Partilhar via

Planejar a conectividade de entrada e saída com a Internet

  • Artigo

Este artigo lista considerações e recomendações para conectividade de entrada e saída entre o Azure e a Internet pública.

Considerações de design

  • Os serviços de segurança de rede nativos do Azure, como o Azure Firewall , o Firewall de Aplicativo Web (WAF) do Azure no Azure Application Gateway e o Azure Front Door , são totalmente geridos. Você não incorre nos custos operacionais e de gerenciamento e na complexidade das implantações de infraestrutura em escala.

  • Se a sua organização preferir usar NVAs (dispositivo virtual de rede) que não sejam do Azure ou em situações em que os serviços nativos não satisfaçam requisitos específicos, a arquitetura da zona de aterrissagem do Azure é totalmente compatível com NVAs de parceiros.

  • O Azure fornece vários métodos diretos de conectividade de saída da Internet, como gateways NAT (conversão de endereços de rede) ou balanceadores de carga, para máquinas virtuais (VMs) ou instâncias de computação em uma rede virtual. Gateway NAT do Azure é recomendado como padrão para habilitar a conectividade de saída, pois é operacionalmente o mais simples de configurar e é a opção mais escalável e eficiente entre todos os métodos de conectividade de saída disponíveis no Azure. Para obter mais informações, consulte métodos de conectividade de saída do Azure.

Observação

A partir de novembro de 2024, todas as implementações do Azure Firewall devem incluir uma interface de rede de gestão para separar o tráfego de gestão do de dados. Anteriormente necessária apenas para o Tunelamento Forçado, a NIC de Gerenciamento agora é obrigatória para os próximos recursos do Firewall. Para evitar a interrupção do serviço, verifique se o firewall está implantado ou atualizado com esse recurso habilitado. Para firewalls existentes, consulte Habilitar a NIC de gerenciamento em firewalls existentes.

Recomendações de design

  • Use o Gateway NAT do Azure para conectividade de saída direta com a Internet. Um gateway NAT é um serviço NAT totalmente gerenciado e altamente resiliente que fornece SNAT escalável e sob demanda.

    • Utilize um gateway NAT para:

      • Cargas de trabalho dinâmicas ou grandes enviando tráfego para a internet.
      • Endereços IP públicos estáticos e previsíveis para conectividade de saída. O gateway NAT pode ser associado a até 16 endereços IP públicos ou a um prefixo IP público /28.
      • Mitigação de problemas com o esgotamento da porta SNAT, frequentemente enfrentados com as regras de saída do balanceador de carga , o Firewall do Azure ou os Serviços de Aplicativo do Azure .
      • Segurança e privacidade dos recursos dentro da sua rede. Somente o tráfego de saída e de retorno pode passar pelo gateway NAT.

  • Use o Firewall do Azure para governar:

    • Tráfego de saída do Azure para a Internet.
    • Conexões de entrada que não são HTTP/S
    • Filtragem de tráfego Leste-Oeste, se a sua organização o exigir.

  • Implantar o Firewall do Azure com a NIC de Gerenciamento habilitada

    • Verifique se a AzureFirewallManagementSubnet é criada com antecedência para evitar problemas de implantação ao usar uma rede virtual existente, com um tamanho mínimo de sub-rede de /26
    • Atribua um endereço IP público à NIC de gerenciamento. Esse IP facilita as tarefas operacionais do firewall, incluindo atualizações e comunicações de gerenciamento.
    • Por padrão, o Azure associa uma tabela de rotas fornecida pelo sistema à AzureFirewallManagementSubnet. Esta tabela inclui uma rota padrão para a Internet e propagação de rotas de gateway deve ser desativada.

  • Utilize o Azure Firewall Premium para capacidades avançadas de firewall, como:

    • Inspeção do TLS (Transport Layer Security).
    • Um sistema de deteção e prevenção de intrusões na rede (IDPS).
    • Filtragem de URL.
    • Categorias da Web.

Observação

Para as versões de firewall Standard e Premium, a NIC de Gerenciamento de Firewall deve ser habilitada manualmente durante o processo de criação. Todas as versões do Firewall Básico e todos os firewalls do Secured Hub sempre têm uma NIC de Gerenciamento habilitada.

  • Azure Firewall Manager dá suporte tanto a WAN Virtual do Azure como a redes virtuais regulares. Use o Gerenciador de Firewall com WAN Virtual para implantar e gerenciar firewalls do Azure em hubs de WAN Virtual ou em redes virtuais de hub.

  • Se usar vários endereços IP e intervalos de forma consistente em regras no Azure Firewall, configure Grupos IP no Azure Firewall. Você pode usar os grupos de IP nas regras de DNAT, rede e aplicação do Firewall do Azure para múltiplos firewalls em várias regiões e assinaturas do Azure.

  • Se utilizar uma rota definida pelo utilizador personalizada (UDR) para gerir a conectividade de saída com serviços de Plataforma como um Serviço (PaaS) da plataforma Azure, especifique uma etiqueta de serviço como o prefixo de endereço. As tags de serviço atualizam os endereços IP subjacentes automaticamente para incluir alterações e reduzir a sobrecarga de gerenciamento de prefixos do Azure em uma tabela de rotas.

Observação

Evite associar tabelas de rotas do cliente ao AzureFirewallManagementSubnet. Associar tabelas de rotas personalizadas à sub-rede de gerenciamento pode levar a configurações incorretas e possíveis interrupções de serviço. Se você associar uma tabela de rotas, verifique se ela tem uma rota padrão para a Internet para evitar interrupções do serviço.

  • Crie uma política global de Firewall do Azure para controlar a postura de segurança em todo o ambiente de rede global. Atribua a política a todas as instâncias do Firewall do Azure.

  • Permita que políticas granulares atendam aos requisitos específicos da região usando o controle de acesso baseado em função do Azure para delegar políticas incrementais às equipes de segurança locais.

  • Use o WAF dentro de uma rede virtual de zona de aterrissagem para proteger o tráfego HTTP/S de entrada da Internet.

  • Use as políticas do Azure Front Door e WAF para fornecer proteção global em todas as regiões do Azure para conexões HTTP/S de entrada para uma zona de aterrissagem.

  • Para usar o Azure Front Door e o Azure Application Gateway para ajudar a proteger aplicativos HTTP/S, use políticas WAF no Azure Front Door. Bloqueie o Gateway de Aplicativo do Azure para receber tráfego somente da Porta da Frente do Azure.

  • Se você precisar de NVAs de parceiros para conexões HTTP/S de entrada, implante-os em uma rede virtual de zona de destino, juntamente com os aplicativos que eles protegem e expõem à Internet.

  • Para acesso de saída, não use o acesso de saída à Internet padrão do Azure em nenhum cenário. Os problemas enfrentados com o acesso de saída padrão incluem:

    • Aumento do risco de exaustão da porta SNAT.
    • Inseguro por padrão.
    • Não pode depender de IPs de acesso padrão. Eles não são de propriedade do cliente e estão sujeitos a alterações.

  • Use um gateway NAT para zonas de aterrissagem online ou zonas de aterrissagem não conectadas à rede virtual do hub. Os recursos de computação que precisam de acesso de saída à Internet e não precisam da segurança do Firewall do Azure padrão ou premium, ou de um NVA de terceiros, podem usar zonas de aterrissagem online.

  • Se sua organização quiser usar provedores de segurança de software como serviço (SaaS) para ajudar a proteger conexões de saída, configure parceiros suportados no Firewall Manager.

  • Se você usa NVAs de parceiros para proteção e filtragem de tráfego leste-oeste ou norte-sul:

    • Para topologias de rede WAN virtual, implante os NVAs em uma rede virtual NVA separada. Conecte a rede virtual ao hub WAN virtual regional e às zonas de pouso que precisam de acesso aos NVAs. Para obter mais informações, consulte o Cenário : Encaminhar o tráfego por um NVA.
    • Para topologias de rede WAN não virtuais, implemente os NVAs de parceiros na rede virtual do hub central.

  • Não exponha as portas de gerenciamento de VM à Internet. Para tarefas de gerenciamento:

    • Utilizar o Azure Policy para impedir a criação de VMs com IPs públicos.
    • Use o Azure Bastion para aceder às VMs jumpbox.

  • Use planos de proteção contra DDoS do Azure para ajudar a proteger os pontos finais públicos que hospeda nas suas redes virtuais.

  • Não tente replicar conceitos e arquiteturas de rede de perímetro local no Azure. Embora o Azure tenha recursos de segurança semelhantes, sua implementação e arquitetura foram adaptadas à nuvem.