Neues Windows Azure Network Security Whitepaper
Microsoft hat gestern ein neues Whitepaper zu Sicherheitsthemen rund um Windows Azure Networking veröffentlicht. Dieses Whitepaper kann von der Microsoft Downloadseite heruntergeladen werden.
Windows Azure Networking bietet eine Infrastruktur, mit der zum einen virtuelle Maschinen in Windows Azure untereinander sicher vernetzt als auch mit On-premises Rechenzentren vernetzt werden können.
Dieses Whitepaper wirft einen Blick auf die innere Funktionsweise von Windows Azure Networking und gibt Hinweise darauf, wie Kunden die bereitgestellten Funktionen nutzen können, um ihre eigenen Cloud Dienste abzusichern. Der folgende Abschnitt skizziert ein paar der Inhalte des Whitepapers:
Grundlage einer jeden Cloud Architektur, die von mehreren Benutzern verwendet werden soll, ist die Isolation dieser Benutzer voneinander. In Windows Azure kann die Subscription eines Benutzers mehrere Deployments enthalten. Jedes dieser Deployments wiederum kann mehrere VMs enthalten. Netzwerk Isolation greift hier an mehreren Stellen:
- Deployment: Jedes Deployment ist von anderen Deployments isoliert. Das heißt, dass VMs innerhalb eines Deployments untereinander via einer privaten IP Adresse kommunizieren können, eine Kommunikation zwischen VMs unterschiedlicher Deployments jedoch unterbunden wird.
- Virtual Network: Mehrere Deployments (innerhalb einer Subscription) können einem Virtual Network zugeordnet werden. Über dieses ist dann wiederum eine Kommunikation zwischen VMs aller betroffenen Deployments via privater IP Adresse möglich. Jedes Virtual Network ist aber wiederum von anderen Virtual Networks isoliert.
Ein Beispiel einer solchen Topologie ist in folgender Abbildung zu sehen:
Die Virtual Machines in Deployment X und Deployment Y können nur jeweils innerhalb ihres Deployments untereinander direkt kommunizieren. Eine direkte Kommunikation via privater IP Adresse von Virtual Machines aus Deployment X mit Virtual Machines aus Deployment Y ist jedoch nicht möglich. Anders bei Customer 1: dort können die Virtual Machines dank des eingerichteten Virtual Networks auch Deployment-übergreifend (allerdings nur innerhalb des Virtual Networks) miteinander kommunizieren. Eine Virtual Machine aus Deployment A kann also mit einer Virtual Machine aus Deployment B direkt kommunizieren, jedoch nicht mit einer Virtual Machine aus Deployment X.