Планирование входящих и исходящих подключений к Интернету
В этой статье перечислены соображения и рекомендации по входящему и исходящему подключению между Azure и публичным интернетом.
Рекомендации по проектированию
Службы безопасности собственной сети Azure, такие как брандмауэра Azure, брандмауэр веб-приложений Azure (WAF) в шлюзе приложений Azureи Azure Front Door полностью управляются. Вы не несете затраты на эксплуатацию и управление и сложность развертываний инфраструктуры в большом масштабе.
Если ваша организация предпочитает использовать сетевое виртуальное устройство (не Azure) или в ситуациях, когда встроенные службы не соответствуют конкретным требованиям, архитектура целевой зоны Azure полностью совместима с виртуальными сетевыми устройствами партнеров.
Azure предоставляет несколько методов прямого исходящего подключения к Интернету, таких как шлюзы преобразования сетевых адресов (NAT) или подсистемы балансировки нагрузки для виртуальных машин или вычислительных экземпляров в виртуальной сети. шлюз Azure NAT рекомендуется использовать по умолчанию для включения исходящего подключения, так как он является самым простым для настройки, и является наиболее масштабируемым и эффективным вариантом среди всех методов исходящего подключения, доступных в Azure. Дополнительные сведения см. в методах исходящего подключения Azure.
Заметка
По состоянию на ноябрь 2024 года все развертывания брандмауэра Azure должны включать сетевой адаптер управления для разделения трафика управления и данных. Ранее требовался только для принудительного туннелирования, сетевой интерфейс управления теперь стал обязательным для будущих функций брандмауэра. Чтобы избежать нарушения работы службы, убедитесь, что брандмауэр развернут или обновлен с помощью этой функции. Сведения о существующих брандмауэрах см. в разделе Включение сетевого адаптера управления в существующих брандмауэрах.
Рекомендации по проектированию
Используйте шлюз Azure NAT для прямого исходящего подключения к Интернету. Шлюз NAT — это полностью управляемая, высоконадежная служба NAT, которая обеспечивает масштабируемую иSNAT по запросу.
Используйте шлюз NAT для:
- Динамические или большие рабочие нагрузки, отправляющие трафик в интернет.
- Статические и прогнозируемые общедоступные IP-адреса для исходящего подключения. ** Шлюз NAT может быть связан с количеством до 16 общедоступных IP-адресов или префиксом общедоступных IP-адресов /28.
- Устранение проблем с исчерпанием портов SNAT, которые часто возникают при использовании правил исходящего трафика подсистемы балансировки нагрузки , брандмауэра Azure или служб приложений Azure .
- Безопасность и конфиденциальность ресурсов в вашей сети. Через шлюз NAT может передаваться только исходящий и возвращаемый трафик.
Использование брандмауэра Azure для управления:
- Исходящий трафик Azure в Интернет.
- Входящие подключения, отличные от HTTP/S.
- Фильтрация трафика на востоке запада, если требуется для вашей организации.
Развертывание брандмауэра Azure с включенным сетевым адаптером управления
- Убедитесь, что AzureFirewallManagementSubnet создается заранее, чтобы избежать проблем с развертыванием при использовании существующей виртуальной сети с минимальным размером подсети /26
- Назначьте публичный IP-адрес сетевому адаптеру управления. Этот IP-адрес упрощает рабочие задачи брандмауэра, включая обновления и обмен данными об управлении.
- По умолчанию Azure связывает таблицу маршрутов, предоставляемую системой, с AzureFirewallManagementSubnet. Эта таблица включает маршрут по умолчанию в Интернет, и распространение маршрутов шлюза должно быть отключено.
Используйте Брандмауэр Azure Premium для расширенных возможностей брандмауэра, таких как:
- Проверка протокола TLS.
- Система обнаружения и предотвращения сетевых вторжений (IDPS).
- Фильтрация URL-адресов.
- Веб-категории.
Заметка
Для версий брандмауэра уровня "Стандартный" и "Премиум" сетевой адаптер управления брандмауэром должен быть включен вручную во время создания. Все базовые версии брандмауэра и все брандмауэры Защищенного концентратора всегда включают сетевой адаптер управления.
диспетчер брандмауэра Azure поддерживает виртуальной глобальной сети Azure и обычные виртуальные сети. Используйте диспетчер брандмауэров с виртуальной глобальной сетью для развертывания брандмауэров Azure в центрах виртуальной глобальной сети или в виртуальных сетях концентратора.
Если вы используете несколько IP-адресов и диапазонов последовательно в правилах брандмауэра Azure, настройте группы IP-адресов в брандмауэре Azure. Группы IP-адресов можно использовать в правилах DNAT, сети и приложений брандмауэра Azure для использования на нескольких брандмауэрах в различных регионах и подписках Azure.
Если вы используете настраиваемый определяемый пользователем маршрут (UDR) для управления исходящим подключением к службам Платформы Azure как услуга (PaaS), укажите тег службы в качестве префикса адреса. Теги служб автоматически обновляют базовые IP-адреса, чтобы включить изменения и сократить затраты на управление префиксами Azure в таблице маршрутов.
Заметка
Избегайте связывания таблиц маршрутов клиента с AzureFirewallManagementSubnet. Связывание пользовательских таблиц маршрутов с подсетью управления может привести к неправильной настройке и потенциальным сбоям служб. Если вы связываете таблицу маршрутов, убедитесь, что она имеет маршрут по умолчанию в Интернет, чтобы избежать сбоев в обслуживании.
Создайте глобальную политику брандмауэра Azure для управления безопасностью в глобальной сетевой среде. Назначьте политику всем экземплярам брандмауэра Azure.
Разрешите детализированные политики для удовлетворения конкретных требований к регионам с помощью управления доступом на основе ролей Azure для делегирования добавочных политик локальным командам безопасности.
Используйте WAF в виртуальной сети целевой зоны для защиты входящего трафика HTTP/S из Интернета.
Используйте политики Azure Front Door и WAF, чтобы обеспечить глобальную защиту между регионами Azure для входящих подключений HTTP/S к целевой зоне.
Чтобы использовать Azure Front Door и Шлюз приложений Azure для защиты приложений HTTP/S, используйте политики WAF в Azure Front Door. Блокировка шлюза приложений Azure для получения трафика только из Azure Front Door.
Если вам нужны партнёрские виртуальные устройства (NVA) для входящих подключений HTTP/S, разверните их в виртуальной сети начальной зоны вместе с приложениями, которые они защищают и открывают в Интернет.
Для исходящего доступа не используйте интернет-исходящий доступ Azure по умолчанию для любого сценария. Проблемы, связанные с исходящим доступом по умолчанию, включают:
- Повышенный риск исчерпания портов SNAT.
- Небезопасный по умолчанию.
- Нельзя полагаться на IP-адреса доступа по умолчанию. Они не принадлежат клиенту и подлежат изменению.
Используйте шлюз NAT для сетевых целевых зон или целевых зон, не подключенных к виртуальной сети концентратора. Вычислительные ресурсы, требующие исходящего доступа к Интернету и не нуждающиеся в безопасности брандмауэра Azure уровня "Стандартный" или "Премиум" или стороннего NVA, могут использовать сетевые целевые зоны.
Если ваша организация хочет использовать поставщики безопасности программного обеспечения как услуга (SaaS) для защиты исходящих подключений, настройте поддерживаемых партнеров в диспетчере брандмауэров.
Если вы используете NVAs партнера для защиты и фильтрации трафика в направлении восток-запад или север-юг:
- Для топологий виртуальной WAN-сети разверните NVA в отдельную виртуальную сеть NVA. Подключите виртуальную сеть к региональному концентратору виртуальной глобальной сети и целевым зонам, которым требуется доступ к сетевым сетям. Дополнительные сведения см. в разделе Сценарий: маршрутизация трафика через NVA.
- Для топологий сети, не относящихся к виртуальной глобальной сети WAN, разверните сетевые виртуальные устройства партнеров в центральной концентраторной виртуальной сети.
Не предоставляйте порты управления виртуальными машинами в Интернете. Для задач управления:
Используйте планы защиты от атак DDoS Azure для защиты общедоступных конечных точек, размещенных в виртуальных сетях.
Не пытайтесь реплицировать концепции и архитектуры локальной сети периметра в Azure. Хотя Azure имеет аналогичные возможности безопасности, его реализация и архитектура были адаптированы к облаку.