Планирование входящего и исходящего подключения к Интернету
В этой статье перечислены рекомендации и рекомендации по входящего и исходящему подключению между Azure и общедоступным Интернетом.
Рекомендации по проектированию
Службы безопасности сети Azure, такие как Брандмауэр Azure, Azure Брандмауэр веб-приложений (WAF) в Шлюз приложений Azure, а Azure Front Door полностью управляются. Вы не несете затраты на эксплуатацию и управление и сложность развертываний инфраструктуры в большом масштабе.
Если ваша организация предпочитает использовать виртуальные виртуальные (модуль) (NVA) не azure или для ситуаций, когда собственные службы не соответствуют конкретным требованиям, архитектура целевой зоны Azure полностью совместима с сетевыми виртуальными сетями партнеров.
Azure предоставляет несколько методов прямого исходящего подключения к Интернету, таких как шлюзы преобразования сетевых адресов (NAT) или подсистемы балансировки нагрузки для виртуальных машин или вычислительных экземпляров в виртуальной сети. Шлюз NAT Azure рекомендуется использовать по умолчанию для включения исходящего подключения, так как он является самым простым для настройки и является наиболее масштабируемым и эффективным вариантом среди всех методов исходящего подключения, доступных в Azure. Дополнительные сведения см. в статье о методах исходящего подключения Azure.
Рекомендации по проектированию
Используйте шлюз Azure NAT для прямого исходящего подключения к Интернету. Шлюз NAT — это полностью управляемая, высоконадежная служба NAT, которая обеспечивает масштабируемую и по требованию SNAT.
Используйте шлюз NAT для:
- Динамические или большие рабочие нагрузки, отправляя трафик в Интернет.
- Статические и прогнозируемые общедоступные IP-адреса для исходящего подключения. Шлюз NAT может быть связан до 16 общедоступных IP-адресов или префикса общедоступного IP-адреса /28.
- Устранение проблем с исчерпанием портов SNAT часто возникает с правилами исходящего трафика подсистемы балансировки нагрузки, Брандмауэр Azure или службами приложение Azure.
- Безопасность и конфиденциальность ресурсов в вашей сети. Только исходящий и возвращаемый трафик могут передаваться через шлюз NAT.
Брандмауэр Azure позволяет управлять следующим:
- Исходящий трафик Azure в Интернет.
- Входящие подключения, отличные от HTTP/S.
- Фильтрация трафика на востоке запада, если требуется для вашей организации.
Используйте Брандмауэр Azure Premium для расширенных возможностей брандмауэра, таких как:
- Проверка протокола TLS.
- Система обнаружения и предотвращения сетевых вторжений (IDPS).
- Фильтрация URL-адресов.
- Веб-категории.
Брандмауэр Azure Manager поддерживает как Azure Виртуальная глобальная сеть, так и обычные виртуальные сети. Используйте Диспетчер брандмауэра с виртуальной глобальной сетью для развертывания брандмауэров Azure и управления ими через концентраторы виртуальной глобальной сети или в виртуальных сетях концентратора.
Если в правилах Брандмауэр Azure последовательно используются несколько IP-адресов и диапазонов, настройте группы IP-адресов в Брандмауэр Azure. Группы IP можно использовать в Брандмауэр Azure правила DNAT, сети и приложений для нескольких брандмауэров в регионах и подписках Azure.
Если вы используете настраиваемый пользовательский маршрут (UDR) для управления исходящим подключением к службам Azure как услуга (PaaS), укажите тег службы в качестве префикса адреса. Теги служб автоматически обновляют базовые IP-адреса, чтобы включить изменения и сократить затраты на управление префиксами Azure в таблице маршрутов.
Создайте глобальную политику Брандмауэр Azure для управления безопасностью в глобальной сетевой среде. Назначьте политику всем экземплярам Брандмауэр Azure.
Разрешите детализированные политики для удовлетворения конкретных требований к регионам с помощью управления доступом на основе ролей Azure для делегирования добавочных политик локальным командам безопасности.
Используйте WAF в виртуальной сети с целевой зоны для защиты входящего трафика HTTP/S из Интернета.
Используйте политики Azure Front Door и WAF, чтобы обеспечить глобальную защиту в регионах Azure для входящих подключений к целевой зоне.
Чтобы использовать Azure Front Door и Шлюз приложений Azure для защиты приложений HTTP/S, используйте политики WAF в Azure Front Door. Заблокируйте шлюз приложений Azure для получения трафика только из Azure Front Door.
Если вам нужны сетевые сети партнеров для входящих подключений HTTP/S, разверните их в виртуальной сети целевой зоны вместе с приложениями, которые они защищают и предоставляют в Интернете.
Для исходящего доступа не используйте исходящий доступ Azure по умолчанию для любого сценария. Проблемы, связанные с исходящим доступом по умолчанию, включают:
- Повышенный риск исчерпания портов SNAT.
- Небезопасный по умолчанию.
- Не удается зависеть от IP-адресов доступа по умолчанию. Они не принадлежат клиенту и подлежат изменению.
Используйте шлюз NAT для сетевых целевых зон или целевых зон, не подключенных к виртуальной сети концентратора. Вычислительные ресурсы, требующие исходящего доступа к Интернету и не нуждающиеся в безопасности Брандмауэр Azure уровня "Стандартный" или "Премиум" или сторонний NVA, могут использовать сетевые целевые зоны.
Если ваша организация хочет использовать поставщики безопасности программного обеспечения как услуга (SaaS) для защиты исходящих подключений, настройте поддерживаемых партнеров в диспетчере брандмауэров.
Если вы используете NVAs партнера для защиты трафика на востоке или на северо-юге:
- Для топологий сети Виртуальная глобальная сеть разверните виртуальные сети в отдельной виртуальной сети NVA. Подключение виртуальную сеть к региональному центру Виртуальная глобальная сеть и целевым зонам, которым требуется доступ к NVA. Дополнительные сведения см. в разделе "Сценарий: маршрутизация трафика через NVA".
- Для топологий сети, отличных от Виртуальная глобальная сеть, разверните сетевые сети партнеров в центральной виртуальной сети.
Не предоставляйте порты управления виртуальными машинами в Интернете. Для задач управления:
- Используйте Политика Azure, чтобы предотвратить создание виртуальных машин с общедоступными IP-адресами.
- Используйте Бастион Azure для доступа к виртуальным машинам jumpbox.
Используйте планы защиты от атак DDoS Azure для защиты общедоступных конечных точек, размещенных в виртуальных сетях.
Не пытайтесь реплика te локальные понятия и архитектуры сети периметра в Azure. Хотя Azure имеет аналогичные возможности безопасности, реализация и архитектура адаптированы к облаку.