und im Internet verfügbar machen.
Verwenden Sie für kein Szenario den ausgehenden Standardinternetzugriff von Azure. Folgende Probleme mit dem Standardzugriff in ausgehender Richtung sind möglich:
- Erhöhtes Risiko einer SNAT-Portauslastung
- Standardmäßig unsicher
- Keine Abhängigkeit von IP-Adressen für den Standardzugriff Kein Eigentum des Kunden, Änderungen vorbehalten
Verwenden Sie ein NAT-Gateway für Onlinezielzonen oder Zielzonen, die nicht mit dem virtuellen Hubnetzwerk verbunden sind. Für Computeressourcen, die ausgehenden Internetzugriff benötigen und nicht die Sicherheit von Azure Firewall Standard oder Premium oder einer Drittanbieter-NVA benötigen, können Sie Onlinezielzonen verwenden.
Konfigurieren Sie unterstützte Partner in Firewall Manager, wenn Ihre Organisation SaaS-Sicherheitslösungen (Software-as-a-Service) anderer Anbieter zum Schutz ausgehender Verbindungen verwenden möchte.
Wenn Sie für den Schutz und die Filterung Partner-NVAs für Ost-West- oder Nord-Süd-Datenverkehr verwenden:
- Stellen Sie die NVAs bei Virtual WAN-Netzwerktopologien in einem separaten virtuellen NVA-Netzwerk bereit. Stellen Sie eine Verbindung vom virtuellen Netzwerk mit dem regionalen Virtual WAN-Hub und den Zielzonen her, die Zugriff auf die NVAs benötigen. Weitere Informationen finden Sie unter Szenario: Weiterleiten von Datenverkehr über ein virtuelles Netzwerkgerät.
- Stellen Sie für Netzwerktopologien ohne Virtual WAN die Partner-NVAs im virtuellen Netzwerk des zentralen Hubs bereit.
Machen Sie VM-Verwaltungsports nicht im Internet verfügbar. Für Verwaltungsaufgaben:
- Verwenden Sie Azure Policy, um die Erstellung von VMs mit öffentlichen IP-Adressen verhindern.
- Verwenden Sie Azure Bastion, um auf Jumpbox-VMs zuzugreifen.
Schützen Sie mit Azure DDoS Protection-Schutzplänen alle öffentlichen Endpunkte, die in Ihren virtuellen Netzwerken gehostet werden.
Replizieren Sie keine lokalen Umkreisnetzwerkkonzepte und -architekturen in Azure. Obwohl Azure ähnliche Sicherheitsfunktionen bietet, werden die Implementierung und die Architektur an die Cloud angepasst.