Visão geral dos Serviços de Malha de Rede
O NFC (Network Fabric Controller) serve como host para os serviços NNF (Nexus Network Fabric), ilustrados no diagrama abaixo. Esses serviços permitem o acesso seguro à Internet para aplicativos e serviços locais. A comunicação entre aplicativos locais e serviços NNF é facilitada por meio de um serviço de Rota Expressa (VPN) especializado. Essa configuração permite que os serviços locais se conectem aos serviços NNF por meio da Rota Expressa em uma extremidade e acessem serviços baseados na Internet na outra extremidade.
Segurança aprimorada com o Nexus Network Fabric Proxy Management
O Nexus Network Fabric emprega um proxy robusto nativo da nuvem projetado para proteger a infraestrutura do Nexus e suas cargas de trabalho associadas. Esse proxy se concentra principalmente na prevenção de ataques de exfiltração de dados e na manutenção de uma lista de permissões controlada de URLs para conexões de instância NNF. Em combinação com o proxy na nuvem, o proxy NNF oferece segurança abrangente para redes de carga de trabalho. Há dois aspectos distintos desse sistema: o Proxy de Gerenciamento de Infraestrutura, que manipula todo o tráfego de infraestrutura, e o Proxy de Gerenciamento de Carga de Trabalho, dedicado a facilitar a comunicação entre cargas de trabalho e pontos de extremidade públicos ou do Azure.
Sincronização de tempo otimizada com NTP (Managed Network Time Protocol)
O protocolo NTP (Network Time Protocol) é um protocolo de rede essencial que alinha as configurações de tempo de sistemas de computador em redes de comutação de pacotes. Na instância do Nexus do Operador do Azure, o NTP é fundamental para garantir as configurações de tempo consistentes em todos os nós de computação e dispositivos de rede. Esse nível de sincronização é crítico para as Funções de Rede (NFs) que operam na infraestrutura. Contribui significativamente para a eficácia das medidas de telemetria e segurança, mantendo a integridade e coordenação do sistema.
Recursos do Nexus Network Fabric
A seguir estão os principais recursos do Nexus Network Fabric.
Gateways de Internet
InternetGateways é um recurso crítico na arquitetura de rede, atuando como a ponte de conexão entre uma rede virtual e a Internet. Ele permite que máquinas virtuais e outras entidades dentro de uma rede virtual se comuniquem perfeitamente com serviços externos. Esses serviços variam de sites e APIs a vários serviços em nuvem, tornando o InternetGateways um componente versátil e essencial.
Propriedades
| Propriedade | Descrição |
|---|---|
| Nome | Serve como identificador exclusivo para o Internet Gateway. |
| Location | Especifica a região do Azure onde o Gateway da Internet está implantado, garantindo a conformidade e a otimização regionais. |
| Sub-redes | Define as sub-redes vinculadas ao Gateway da Internet, determinando os segmentos de rede que ele atende. |
| Endereço IP público | Atribui um endereço IP público ao gateway, permitindo interações de rede externa. |
| Rotas | Descreve as regras de roteamento e as configurações para gerenciar o tráfego pelo gateway. |
Casos de uso
- Acesso à Internet: facilita a conectividade com a Internet para recursos de rede virtual, cruciais para atualizações, downloads e acesso a serviços externos.
- Conectividade híbrida: ideal para cenários híbridos, permitindo conexões seguras entre redes locais e recursos do Azure.
- Balanceamento de carga: melhora o desempenho e a disponibilidade da rede distribuindo uniformemente o tráfego em vários gateways.
- Imposição de segurança: permite a implementação de políticas de segurança robustas, como restrições de tráfego de saída e mandatos de criptografia.
InternetGatewayRules
InternetGatewayRules representa um conjunto de regras associadas a um Gateway da Internet na Malha de Rede Gerenciada. Essas regras estabelecem diretrizes para permitir ou restringir o tráfego à medida que ele se move pelo Gateway da Internet, fornecendo uma estrutura para o gerenciamento de tráfego de rede.
Propriedades
| Propriedade | Descrição |
|---|---|
| Nome | Atua como o identificador exclusivo para cada regra. |
| Prioridade | Define a ordem de avaliação das regras, com precedência sobre regras de prioridade mais alta. |
| Ação | Determina a ação (por exemplo, permitir, negar) para o tráfego que corresponde aos critérios da regra. |
| Intervalo de endereços IP de origem | Identifica o intervalo de endereços IP de origem aplicável à regra. |
| Intervalo de endereços IP de destino | Define o intervalo de endereços IP de destino para a regra. |
| Protocolo | Especifica o protocolo de rede (por exemplo, TCP, UDP) relevante para a regra. |
| Intervalo de portas | Detalha o intervalo de portas da regra, se aplicável. |
Casos de uso
Filtragem de tráfego: InternetGatewayRules permite que as organizações controlem o tráfego de rede de entrada e saída com base em critérios específicos. Por exemplo, eles podem bloquear determinados intervalos de IP ou permitir apenas protocolos específicos.
Aplicando políticas de segurança: essas regras são fundamentais na implementação de medidas de segurança, como restringir o tráfego para melhorar a segurança da rede. Uma organização pode bloquear intervalos de IP mal-intencionados conhecidos ou limitar o tráfego para portas específicas para determinados serviços.
Garantia de conformidade: As regras também podem ser utilizadas para cumprir as normas regulatórias, limitando os tipos de tráfego, auxiliando assim na privacidade de dados e no controle de acesso.
Balanceamento de Carga de Tráfego: InternetGatewayRules pode distribuir o tráfego de rede em vários gateways para otimizar a utilização de recursos. Isso inclui priorizar ou limitar o tráfego com base nas necessidades dos negócios.
Perguntas frequentes
O suporte está disponível para pontos de extremidade HTTP?
A configuração padrão do Azure oferece suporte apenas a pontos de extremidade HTTPS para garantir uma comunicação segura. Não há suporte para pontos de extremidade HTTP como parte dessa medida de segurança. Ao priorizar o HTTPS, o Azure mantém altos padrões de integridade e privacidade de dados.
Como posso me proteger contra a exfiltração de dados?
Para fortalecer a segurança contra a exfiltração de dados, o Azure oferece suporte à permissão de FQDNs (Nomes de Domínio Totalmente Qualificados) específicos no proxy. Essa medida de segurança adicional garante que sua rede só possa ser acessada por tráfego aprovado, minimizando consideravelmente o potencial de movimentação não autorizada de dados.