Condividi tramite

Pianificare la connettività Internet in ingresso e in uscita

  • Articolo

Questo articolo elenca considerazioni e consigli per la connettività in ingresso e in uscita tra Azure e Internet pubblico.

Considerazioni sulla progettazione

  • I servizi di sicurezza di rete nativi di Azure, ad esempio Firewall di Azure, Web Application Firewall di Azure (WAF) sul Gateway Applicazione di Azuree Front Door di Azure, sono completamente gestiti. Non dovete sostenere i costi operativi e di gestione, né affrontare la complessità delle implementazioni dell'infrastruttura su larga scala.

  • Se l'organizzazione preferisce usare appliance virtuali di rete non di Azure o in situazioni in cui i servizi nativi non soddisfano requisiti specifici, l'architettura della zona di destinazione di Azure è completamente compatibile con le appliance virtuali di rete partner.

  • Azure offre diversi metodi di connettività in uscita internet diretta, ad esempio gateway NAT (Network Address Translation) o servizi di bilanciamento del carico, per macchine virtuali (VM) o istanze di calcolo in una rete virtuale. gateway NAT di Azure è consigliato come impostazione predefinita per abilitare la connettività in uscita perché è operativamente la configurazione più semplice ed è l'opzione più scalabile ed efficiente tra tutti i metodi di connettività in uscita disponibili in Azure. Per altre informazioni, vedere metodi di connettività verso l'esterno di Azure.

Nota

A partire da novembre 2024, tutti i deployment di Azure Firewall devono includere un NIC di gestione per separare il traffico di gestione e dati. In precedenza necessario solo per il tunneling forzato, la scheda di interfaccia di rete di gestione è ora obbligatoria per le funzionalità del firewall future. Per evitare interruzioni del servizio, assicurarsi che il firewall venga distribuito o aggiornato con questa funzionalità abilitata. Per i firewall esistenti, vedere Abilitare la scheda di interfaccia di rete di gestione nei firewall esistenti.

Consigli per la progettazione

  • Usare il gateway NAT di Azure per la connettività in uscita diretta a Internet. Un gateway NAT è un servizio NAT completamente gestito e altamente affidabile che fornisce SNAT scalabile e su richiesta.

    • Usare un gateway NAT per:

      • Carichi di lavoro dinamici o di grandi dimensioni che inviano traffico a Internet.
      • Indirizzi IP pubblici statici e prevedibili per la connettività in uscita. Il gateway NAT può essere associato a un massimo di 16 indirizzi IP pubblici o a un prefisso IP pubblico /28.
      • Mitigazione dei problemi di esaurimento delle porte SNAT comunemente riscontrati con le regole in uscita di Load Balancer , Firewall di Azure o App Services di Azure .
      • Sicurezza e privacy delle risorse all'interno della rete. Solo il traffico in uscita e restituito può passare attraverso il gateway NAT.

  • Usare Firewall di Azure per gestire:

    • Traffico in uscita di Azure verso Internet.
    • Connessioni in ingresso non HTTP/S.
    • Filtro del traffico est-ovest, se l'organizzazione lo richiede.

  • Distribuire Firewall di Azure con la scheda di rete di gestione abilitata

    • Assicurarsi che AzureFirewallManagementSubnet venga creato in anticipo per evitare problemi di distribuzione quando si usa una rete virtuale esistente, con una dimensione minima della subnet di /26
    • Assegnare un indirizzo IP pubblico alla scheda di interfaccia di rete di gestione. Questo IP facilita le attività operative del firewall, inclusi gli aggiornamenti e le comunicazioni di gestione.
    • Per impostazione predefinita, Azure associa una tabella di route fornita dal sistema ad AzureFirewallManagementSubnet. Questa tabella include una route predefinita per internet e devono essere disabilitate le route propagate del gateway.

  • Usare Azure Firewall Premium per le funzionalità avanzate del firewall, ad esempio:

    • Ispezione di Transport Layer Security (TLS).
    • Un sistema di rilevamento e prevenzione delle intrusioni di rete (IDPS).
    • Filtro URL.
    • Categorie Web.

Nota

Per le versioni del firewall Standard e Premium, la scheda di interfaccia di rete di gestione firewall deve essere abilitata manualmente durante il processo di creazione. Tutte le versioni del firewall di base e tutti i firewall dell'hub protetto hanno sempre una scheda di interfaccia di rete di gestione abilitata.

  • Azure Firewall Manager supporta sia Azure Virtual WAN che le reti virtuali normali. Usare Firewall Manager con la rete WAN virtuale per distribuire e gestire firewall di Azure negli hub WAN virtuali o nelle reti virtuali hub.

  • Se usi più indirizzi IP e intervalli in modo coerente nelle regole del Firewall di Azure, configura i Gruppi IP nel Firewall di Azure. È possibile utilizzare i gruppi IP nelle regole di DNAT, di rete e di applicazione nel Firewall di Azure per più firewall attraverso le aree e le sottoscrizioni di Azure.

  • Se utilizzi una route personalizzata dall'utente (UDR) per gestire la connettività in uscita ai servizi PaaS di Azure (Platform as a Service), specifica un tag del servizio come prefisso dell'indirizzo. I tag di servizio aggiornano automaticamente gli indirizzi IP sottostanti per includere le modifiche e ridurre il sovraccarico di gestione dei prefissi di Azure in una tabella di route.

Nota

Evitare di associare le tabelle di route dei clienti ad AzureFirewallManagementSubnet. L'associazione di tabelle di route personalizzate alla subnet di gestione può causare errori di configurazione e potenziali interruzioni del servizio. Se si decide di associare una tabella di route, assicurarsi che abbia una route predefinita verso Internet per evitare interruzioni del servizio.

  • Creare criteri globali di Firewall di Azure per gestire il comportamento di sicurezza nell'ambiente di rete globale. Assegnare i criteri a tutte le istanze di Firewall di Azure.

  • Consentire ai criteri granulari di soddisfare requisiti specifici dell'area usando il controllo degli accessi in base al ruolo di Azure per delegare criteri incrementali ai team di sicurezza locali.

  • Usare WAF all'interno di una rete virtuale della zona di destinazione per proteggere il traffico HTTP/S in ingresso da Internet.

  • Usare Frontdoor di Azure e i criteri WAF per fornire protezione globale tra aree di Azure per le connessioni HTTP/S in ingresso a una zona di destinazione.

  • Per utilizzare Azure Front Door e Azure Application Gateway per aiutare a proteggere le applicazioni HTTP/S, utilizzare i criteri WAF in Azure Front Door. Bloccare Azure Application Gateway per ricevere il traffico solo da Azure Front Door.

  • Se sono necessarie appliance virtuali di rete partner per le connessioni HTTP/S in ingresso, distribuirle all'interno di una rete virtuale della zona di destinazione, insieme alle applicazioni protette ed esposte a Internet.

  • Per l'accesso in uscita, non usare l'accesso in uscita Internet predefinito di Azure per qualsiasi scenario. I problemi riscontrati con l'accesso in uscita predefinito includono:

    • Aumento del rischio di esaurimento delle porte SNAT.
    • Non sicuro per impostazione predefinita.
    • Non può dipendere da indirizzi IP di accesso predefiniti. Non sono di proprietà del cliente e sono soggetti a modifiche.

  • Usare un gateway NAT per le zone di destinazione online o le zone di destinazione non connesse alla rete virtuale hub. Le risorse di calcolo che richiedono l'accesso a Internet in uscita e non necessitano della sicurezza di Firewall di Azure Standard o Premium o di un'appliance virtuale di rete di terze parti, possono usare zone di destinazione online.

  • Se l'organizzazione vuole usare provider di sicurezza SaaS (Software-as-a-Service) per proteggere le connessioni in uscita, configurare i partner supportati in Gestione firewall.

  • Se si utilizzano appliance virtuali di rete dei partner per la protezione e il filtro del traffico est-ovest o nord-sud:

    • Per le topologie di rete WAN virtuale, distribuisci le NVAs in una rete virtuale separata. Connettere la rete virtuale all'hub WAN virtuale regionale e alle zone di destinazione che devono accedere alle NVAs. Per ulteriori informazioni, vedere lo Scenario : instradare il traffico attraverso un NVA.
    • Per le topologie di rete non WAN virtuali, distribuire le Appliance Virtuali di Rete (NVA) partner nella rete virtuale dell'hub centrale.

  • Non esporre le porte di gestione delle macchine virtuali a Internet. Per le attività di gestione:

    • Usare Azure Policy per impedire la creazione di macchine virtuali con indirizzi IP pubblici.
    • Usare Azure Bastion per accedere alle macchine virtuali jumpbox.

  • Utilizzare i piani di protezione DDoS di Azure per aiutare a proteggere gli endpoint pubblici che ospitate all'interno delle vostre reti virtuali.

  • Non provare a replicare i concetti e le architetture della rete perimetrale locale in Azure. Anche se Azure ha funzionalità di sicurezza simili, l'implementazione e l'architettura sono state adattate al cloud.