Freigeben über

Operative Exzellenz und Azure Virtual Network

  • Artikel

Ein grundlegender Baustein für Ihr privates Netzwerk, Azure Virtual Network ermöglicht Azure-Ressourcen die sichere Kommunikation mit einander, dem Internet und lokalen Netzwerken.

Zu den wichtigsten Features des virtuellen Azure-Netzwerks gehören:

Weitere Informationen: Was ist Das virtuelle Azure-Netzwerk?

Um zu verstehen, wie Azure Virtual Network operative Exzellenz unterstützt, verweisen Sie auf die folgenden Themen:

Überlegungen zum Entwurf

Das virtuelle Netzwerk (VNet) enthält die folgenden Entwurfsüberlegungen für operative Exzellenz:

  • Die Überlappung von IP-Adressräumen zwischen lokalen und Azure-Regionen führt zu erheblichen Konflikten.
  • Während nach der Erstellung ein Virtueller Netzwerkadressraum hinzugefügt werden kann, erfordert dieser Vorgang einen Ausfall, wenn das virtuelle Netzwerk bereits über Peering mit einem anderen virtuellen Netzwerk verbunden ist. Ein Ausfall ist erforderlich, da das virtuelle Netzwerk-Peering gelöscht und neu erstellt wird.
  • Einige Azure-Dienste erfordern dedizierte Subnetze, z. B.:
    • Azure Firewall
    • Azure Bastion
    • VNet-Gateway
  • Subnetze können an bestimmte Dienste delegiert werden, um Instanzen des betreffenden Diensts im Subnetz zu erstellen.
  • Azure reserviert fünf IP-Adressen innerhalb jedes Subnetzes, die bei der Größenanpassung von virtuellen Netzwerken und eingeschlossenen Subnetzen berücksichtigt werden sollten.

Checkliste

Haben Sie Azure Virtual Network mit operativer Exzellenz konfiguriert?

  • Verwenden Sie Azure DDoS Standard Protection-Pläne, um alle öffentlichen Endpunkte zu schützen, die in virtuellen Kundennetzwerken gehostet werden.
  • Unternehmenskunden müssen die IP-Adressierung in Azure planen, um sicherzustellen, dass es keinen überlappenden IP-Adressraum überlappende Ip-Adressbereiche über alle lokalen Standorte und Azure-Regionen hinweg gibt.
  • Verwenden Sie IP-Adressen aus der Adresszuweisung für private Internets (Request for Comment (RFC) 1918).
  • In Umgebungen mit eingeschränkter Verfügbarkeit von privaten IP-Adressen (RFC 1918) sollten Sie IPv6 verwenden.
  • Erstellen Sie nicht unnötig große virtuelle Netzwerke (z. B.: /16), um sicherzustellen, dass keine unnötigen Verschwendung von IP-Adressraum vorhanden ist.
  • Erstellen Sie keine virtuellen Netzwerke, ohne den erforderlichen Adressraum im Voraus zu planen.
  • Verwenden Sie keine öffentlichen IP-Adressen für virtuelle Netzwerke, insbesondere, wenn die öffentlichen IP-Adressen nicht zum Kunden gehören.
  • Verwenden Sie VNet-Dienstendpunkte, um den Zugriff auf Azure Platform as a Service (PaaS)-Dienste innerhalb eines VNet-Kunden zu sichern.
  • Verwenden Sie die Netzwerk-Virtual Appliance (NVA)-Filterung und VNet-Dienstendpunktrichtlinien für Azure Storage, um Probleme mit der Datenexfiltration mit Dienstendpunkten zu beheben.
  • Implementieren Sie nicht die Tunnelerzwingung, um die Kommunikation zwischen Azure und Azure-Ressourcen zu ermöglichen.
  • Zugreifen auf Azure PaaS-Dienste von der lokalen Bereitstellung über ExpressRoute Private Peering.
  • Um auf Azure PaaS-Dienste aus lokalen Netzwerken zuzugreifen, wenn VNet-Einfügung oder private Verknüpfung nicht verfügbar ist, verwenden Sie ExpressRoute mit Microsoft Peering, wenn keine Datenexfiltrationsbedenken vorliegen.
  • Replizieren Sie kein lokales Umkreisnetzwerk (auch als DMZ, demilitarisierte Zone und abgeschirmte Subnetzkonzepte und -architekturen bezeichnet) in Azure.
  • Stellen Sie sicher, dass die Kommunikation zwischen Azure PaaS-Diensten, die in ein virtuelles Netzwerk eingefügt wurden, innerhalb des virtuellen Netzwerks mit benutzerdefinierten Routen (UDRs) und Netzwerksicherheitsgruppen (Network Security Groups, NSGs) gesperrt ist.
  • Verwenden Sie VNet-Dienstendpunkte nicht, wenn Datenexfiltrationsbedenken bestehen, es sei denn, die NVA-Filterung wird verwendet.
  • Aktivieren Sie VNet-Dienstendpunkte nicht standardmäßig für alle Subnetze.

Konfigurationsempfehlungen

Beachten Sie beim Konfigurieren eines virtuellen Azure-Netzwerks die folgenden Empfehlungen für operative Exzellenz:

Empfehlung Beschreibung
Erstellen Sie keine virtuellen Netzwerke, ohne den erforderlichen Adressraum im Voraus zu planen. Das Hinzufügen von Adressraum führt zu einem Ausfall, sobald ein virtuelles Netzwerk über virtuelles Netzwerk-Peering verbunden ist.
Verwenden Sie VNet-Dienstendpunkte, um den Zugriff auf Azure Platform as a Service (PaaS)-Dienste innerhalb eines VNet-Kunden zu sichern. Nur wenn private Verknüpfung nicht verfügbar ist und keine Datenexfiltrationsbedenken vorliegen.
Zugreifen auf Azure PaaS-Dienste von der lokalen Bereitstellung über ExpressRoute Private Peering. Verwenden Sie entweder die VNet-Einfügung für dedizierte Azure-Dienste oder azure Private Link für verfügbare gemeinsame Azure-Dienste.
Um auf Azure PaaS-Dienste aus lokalen Netzwerken zuzugreifen, wenn VNet-Einfügung oder private Verknüpfung nicht verfügbar ist, verwenden Sie ExpressRoute mit Microsoft Peering, wenn keine Datenexfiltrationsbedenken vorliegen. Verhindert den Transit über das öffentliche Internet.
Replizieren Sie kein lokales Umkreisnetzwerk (auch als DMZ, demilitarisierte Zone und abgeschirmte Subnetzkonzepte und -architekturen bezeichnet) in Azure. Kunden können ähnliche Sicherheitsfunktionen in Azure wie lokal erhalten, aber die Implementierung und Architektur müssen an die Cloud angepasst werden.
Stellen Sie sicher, dass die Kommunikation zwischen Azure PaaS-Diensten, die in ein virtuelles Netzwerk eingefügt wurden, innerhalb des virtuellen Netzwerks mit benutzerdefinierten Routen (UDRs) und Netzwerksicherheitsgruppen (Network Security Groups, NSGs) gesperrt ist. Azure PaaS-Dienste, die in ein virtuelles Netzwerk eingefügt wurden, führen weiterhin Verwaltungsebenenvorgänge mit öffentlichen IP-Adressen durch.

Nächster Schritt

Zuverlässigkeit und ExpressRoute