Plannen voor binnenkomende en uitgaande internetverbinding
Dit artikel bevat overwegingen en aanbevelingen voor binnenkomende en uitgaande connectiviteit tussen Azure en het openbare internet.
Ontwerpoverwegingen
Systeemeigen netwerkbeveiligingsservices van Azure, zoals Azure Firewall, Azure Web Application Firewall (WAF) op Azure-toepassing Gateway, en Azure Front Door worden volledig beheerd. Er worden geen operationele kosten en beheerkosten en complexiteit van infrastructuurimplementaties op schaal in rekening gebracht.
Als uw organisatie liever niet-Azure Network Virtual Appliance (NVA's) gebruikt of in situaties waarin systeemeigen services niet voldoen aan specifieke vereisten, is de Architectuur van de Azure-landingszone volledig compatibel met NVA's van partners.
Azure biedt verschillende directe uitgaande internetconnectiviteitsmethoden, zoals NAT-gateways (Network Address Translation) of load balancers, voor virtuele machines (VM's) of rekeninstanties in een virtueel netwerk. Azure NAT Gateway wordt aanbevolen als de standaardinstelling voor het inschakelen van uitgaande connectiviteit, omdat deze operationeel het eenvoudigst is in te stellen en is de meest schaalbare en efficiënte optie voor alle uitgaande connectiviteitsmethoden die beschikbaar zijn in Azure. Zie de uitgaande connectiviteitsmethoden van Azure voor meer informatie.
Ontwerpaanaanvelingen
Gebruik Azure NAT Gateway voor directe uitgaande connectiviteit met internet. Een NAT-gateway is een volledig beheerde, zeer flexibele NAT-service die schaalbare en on-demand SNAT biedt.
Gebruik een NAT-gateway voor:
- Dynamische of grote workloads die verkeer naar internet verzenden.
- Statische en voorspelbare openbare IP-adressen voor uitgaande connectiviteit. NAT-gateway kan worden gekoppeld aan maximaal 16 openbare IP-adressen of een /28 openbaar IP-voorvoegsel.
- Oplossing van problemen met SNAT-poortuitputting die vaak worden ervaren met uitgaande regels voor load balancer, Azure Firewall of Azure-app Services.
- Beveiliging en privacy van resources binnen uw netwerk. Alleen uitgaand en retourverkeer kan via NAT-gateway worden doorgegeven.
Azure Firewall gebruiken om het volgende te beheren:
- Uitgaand verkeer van Azure naar internet.
- Niet-HTTP/S-binnenkomende verbindingen.
- Verkeer in oost-west filteren, als uw organisatie dit vereist.
Gebruik Azure Firewall Premium voor geavanceerde firewallmogelijkheden, zoals:
- Tls-inspectie (Transport Layer Security).
- Een netwerkinbraakdetectie en -preventiesysteem (IDPS).
- URL-filtering.
- Webcategorieën.
Azure Firewall Manager ondersteunt zowel Azure Virtual WAN als gewone virtuele netwerken. Gebruik Firewall Manager met Virtual WAN om Azure-firewalls te implementeren en te beheren in Virtuele WAN-hubs of in virtuele hubnetwerken.
Als u meerdere IP-adressen en bereiken consistent gebruikt in Azure Firewall-regels, stelt u IP-groepen in Azure Firewall in. U kunt de IP-groepen in Azure Firewall DNAT, netwerk- en toepassingsregels gebruiken voor meerdere firewalls in Azure-regio's en -abonnementen.
Als u een aangepaste door de gebruiker gedefinieerde route (UDR) gebruikt om uitgaande connectiviteit met PaaS-services (Platform as a Service) te beheren, geeft u een servicetag op als het adresvoorvoegsel. Servicetags werken onderliggende IP-adressen automatisch bij om wijzigingen op te nemen en verminderen de overhead van het beheren van Azure-voorvoegsels in een routetabel.
Maak een globaal Azure Firewall-beleid om de beveiligingspostuur in de globale netwerkomgeving te beheren. Wijs het beleid toe aan alle Azure Firewall-exemplaren.
Sta gedetailleerde beleidsregels toe om te voldoen aan specifieke regiovereisten met behulp van op rollen gebaseerd toegangsbeheer van Azure om incrementeel beleid te delegeren aan lokale beveiligingsteams.
Gebruik WAF in een virtueel netwerk in een landingszone voor het beveiligen van binnenkomend HTTP/S-verkeer van internet.
Gebruik Azure Front Door- en WAF-beleid om wereldwijde beveiliging te bieden tussen Azure-regio's voor binnenkomende HTTP/S-verbindingen met een landingszone.
Als u Azure Front Door en Azure-toepassing Gateway wilt gebruiken om HTTP/S-toepassingen te beveiligen, gebruikt u WAF-beleid in Azure Front Door. Vergrendel Azure-toepassing Gateway om alleen verkeer van Azure Front Door te ontvangen.
Als u partner-NVA's nodig hebt voor binnenkomende HTTP/S-verbindingen, implementeert u deze in een virtueel netwerk in een landingszone, samen met de toepassingen die ze beveiligen en beschikbaar maken op internet.
Gebruik voor uitgaande toegang geen uitgaande toegang van Azure voor elk scenario. Problemen met standaard uitgaande toegang zijn onder andere:
- Verhoogd risico op uitputting van SNAT-poorten.
- Standaard onveilig.
- Kan niet afhankelijk zijn van ip-adressen van standaardtoegang. Ze zijn niet eigendom van de klant en kunnen worden gewijzigd.
Gebruik een NAT-gateway voor onlinelandingszones of landingszones die niet zijn verbonden met het virtuele hubnetwerk. Rekenresources die uitgaande internettoegang nodig hebben en die de beveiliging van Azure Firewall Standard of Premium, of een NVA van derden, niet nodig hebben, kunnen onlinelandingszones gebruiken.
Als uw organisatie saaS-beveiligingsproviders (Software-as-a-Service) wil gebruiken om uitgaande verbindingen te beveiligen, configureert u ondersteunde partners in Firewall Manager.
Als u partner-NVA's gebruikt voor beveiliging van verkeer in het oosten of noord-zuid en filteren:
- Voor Virtual WAN-netwerktopologieën implementeert u de NVA's in een afzonderlijk virtueel NVA-netwerk. Verbinding maken het virtuele netwerk naar de regionale Virtual WAN-hub en naar de landingszones die toegang nodig hebben tot de NVA's. Zie Scenario: Verkeer routeren via een NVA voor meer informatie.
- Implementeer voor niet-Virtual WAN-netwerktopologieën de partner-NVA's in het virtuele netwerk van de centrale hub.
Maak geen VM-beheerpoorten beschikbaar op internet. Voor beheertaken:
- Gebruik Azure Policy om te voorkomen dat vm's worden gemaakt met openbare IP-adressen.
- Gebruik Azure Bastion om toegang te krijgen tot jumpbox-VM's.
Gebruik Azure DDoS Protection-beveiligingsplannen om de openbare eindpunten die u host in uw virtuele netwerken te beveiligen.
Probeer on-premises perimeternetwerkconcepten en -architecturen niet te repliceren naar Azure. Hoewel Azure vergelijkbare beveiligingsmogelijkheden heeft, worden de implementatie en architectuur aangepast aan de cloud.