Planejar a conectividade de entrada e saída com a Internet
Este artigo lista considerações e recomendações para conectividade de entrada e saída entre o Azure e a Internet pública.
Considerações de design
Os serviços de segurança de rede nativos do Azure, como o Firewall do Azure, o Firewall de Aplicativo Web do Azure (WAF) no Gateway de Aplicativo do Azure e a Porta da Frente do Azure, são totalmente gerenciados. Você não incorre nos custos operacionais e de gerenciamento e na complexidade das implantações de infraestrutura em escala.
Se a sua organização preferir usar NVAs (dispositivo virtual de rede) que não sejam do Azure ou para situações em que os serviços nativos não satisfaçam requisitos específicos, a arquitetura da zona de aterrissagem do Azure é totalmente compatível com NVAs de parceiros.
O Azure fornece vários métodos de conectividade direta de saída da Internet, como gateways NAT (conversão de endereços de rede) ou balanceadores de carga, para máquinas virtuais (VMs) ou instâncias de computação em uma rede virtual. O Gateway NAT do Azure é recomendado como padrão para habilitar a conectividade de saída, pois é operacionalmente o mais simples de configurar e é a opção mais escalável e eficiente entre todos os métodos de conectividade de saída disponíveis no Azure. Para obter mais informações, consulte Métodos de conectividade de saída do Azure.
Recomendações de design
Use o Gateway NAT do Azure para conectividade de saída direta com a Internet. Um gateway NAT é um serviço NAT totalmente gerenciado e altamente resiliente que fornece SNAT escalável e sob demanda.
Use um gateway NAT para:
- Cargas de trabalho dinâmicas ou grandes enviando tráfego para a internet.
- Endereços IP públicos estáticos e previsíveis para conectividade de saída. O gateway NAT pode ser associado a até 16 endereços IP públicos ou a um prefixo IP público /28.
- Mitigação de problemas com o esgotamento da porta SNAT comumente experimentados com regras de saída do balanceador de carga, Firewall do Azure ou Serviços de Aplicativo do Azure.
- Segurança e privacidade dos recursos dentro da sua rede. Somente o tráfego de saída e de retorno pode passar pelo gateway NAT.
Use o Firewall do Azure para governar:
- Tráfego de saída do Azure para a Internet.
- Conexões de entrada não-HTTP/S.
- Filtragem de tráfego Leste-Oeste, se a sua organização o exigir.
Use o Firewall Premium do Azure para recursos avançados de firewall, como:
- Inspeção TLS (Transport Layer Security).
- Um sistema de deteção e prevenção de intrusões na rede (IDPS).
- Filtragem de URL.
- Categorias da Web.
O Azure Firewall Manager suporta a WAN Virtual do Azure e redes virtuais regulares. Use o Gerenciador de Firewall com WAN Virtual para implantar e gerenciar firewalls do Azure em hubs de WAN Virtual ou em redes virtuais de hub.
Se você usar vários endereços IP e intervalos de forma consistente nas regras do Firewall do Azure, configure os Grupos IP no Firewall do Azure. Você pode usar os grupos IP no DNAT do Firewall do Azure, na rede e nas regras de aplicativo para vários firewalls em regiões e assinaturas do Azure.
Se você usar uma rota personalizada definida pelo usuário (UDR) para gerenciar a conectividade de saída com serviços PaaS (plataforma Azure as a service), especifique uma marca de serviço como o prefixo de endereço. As tags de serviço atualizam os endereços IP subjacentes automaticamente para incluir alterações e reduzir a sobrecarga de gerenciamento de prefixos do Azure em uma tabela de rotas.
Crie uma política global de Firewall do Azure para controlar a postura de segurança em todo o ambiente de rede global. Atribua a política a todas as instâncias do Firewall do Azure.
Permita que políticas granulares atendam aos requisitos específicos da região usando o controle de acesso baseado em função do Azure para delegar políticas incrementais às equipes de segurança locais.
Use o WAF dentro de uma rede virtual de zona de aterrissagem para proteger o tráfego HTTP/S de entrada da Internet.
Use as políticas do Azure Front Door e WAF para fornecer proteção global em todas as regiões do Azure para conexões HTTP/S de entrada para uma zona de aterrissagem.
Para usar o Azure Front Door e o Azure Application Gateway para ajudar a proteger aplicativos HTTP/S, use políticas WAF no Azure Front Door. Bloqueie o Gateway de Aplicativo do Azure para receber tráfego somente da Porta da Frente do Azure.
Se você precisar de NVAs de parceiros para conexões HTTP/S de entrada, implante-as em uma rede virtual de zona de pouso, juntamente com os aplicativos que eles protegem e expõem à Internet.
Para acesso de saída, não use o acesso de saída padrão da Internet do Azure para qualquer cenário. Os problemas enfrentados com o acesso de saída padrão incluem:
- Aumento do risco de exaustão da porta SNAT.
- Inseguro por padrão.
- Não pode depender de IPs de acesso padrão. Eles não são de propriedade do cliente e estão sujeitos a alterações.
Use um gateway NAT para zonas de aterrissagem online ou zonas de aterrissagem não conectadas à rede virtual do hub. Os recursos de computação que precisam de acesso de saída à Internet e não precisam da segurança do Firewall do Azure padrão ou premium, ou um NVA de terceiros, podem usar zonas de aterrissagem online.
Se sua organização quiser usar provedores de segurança de software como serviço (SaaS) para ajudar a proteger conexões de saída, configure parceiros suportados no Firewall Manager.
Se você usar NVAs de parceiros para filtragem e proteção de tráfego leste-oeste ou norte-sul:
- Para topologias de rede WAN virtual, implante os NVAs em uma rede virtual NVA separada. Conecte a rede virtual ao hub WAN virtual regional e às zonas de pouso que precisam de acesso aos NVAs. Para obter mais informações, consulte Cenário: rotear o tráfego por meio de um NVA.
- Para topologias de rede WAN não virtuais, implante os NVAs de parceiros na rede virtual do hub central.
Não exponha as portas de gerenciamento de VM à Internet. Para tarefas de gerenciamento:
- Use a Política do Azure para impedir a criação de VMs com IPs públicos.
- Use o Azure Bastion para acessar VMs de jumpbox.
Use os planos de proteção contra DDoS do Azure para ajudar a proteger os pontos de extremidade públicos que você hospeda em suas redes virtuais.
Não tente replicar conceitos e arquiteturas de rede de perímetro local no Azure. Embora o Azure tenha recursos de segurança semelhantes, a implementação e a arquitetura são adaptadas à nuvem.