Planowanie łączności przychodzącej i wychodzącej z Internetem

W tym artykule wymieniono zagadnienia i zalecenia dotyczące łączności przychodzącej i wychodzącej między platformą Azure a publicznym Internetem.

Uwagi dotyczące projektowania

• Natywne usługi zabezpieczeń sieci platformy Azure, takie jak Azure Firewall, Azure Web Application Firewall (WAF) w usłudze aplikacja systemu Azure Gateway i Azure Front Door, są w pełni zarządzane. Nie ponosisz kosztów operacyjnych i zarządzania oraz złożoności wdrożeń infrastruktury na dużą skalę.

• Jeśli Twoja organizacja wolisz używać wirtualnego urządzenia sieciowego platformy Azure (WUS) lub w sytuacjach, gdy usługi natywne nie spełniają określonych wymagań, architektura strefy docelowej platformy Azure jest w pełni zgodna z partnerskimi urządzeniami WUS.

• Platforma Azure udostępnia kilka bezpośrednich metod łączności wychodzącej z Internetu, takich jak bramy translatora adresów sieciowych (NAT) lub moduły równoważenia obciążenia, dla maszyn wirtualnych lub wystąpień obliczeniowych w sieci wirtualnej. Usługa Azure NAT Gateway jest zalecana jako domyślna opcja włączania łączności wychodzącej, ponieważ jest ona najprostsza do skonfigurowania i jest najbardziej skalowalną i wydajną opcją wśród wszystkich metod łączności wychodzącej dostępnych na platformie Azure. Aby uzyskać więcej informacji, zobacz Metody łączności wychodzącej platformy Azure.

Zalecenia dotyczące projektowania

• Użyj usługi Azure NAT Gateway, aby uzyskać bezpośrednią łączność wychodzącą z Internetem. Brama translatora adresów sieciowych to w pełni zarządzana, wysoce odporna usługa NAT, która zapewnia skalowalne i na żądanie SNAT.

  • Użyj bramy translatora adresów sieciowych dla:

    • Dynamiczne lub duże obciążenia wysyłające ruch do Internetu.
    • Statyczne i przewidywalne publiczne adresy IP dla łączności wychodzącej. Brama translatora adresów sieciowych może być skojarzona z maksymalnie 16 publicznymi adresami IP lub prefiksem publicznego adresu IP /28.
    • Ograniczenie problemów z wyczerpaniem portów SNAT często występuje w przypadku reguł ruchu wychodzącego modułu równoważenia obciążenia, usługi Azure Firewall lub usług aplikacja systemu Azure Services.
    • Bezpieczeństwo i prywatność zasobów w sieci. Tylko ruch wychodzący i zwrotny może przechodzić przez bramę translatora adresów sieciowych.

• Użyj usługi Azure Firewall, aby zarządzać:

  • Ruch wychodzący platformy Azure do Internetu.
  • Połączenia przychodzące inne niż HTTP/S.
  • Filtrowanie ruchu wschodnio-zachodniego, jeśli twoja organizacja tego wymaga.

• Użyj usługi Azure Firewall Premium , aby uzyskać zaawansowane możliwości zapory, takie jak:

  • Inspekcja protokołu Transport Layer Security (TLS).
  • System wykrywania i zapobiegania włamaniom do sieci (IDPS).
  • Filtrowanie adresów URL.
  • Kategorie sieci Web.

• Usługa Azure Firewall Manager obsługuje zarówno usługę Azure Virtual WAN , jak i zwykłe sieci wirtualne. Użyj menedżera zapory z usługą Virtual WAN, aby wdrożyć zapory platformy Azure i zarządzać nimi w koncentratorach usługi Virtual WAN lub w sieciach wirtualnych koncentratora.

• Jeśli używasz wielu adresów IP i zakresów spójnie w regułach usługi Azure Firewall, skonfiguruj grupy adresów IP w usłudze Azure Firewall. Grupy adresów IP można używać w regułach DNAT, sieci i aplikacji usługi Azure Firewall dla wielu zapór w różnych regionach i subskrypcjach platformy Azure.

• Jeśli używasz niestandardowej trasy zdefiniowanej przez użytkownika (UDR) do zarządzania łącznością wychodzącą z usługami azure platformy jako usługi (PaaS), określ tag usługi jako prefiks adresu. Tagi usługi aktualizują bazowe adresy IP automatycznie w celu uwzględnienia zmian i zmniejszają obciążenie związane z zarządzaniem prefiksami platformy Azure w tabeli tras.

• Utwórz globalne zasady usługi Azure Firewall, aby zarządzać stanem zabezpieczeń w globalnym środowisku sieciowym. Przypisz zasady do wszystkich wystąpień usługi Azure Firewall.

• Zezwalaj na szczegółowe zasady spełniające określone wymagania dotyczące regionów przy użyciu kontroli dostępu opartej na rolach platformy Azure w celu delegowania zasad przyrostowych do lokalnych zespołów ds. zabezpieczeń.

• Zapora aplikacji internetowej w sieci wirtualnej strefy docelowej umożliwia ochronę przychodzącego ruchu HTTP/S z Internetu.

• Zasady usługi Azure Front Door i zapory aplikacji internetowej umożliwiają zapewnienie globalnej ochrony między regionami platformy Azure na potrzeby przychodzących połączeń HTTP/S ze strefą docelową.

• Aby używać usług Azure Front Door i aplikacja systemu Azure Gateway w celu ochrony aplikacji HTTP/S, użyj zasad zapory aplikacji internetowej w usłudze Azure Front Door. Zablokuj aplikacja systemu Azure Gateway, aby odbierać ruch tylko z usługi Azure Front Door.

• Jeśli potrzebujesz wirtualnych urządzeń sieciowych partnerów dla przychodzących połączeń HTTP/S, wdróż je w sieci wirtualnej strefy docelowej wraz z aplikacjami, które chronią i uwidaczniają w Internecie.

• W przypadku dostępu wychodzącego nie używaj domyślnego dostępu wychodzącego z Internetu platformy Azure w żadnym scenariuszu. Problemy z domyślnym dostępem wychodzącym obejmują:

  • Zwiększone ryzyko wyczerpania portów SNAT.
  • Niezabezpieczone domyślnie.
  • Nie można zależeć od domyślnych adresów IP dostępu. Nie są własnością klienta i mogą ulec zmianie.

• Użyj bramy translatora adresów sieciowych dla stref docelowych online lub stref docelowych, które nie są połączone z siecią wirtualną koncentratora. Zasoby obliczeniowe, które wymagają wychodzącego dostępu do Internetu i nie wymagają zabezpieczeń usługi Azure Firewall w warstwie Standardowa lub Premium, ani urządzenia WUS innej firmy, mogą używać stref docelowych online.

• Jeśli Twoja organizacja chce używać dostawców zabezpieczeń typu oprogramowanie jako usługa (SaaS), aby chronić połączenia wychodzące, skonfiguruj obsługiwanych partnerów w programie Firewall Manager.

• Jeśli używasz wirtualnych urządzeń sieciowych partnerów do ochrony ruchu i filtrowania ruchu na wschód-zachód lub północ-południe:

  • W przypadku topologii sieci wirtualnej usługi Virtual WAN wdróż urządzenia WUS w oddzielnej sieci wirtualnej urządzenia WUS. Połączenie sieci wirtualnej do regionalnego koncentratora usługi Virtual WAN i stref docelowych, które wymagają dostępu do urządzeń WUS. Aby uzyskać więcej informacji, zobacz Scenariusz: kierowanie ruchu przez urządzenie WUS.
  • W przypadku topologii sieci niewirtualnej sieci WAN wdróż wirtualne urządzenia WUS partnera w centralnej sieci wirtualnej koncentratora.

• Nie uwidaczniaj portów zarządzania maszynami wirtualnymi w Internecie. W przypadku zadań zarządzania:

  • Użyj usługi Azure Policy , aby zapobiec tworzeniu maszyn wirtualnych z publicznymi adresami IP.
  • Użyj usługi Azure Bastion , aby uzyskać dostęp do maszyn wirtualnych serwera przesiadkowego.

• Użyj planów ochrony usługi Azure DDoS Protection , aby chronić publiczne punkty końcowe hostowane w sieciach wirtualnych.

• Nie próbuj replikować lokalnych pojęć i architektur sieci obwodowych na platformę Azure. Chociaż platforma Azure ma podobne możliwości zabezpieczeń, implementacja i architektura są dostosowane do chmury.