Delen via

Azure Stack Hub-firewallintegratie

  • Artikel

Het is raadzaam om een firewallapparaat te gebruiken om Azure Stack Hub te beveiligen. Firewalls kunnen helpen beschermen tegen zaken als DDOS-aanvallen (Distributed Denial of Service), inbraakdetectie en inhoudsinspectie. Ze kunnen echter ook een knelpunt voor doorvoer worden voor Azure-opslagservices, zoals blobs, tabellen en wachtrijen.

Als een niet-verbonden implementatiemodus wordt gebruikt, moet u het AD FS-eindpunt publiceren. Zie het artikel over identiteiten voor datacentrumintegratie voor meer informatie.

Voor de eindpunten azure Resource Manager (beheerder), beheerdersportal en Key Vault (beheerder) is niet noodzakelijkerwijs externe publicatie vereist. Als serviceprovider kunt u bijvoorbeeld de kwetsbaarheid voor aanvallen beperken door Azure Stack Hub alleen te beheren vanuit uw netwerk en niet via internet.

Voor ondernemingen kan het externe netwerk het bestaande bedrijfsnetwerk zijn. In dit scenario moet u eindpunten publiceren om Azure Stack Hub te kunnen gebruiken vanuit het bedrijfsnetwerk.

Netwerkadresomzetting

Nat (Network Address Translation) is de aanbevolen methode om de virtuele implementatiemachine (DVM) toegang te geven tot externe resources en internet tijdens de implementatie, evenals de ERCS-VM's (Emergency Recovery Console) of privileged endpoint (PEP) tijdens de registratie en probleemoplossing.

NAT kan ook een alternatief zijn voor openbare IP-adressen op het externe netwerk of openbare VIP's. Het wordt echter niet aanbevolen om dit te doen, omdat dit de gebruikerservaring van de tenant beperkt en de complexiteit verhoogt. Een optie is een één-op-één NAT waarvoor nog steeds één openbaar IP-adres per gebruikers-IP in de groep is vereist. Een andere optie is een veel-op-één NAT waarvoor een NAT-regel per gebruiker VIP vereist is voor alle poorten die een gebruiker kan gebruiken.

Enkele van de nadelen van het gebruik van NAT voor openbaar VIP zijn:

  • NAT voegt overhead toe bij het beheren van firewallregels, omdat gebruikers hun eigen eindpunten en hun eigen publicatieregels beheren in de SDN-stack (Software-Defined Networking). Gebruikers moeten contact opnemen met de Azure Stack Hub-operator om hun VIP's te publiceren en de poortlijst bij te werken.
  • Hoewel NAT-gebruik de gebruikerservaring beperkt, geeft het de operator volledige controle over publicatieaanvragen.
  • Voor hybride cloudscenario's met Azure biedt Azure geen ondersteuning voor het instellen van een VPN-tunnel naar een eindpunt met behulp van NAT.

SSL-interceptie

Het wordt momenteel aanbevolen om SSL-interceptie (bijvoorbeeld ontsleutelings offloading) uit te schakelen voor al het Azure Stack Hub-verkeer. Als dit wordt ondersteund in toekomstige updates, worden er richtlijnen gegeven over het inschakelen van SSL-interceptie voor Azure Stack Hub.

Edge-firewallscenario

In een edge-implementatie wordt Azure Stack Hub direct achter de edge-router of de firewall geïmplementeerd. In deze scenario's wordt het ondersteund dat de firewall zich boven de rand bevindt (scenario 1), waar deze zowel actief-actief- als actief-passief-firewallconfiguraties ondersteunt of fungeert als het randapparaat (scenario 2), waar deze alleen ondersteuning biedt voor actief-actief-firewallconfiguratie die afhankelijk is van ecmp (multi-cost multipad) met BGP of statische routering voor failover.

Tijdens de implementatie worden openbare routeerbare IP-adressen opgegeven voor de openbare VIP-groep van het externe netwerk. In een edge-scenario wordt het niet aanbevolen om openbare routeerbare IP-adressen op een ander netwerk te gebruiken voor beveiligingsdoeleinden. In dit scenario kan een gebruiker de volledige zelfbeheerde cloudervaring ervaren als in een openbare cloud zoals Azure.

Azure Stack Hub Edge-firewallvoorbeeld

Bedrijfsintranet- of perimeternetwerkfirewallscenario

In een bedrijfsintranet of perimeterimplementatie wordt Azure Stack Hub geïmplementeerd op een firewall met meerdere zones of tussen de randfirewall en de firewall van het interne bedrijfsnetwerk. Het verkeer wordt vervolgens gedistribueerd tussen het beveiligde perimeternetwerk (of DMZ) en onbeveiligde zones, zoals hieronder wordt beschreven:

  • Beveiligde zone: dit is het interne netwerk dat gebruikmaakt van interne of zakelijke routeerbare IP-adressen. Het beveiligde netwerk kan worden verdeeld, heeft uitgaande internettoegang via NAT op de firewall en is meestal toegankelijk vanaf elke locatie in uw datacenter via het interne netwerk. Alle Azure Stack Hub-netwerken moeten zich in de beveiligde zone bevinden, met uitzondering van de openbare VIP-groep van het externe netwerk.
  • Perimeterzone. In het perimeternetwerk worden meestal externe of internetgerichte apps, zoals webservers, geïmplementeerd. Het wordt meestal bewaakt door een firewall om aanvallen zoals DDoS en inbraak (hacking) te voorkomen, terwijl opgegeven inkomend verkeer van internet nog steeds wordt toegestaan. Alleen de openbare VIP-groep van het externe netwerk van Azure Stack Hub moet zich in de DMZ-zone bevinden.
  • Onbeveiligde zone. Dit is het externe netwerk, het internet. Het wordt afgeraden om Azure Stack Hub te implementeren in de onbeveiligde zone.

Azure Stack Hub-perimeternetwerkvoorbeeld

Lees meer

Meer informatie over poorten en protocollen die worden gebruikt door Azure Stack Hub-eindpunten.

Volgende stappen

PKI-vereisten voor Azure Stack Hub