Delen via

Azure Stack Hub-firewallintegratie

  • Artikel

Het is raadzaam om een firewallapparaat te gebruiken om Azure Stack Hub te beveiligen. Firewalls kunnen helpen beschermen tegen zaken zoals DDOS-aanvallen (Distributed Denial-of-Service), inbraakdetectie en inhoudsinspectie. Ze kunnen echter ook een knelpunt voor doorvoer worden voor Azure-opslagservices, zoals blobs, tabellen en wachtrijen.

Als er een niet-verbonden implementatiemodus wordt gebruikt, moet u het AD FS-eindpunt publiceren. Voor meer informatie, zie het artikel over datacentrumintegratieidentiteit .

De Eindpunten van Azure Resource Manager (beheerder), beheerdersportal en Key Vault (administrator) vereisen niet noodzakelijkerwijs externe publicatie. Als serviceprovider kunt u bijvoorbeeld het kwetsbaarheid voor aanvallen beperken door alleen Azure Stack Hub vanuit uw netwerk te beheren en niet via internet.

Voor ondernemingen kan het externe netwerk het bestaande bedrijfsnetwerk zijn. In dit scenario moet u eindpunten publiceren om Azure Stack Hub te kunnen gebruiken vanuit het bedrijfsnetwerk.

Netwerkadresvertaling

Network Address Translation (NAT) is de aanbevolen methode om de virtuele machine (DVM) van de implementatie toegang te geven tot externe resources en internet tijdens de implementatie, evenals de ERCS-VM's (Emergency Recovery Console) of het bevoegde eindpunt (PEP) tijdens de registratie en probleemoplossing.

NAT kan ook een alternatief zijn voor openbare IP-adressen in het externe netwerk of openbare VIP's. Het wordt echter niet aanbevolen om dit te doen omdat de gebruikerservaring van de tenant wordt beperkt en de complexiteit toeneemt. Eén optie is een op één NAT waarvoor nog steeds één openbaar IP-adres per gebruikers-IP voor de groep is vereist. Een andere optie is een veel-op-een NAT waarvoor een NAT-regel per gebruikers-VIP is vereist voor alle poorten die een gebruiker kan gebruiken.

Enkele van de nadelen van het gebruik van NAT voor Public VIP zijn:

  • NAT voegt overhead toe bij het beheren van firewallregels, omdat gebruikers hun eigen eindpunten en hun eigen publicatieregels in de SDN-stack (Software Defined Networking) beheren. Gebruikers moeten contact opnemen met de Azure Stack Hub-operator om hun VIP's te kunnen publiceren en de poortlijst bij te werken.
  • Hoewel nat-gebruik de gebruikerservaring beperkt, krijgt de operator volledige controle over publicatieaanvragen.
  • Houd er bij hybride cloudscenario's met Azure rekening mee dat Azure geen ondersteuning biedt voor het instellen van een VPN-tunnel naar een eindpunt met behulp van NAT.

SSL-onderschepping

Het wordt momenteel aanbevolen om SSL-interceptie, dat bijvoorbeeld ontsleutelingsoffloading omvat, uit te schakelen voor al het verkeer van Azure Stack Hub. Als dit wordt ondersteund in toekomstige updates, wordt er richtlijnen gegeven over het inschakelen van SSL-interceptie voor Azure Stack Hub.

Edge Firewallscenario

In een edge-implementatie wordt Azure Stack Hub rechtstreeks achter de randrouter of de firewall geïmplementeerd. In deze scenario's is het ondersteund dat de firewall boven de grens (Scenario 1) staat, waar zowel actief-actieve als actief-passieve firewallconfiguraties worden ondersteund, of als grensapparaat functioneert (Scenario 2), waarbij alleen actief-actieve firewallconfiguratie wordt ondersteund die afhankelijk is van gelijkwaardige kosten multipad (ECMP) met BGP of statische routering voor failover.

Openbare routeerbare IP-adressen worden opgegeven voor de openbare VIP-groep van het externe netwerk tijdens de implementatie. In een edge-scenario wordt het niet aanbevolen om openbare routeerbare IP-adressen in een ander netwerk te gebruiken voor beveiligingsdoeleinden. Met dit scenario kan een gebruiker de volledige zelfbeheerde cloudervaring ervaren, zoals in een openbare cloud zoals Azure.

Azure Stack Hub Edge-firewallvoorbeeld

Bedrijfsintranet- of perimeternetwerk-firewall-scenario

In een bedrijfsintranet of perimeterimplementatie wordt Azure Stack Hub geïmplementeerd op een firewall met meerdere zones of tussen de randfirewall en de firewall van het interne bedrijfsnetwerk. Het verkeer wordt vervolgens gedistribueerd tussen het beveiligde, perimeternetwerk (of DMZ) en onbeveiligde zones, zoals hieronder wordt beschreven:

  • Beveiligde zone: dit is het interne netwerk dat gebruikmaakt van interne of zakelijke routeerbare IP-adressen. Het beveiligde netwerk kan worden verdeeld, heeft uitgaande toegang via internet via NAT op de firewall en is meestal overal binnen uw datacenter toegankelijk via het interne netwerk. Alle Azure Stack Hub-netwerken moeten zich in de beveiligde zone bevinden, met uitzondering van de openbare VIP-pool van het externe netwerk.
  • Perimeterzone. Het perimeternetwerk is waar externe of internetgerichte apps, zoals webservers, doorgaans worden geïmplementeerd. Het wordt meestal bewaakt door een firewall om aanvallen zoals DDoS en inbraak (hacking) te voorkomen, terwijl opgegeven inkomend verkeer van internet nog steeds wordt toegestaan. Alleen de openbare VIP-pool van het externe netwerk van Azure Stack Hub moet zich in de DMZ-zone bevinden.
  • Onbeveiligde zone. Dit is het externe netwerk, internet. Het wordt niet aanbevolen om Azure Stack Hub in de onbeveiligde zone te implementeren.

azure Stack Hub-perimeternetwerkvoorbeeld

Meer informatie

Meer informatie over poorten en protocollen die worden gebruikt door Azure Stack Hub-eindpunten.

Volgende stappen

PKI-vereisten voor Azure Stack Hub