Поделиться через


Планирование входящего и исходящего подключения к Интернету

В этой статье перечислены рекомендации и рекомендации по входящего и исходящему подключению между Azure и общедоступным Интернетом.

Рекомендации по проектированию

  • Службы безопасности сети Azure, такие как Брандмауэр Azure, Azure Брандмауэр веб-приложений (WAF) в Шлюз приложений Azure, а Azure Front Door полностью управляются. Вы не несете затраты на эксплуатацию и управление и сложность развертываний инфраструктуры в большом масштабе.

  • Если ваша организация предпочитает использовать виртуальные виртуальные (модуль) (NVA) не azure или для ситуаций, когда собственные службы не соответствуют конкретным требованиям, архитектура целевой зоны Azure полностью совместима с сетевыми виртуальными сетями партнеров.

  • Azure предоставляет несколько методов прямого исходящего подключения к Интернету, таких как шлюзы преобразования сетевых адресов (NAT) или подсистемы балансировки нагрузки для виртуальных машин или вычислительных экземпляров в виртуальной сети. Шлюз NAT Azure рекомендуется использовать по умолчанию для включения исходящего подключения, так как он является самым простым для настройки и является наиболее масштабируемым и эффективным вариантом среди всех методов исходящего подключения, доступных в Azure. Дополнительные сведения см. в статье о методах исходящего подключения Azure.

Рекомендации по проектированию

  • Используйте шлюз Azure NAT для прямого исходящего подключения к Интернету. Шлюз NAT — это полностью управляемая, высоконадежная служба NAT, которая обеспечивает масштабируемую и по требованию SNAT.

    • Используйте шлюз NAT для:

      • Динамические или большие рабочие нагрузки, отправляя трафик в Интернет.
      • Статические и прогнозируемые общедоступные IP-адреса для исходящего подключения. Шлюз NAT может быть связан до 16 общедоступных IP-адресов или префикса общедоступного IP-адреса /28.
      • Устранение проблем с исчерпанием портов SNAT часто возникает с правилами исходящего трафика подсистемы балансировки нагрузки, Брандмауэр Azure или службами приложение Azure.
      • Безопасность и конфиденциальность ресурсов в вашей сети. Только исходящий и возвращаемый трафик могут передаваться через шлюз NAT.
  • Брандмауэр Azure позволяет управлять следующим:

    • Исходящий трафик Azure в Интернет.
    • Входящие подключения, отличные от HTTP/S.
    • Фильтрация трафика на востоке запада, если требуется для вашей организации.
  • Используйте Брандмауэр Azure Premium для расширенных возможностей брандмауэра, таких как:

    • Проверка протокола TLS.
    • Система обнаружения и предотвращения сетевых вторжений (IDPS).
    • Фильтрация URL-адресов.
    • Веб-категории.
  • Брандмауэр Azure Manager поддерживает как Azure Виртуальная глобальная сеть, так и обычные виртуальные сети. Используйте Диспетчер брандмауэра с виртуальной глобальной сетью для развертывания брандмауэров Azure и управления ими через концентраторы виртуальной глобальной сети или в виртуальных сетях концентратора.

  • Если в правилах Брандмауэр Azure последовательно используются несколько IP-адресов и диапазонов, настройте группы IP-адресов в Брандмауэр Azure. Группы IP можно использовать в Брандмауэр Azure правила DNAT, сети и приложений для нескольких брандмауэров в регионах и подписках Azure.

  • Если вы используете настраиваемый пользовательский маршрут (UDR) для управления исходящим подключением к службам Azure как услуга (PaaS), укажите тег службы в качестве префикса адреса. Теги служб автоматически обновляют базовые IP-адреса, чтобы включить изменения и сократить затраты на управление префиксами Azure в таблице маршрутов.

  • Создайте глобальную политику Брандмауэр Azure для управления безопасностью в глобальной сетевой среде. Назначьте политику всем экземплярам Брандмауэр Azure.

  • Разрешите детализированные политики для удовлетворения конкретных требований к регионам с помощью управления доступом на основе ролей Azure для делегирования добавочных политик локальным командам безопасности.

  • Используйте WAF в виртуальной сети с целевой зоны для защиты входящего трафика HTTP/S из Интернета.

  • Используйте политики Azure Front Door и WAF, чтобы обеспечить глобальную защиту в регионах Azure для входящих подключений к целевой зоне.

  • Чтобы использовать Azure Front Door и Шлюз приложений Azure для защиты приложений HTTP/S, используйте политики WAF в Azure Front Door. Заблокируйте шлюз приложений Azure для получения трафика только из Azure Front Door.

  • Если вам нужны сетевые сети партнеров для входящих подключений HTTP/S, разверните их в виртуальной сети целевой зоны вместе с приложениями, которые они защищают и предоставляют в Интернете.

  • Для исходящего доступа не используйте исходящий доступ Azure по умолчанию для любого сценария. Проблемы, связанные с исходящим доступом по умолчанию, включают:

    • Повышенный риск исчерпания портов SNAT.
    • Небезопасный по умолчанию.
    • Не удается зависеть от IP-адресов доступа по умолчанию. Они не принадлежат клиенту и подлежат изменению.
  • Используйте шлюз NAT для сетевых целевых зон или целевых зон, не подключенных к виртуальной сети концентратора. Вычислительные ресурсы, требующие исходящего доступа к Интернету и не нуждающиеся в безопасности Брандмауэр Azure уровня "Стандартный" или "Премиум" или сторонний NVA, могут использовать сетевые целевые зоны.

  • Если ваша организация хочет использовать поставщики безопасности программного обеспечения как услуга (SaaS) для защиты исходящих подключений, настройте поддерживаемых партнеров в диспетчере брандмауэров.

  • Если вы используете NVAs партнера для защиты трафика на востоке или на северо-юге:

    • Для топологий сети Виртуальная глобальная сеть разверните виртуальные сети в отдельной виртуальной сети NVA. Подключение виртуальную сеть к региональному центру Виртуальная глобальная сеть и целевым зонам, которым требуется доступ к NVA. Дополнительные сведения см. в разделе "Сценарий: маршрутизация трафика через NVA".
    • Для топологий сети, отличных от Виртуальная глобальная сеть, разверните сетевые сети партнеров в центральной виртуальной сети.
  • Не предоставляйте порты управления виртуальными машинами в Интернете. Для задач управления:

    • Используйте Политика Azure, чтобы предотвратить создание виртуальных машин с общедоступными IP-адресами.
    • Используйте Бастион Azure для доступа к виртуальным машинам jumpbox.
  • Используйте планы защиты от атак DDoS Azure для защиты общедоступных конечных точек, размещенных в виртуальных сетях.

  • Не пытайтесь реплика te локальные понятия и архитектуры сети периметра в Azure. Хотя Azure имеет аналогичные возможности безопасности, реализация и архитектура адаптированы к облаку.