Operationele uitmuntendheid en Azure Virtual Network
Een fundamentele bouwsteen voor uw privénetwerk, azure Virtual Network stelt Azure-resources in staat om veilig met elkaar, internet en on-premises netwerken te communiceren.
Belangrijke functies van Azure Virtual Network zijn:
- Communicatie met Azure-resources
- Communicatie met internet
- Communicatie met on-premises resources
- Filteren van netwerkverkeer
Raadpleeg wat is Azure Virtual Network voor meer informatie ?
Raadpleeg de volgende onderwerpen om te begrijpen hoe Azure Virtual Network operationele uitmuntendheid ondersteunt:
- Azure Virtual Network bewaken
- Naslaginformatie over azure Virtual Network-gegevens bewaken
- Concepten en best practices voor Azure Virtual Network
Ontwerpoverwegingen
Het virtuele netwerk (VNet) bevat de volgende ontwerpoverwegingen voor operationele uitmuntendheid:
- Overlappende IP-adresruimten in on-premises en Azure-regio's creëren grote conflicten.
- Hoewel er na het maken een adresruimte voor een virtueel netwerk kan worden toegevoegd, is voor dit proces een storing vereist als het virtuele netwerk al is verbonden met een ander virtueel netwerk via peering. Er is een storing nodig omdat peering van het virtuele netwerk wordt verwijderd en opnieuw wordt gemaakt.
- Voor sommige Azure-services zijn speciale subnetten vereist, zoals:
- Azure Firewall
- Azure Bastion
- Gateway voor een virtueel netwerk
- Subnetten kunnen worden gedelegeerd aan bepaalde services om exemplaren van die service in het subnet te maken.
- Azure reserveert vijf IP-adressen binnen elk subnet. Deze moeten worden meegerekend bij het aanpassen van de grootte van virtuele netwerken en ingesloten subnetten.
Checklijst
Hebt u Azure Virtual Network geconfigureerd met operationele uitmuntendheid in het achterhoofd?
- Gebruik Azure DDoS Standard Protection Plans om alle openbare eindpunten te beveiligen die worden gehost in virtuele netwerken van klanten.
- Zakelijke klanten moeten IP-adressering plannen in Azure om ervoor te zorgen dat er geen overlappende IP-adresruimte is binnen de on-premises locaties en Azure-regio's.
- GEBRUIK IP-adressen van de adrestoewijzing voor privéinternets (Request for Comment (RFC) 1918).
- Voor omgevingen met beperkte beschikbaarheid van privé-IP-adressen (RFC 1918) kunt u overwegen IPv6 te gebruiken.
- Maak geen onnodig grote virtuele netwerken (bijvoorbeeld:
/16) om ervoor te zorgen dat er geen onnodige verspilling van IP-adresruimte is. - Maak geen virtuele netwerken zonder vooraf de vereiste adresruimte te plannen.
- Gebruik geen openbare IP-adressen voor virtuele netwerken, met name als de openbare IP-adressen niet bij de klant horen.
- Gebruik VNet-service-eindpunten om de toegang tot PaaS-services (Platform as a Service) vanuit een klant-VNet te beveiligen.
- Als u problemen met gegevensexfiltratie met service-eindpunten wilt oplossen, gebruikt u NVA-filters (Network Virtual Appliance) en VNet-service-eindpuntbeleid voor Azure Storage.
- Implementeer geen geforceerde tunneling om communicatie van Azure naar Azure-resources mogelijk te maken.
- Toegang tot Azure PaaS-services vanaf on-premises via Persoonlijke ExpressRoute-peering.
- Als u toegang wilt krijgen tot Azure PaaS-services vanuit on-premises netwerken wanneer VNet-injectie of Private Link niet beschikbaar is, gebruikt u ExpressRoute met Microsoft-peering wanneer er geen problemen zijn met gegevensexfiltratie.
- Repliceer geen on-premises perimeternetwerk (ook wel DMZ genoemd, gedemilitariseerde zone en gescreende subnet) concepten en architecturen in Azure.
- Zorg ervoor dat de communicatie tussen Azure PaaS-services die zijn geïnjecteerd in een virtueel netwerk, is vergrendeld binnen het virtuele netwerk met behulp van door de gebruiker gedefinieerde routes (UDR's) en netwerkbeveiligingsgroepen (NSG's).
- Gebruik geen VNet-service-eindpunten wanneer er problemen zijn met gegevensexfiltratie, tenzij NVA-filtering wordt gebruikt.
- Schakel VNet-service-eindpunten niet standaard in op alle subnetten.
Aanbevelingen voor configuratie
Houd rekening met de volgende aanbevelingen voor operationele uitmuntendheid bij het configureren van een virtueel Azure-netwerk:
| Aanbeveling | Beschrijving |
|---|---|
| Maak geen virtuele netwerken zonder vooraf de vereiste adresruimte te plannen. | Als u adresruimte toevoegt, treedt er een storing op zodra een virtueel netwerk is verbonden via peering van virtuele netwerken. |
| Gebruik VNet-service-eindpunten om de toegang tot PaaS-services (Platform as a Service) vanuit een klant-VNet te beveiligen. | Alleen wanneer Private Link niet beschikbaar is en er geen problemen zijn met gegevensexfiltratie. |
| Toegang tot Azure PaaS-services vanaf on-premises via Persoonlijke ExpressRoute-peering. | Gebruik VNet-injectie voor toegewezen Azure-services of Azure Private Link voor beschikbare gedeelde Azure-services. |
| Als u toegang wilt krijgen tot Azure PaaS-services vanuit on-premises netwerken wanneer VNet-injectie of Private Link niet beschikbaar is, gebruikt u ExpressRoute met Microsoft-peering wanneer er geen problemen zijn met gegevensexfiltratie. | Vermijdt transit via het openbare internet. |
| Repliceer geen on-premises perimeternetwerk (ook wel DMZ genoemd, gedemilitariseerde zone en gescreende subnet) concepten en architecturen in Azure. | Klanten kunnen vergelijkbare beveiligingsmogelijkheden in Azure krijgen als on-premises, maar de implementatie en architectuur moeten worden aangepast aan de cloud. |
| Zorg ervoor dat de communicatie tussen Azure PaaS-services die zijn geïnjecteerd in een virtueel netwerk, is vergrendeld binnen het virtuele netwerk met behulp van door de gebruiker gedefinieerde routes (UDR's) en netwerkbeveiligingsgroepen (NSG's). | Azure PaaS-services die zijn geïnjecteerd in een virtueel netwerk voeren nog steeds beheervlakbewerkingen uit met behulp van openbare IP-adressen. |