Condividi tramite

Pianificare la connettività Internet in ingresso e in uscita

  • Articolo

Questo articolo elenca considerazioni e consigli per la connettività in ingresso e in uscita tra Azure e Internet pubblico.

Considerazioni relative alla progettazione

  • I servizi di sicurezza di rete nativi di Azure, ad esempio Firewall di Azure, Web application firewall di Azure (WAF) nel gateway di app Azure lication e Frontdoor di Azure sono completamente gestiti. Non si comportano costi operativi e di gestione e complessità delle distribuzioni dell'infrastruttura su larga scala.

  • Se l'organizzazione preferisce usare appliance virtuali di rete non di Azure o per situazioni in cui i servizi nativi non soddisfano requisiti specifici, l'architettura della zona di destinazione di Azure è completamente compatibile con le appliance virtuali di rete partner.

  • Azure offre diversi metodi di connettività in uscita internet diretta, ad esempio gateway NAT (Network Address Translation) o servizi di bilanciamento del carico, per macchine virtuali (VM) o istanze di calcolo in una rete virtuale. Il gateway NAT di Azure è consigliato come impostazione predefinita per abilitare la connettività in uscita perché è operativamente la configurazione più semplice ed è l'opzione più scalabile ed efficiente tra tutti i metodi di connettività in uscita disponibili in Azure. Per altre informazioni, vedere Metodi di connettività in uscita di Azure.

Suggerimenti per la progettazione

  • Usare il gateway NAT di Azure per la connettività in uscita diretta a Internet. Un gateway NAT è un servizio NAT completamente gestito e altamente resiliente che fornisce SNAT scalabile e su richiesta.

    • Usare un gateway NAT per:

      • Carichi di lavoro dinamici o di grandi dimensioni che inviano traffico a Internet.
      • Indirizzi IP pubblici statici e prevedibili per la connettività in uscita. Il gateway NAT può essere associato a un massimo di 16 indirizzi IP pubblici o a un prefisso IP pubblico /28.
      • Mitigazione dei problemi di esaurimento delle porte SNAT comunemente riscontrati con regole in uscita del servizio di bilanciamento del carico, Firewall di Azure o servizi app Azure.
      • Sicurezza e privacy delle risorse all'interno della rete. Solo il traffico in uscita e restituito può passare attraverso il gateway NAT.

  • Usare Firewall di Azure per gestire:

    • Traffico di Azure in uscita verso Internet.
    • Connessioni in ingresso non HTTP/S.
    • Filtro del traffico est-ovest, se l'organizzazione lo richiede.

  • Usare Firewall di Azure Premium per funzionalità firewall avanzate, ad esempio:

    • Ispezione tls (Transport Layer Security).
    • Un sistema di rilevamento e prevenzione delle intrusioni di rete (IDPS).
    • Filtro URL.
    • Categorie Web.

  • Firewall di Azure Manager supporta sia le reti virtuali rete WAN virtuale di Azure che le normali reti virtuali. Usare Gestione firewall con la rete WAN virtuale per distribuire e gestire i firewall di Azure negli hub della rete WAN virtuale o nelle reti virtuali dell'hub.

  • Se si usano più indirizzi IP e intervalli in modo coerente nelle regole di Firewall di Azure, configurare i gruppi IP in Firewall di Azure. È possibile usare i gruppi IP in Firewall di Azure DNAT, rete e regole dell'applicazione per più firewall tra aree e sottoscrizioni di Azure.

  • Se si usa una route definita dall'utente (UDR) personalizzata per gestire la connettività in uscita ai servizi PaaS (Platform as a Service) di Azure, specificare un tag di servizio come prefisso dell'indirizzo. I tag di servizio aggiornano automaticamente gli indirizzi IP sottostanti per includere le modifiche e ridurre il sovraccarico di gestione dei prefissi di Azure in una tabella di route.

  • Creare un criterio di Firewall di Azure globale per gestire il comportamento di sicurezza nell'ambiente di rete globale. Assegnare il criterio a tutte le istanze di Firewall di Azure.

  • Consentire ai criteri granulari di soddisfare requisiti specifici dell'area usando il controllo degli accessi in base al ruolo di Azure per delegare criteri incrementali ai team di sicurezza locali.

  • Usare WAF all'interno di una rete virtuale della zona di destinazione per proteggere il traffico HTTP/S in ingresso da Internet.

  • Usare i criteri di WAF e Frontdoor di Azure per offrire protezione globale in tutte le aree di Azure per connessioni HTTP/S in ingresso a una zona di destinazione.

  • Per usare Frontdoor di Azure e app Azure gateway per proteggere le applicazioni HTTP/S, usare i criteri WAF in Frontdoor di Azure. Bloccare il gateway applicazione di Azure per la ricezione del traffico solo dal servizio Frontdoor di Azure.

  • Se sono necessarie appliance virtuali di rete partner per le connessioni HTTP/S in ingresso, distribuirle all'interno di una rete virtuale della zona di destinazione, insieme alle applicazioni protette ed esposte a Internet.

  • Per l'accesso in uscita, non usare l'accesso in uscita Internet predefinito di Azure per qualsiasi scenario. I problemi riscontrati con l'accesso in uscita predefinito includono:

    • Aumento del rischio di esaurimento delle porte SNAT.
    • Non sicuro per impostazione predefinita.
    • Non può dipendere da indirizzi IP di accesso predefiniti. Non sono di proprietà del cliente e sono soggetti a modifiche.

  • Usare un gateway NAT per le zone di destinazione online o le zone di destinazione non connesse alla rete virtuale hub. Le risorse di calcolo che richiedono l'accesso a Internet in uscita e non necessitano della sicurezza di Firewall di Azure standard o Premium o di un'appliance virtuale di rete di terze parti, possono usare zone di destinazione online.

  • Se l'organizzazione vuole usare provider di sicurezza SaaS (Software-as-a-Service) per proteggere le connessioni in uscita, configurare i partner supportati in Gestione firewall.

  • Se si usano appliance virtuali di rete del partner per la protezione e il filtro del traffico est-ovest o nord-sud:

    • Per rete WAN virtuale topologie di rete, distribuire le appliance virtuali di rete in una rete virtuale di rete separata. Connessione la rete virtuale all'hub di rete WAN virtuale a livello di area e alle zone di destinazione che devono accedere alle appliance virtuali di rete. Per altre informazioni, vedere Scenario: Instradare il traffico attraverso un'appliance virtuale di rete.
    • Per le topologie di rete non rete WAN virtuale, distribuire le appliance virtuali di rete partner nella rete virtuale dell'hub centrale.

  • Non esporre le porte di gestione delle macchine virtuali a Internet. Per le attività di gestione:

    • Usare Criteri di Azure per impedire la creazione di macchine virtuali con indirizzi IP pubblici.
    • Usare Azure Bastion per accedere alle macchine virtuali jumpbox.

  • Usare i piani di protezione protezione DDoS di Azure per proteggere gli endpoint pubblici ospitati all'interno delle reti virtuali.

  • Non provare a replicare i concetti e le architetture della rete perimetrale locale in Azure. Anche se Azure ha funzionalità di sicurezza simili, l'implementazione e l'architettura vengono adattate al cloud.