Integrace brány firewall služby Azure Stack Hub

Doporučujeme použít zařízení brány firewall k zabezpečení služby Azure Stack Hub. Brány firewall můžou pomoct bránit proti útokům DDOS (Distributed Denial-of-Service), detekci neoprávněných vniknutí a kontrole obsahu. Mohou se ale také stát kritickým bodem propustnosti pro služby Azure Storage, jako jsou objekty blob, tabulky a fronty.

Pokud se používá odpojený režim nasazení, musíte publikovat koncový bod služby AD FS. Další informace najdete v článku o identitě integrace datacentra.

Koncové body Azure Resource Manager (správce), portál pro správu a Key Vault (správce) nemusí nutně vyžadovat externí publikování. Například jako poskytovatel služeb můžete prostor pro útoky omezit pouze správou služby Azure Stack Hub z vaší sítě, a ne z internetu.

Pro podnikové organizace může být externí síť stávající podnikovou sítí. V tomto scénáři musíte publikovat koncové body pro provoz služby Azure Stack Hub z podnikové sítě.

Překlad síťových adres

Síťový překlad adres (NAT) je doporučená metoda, která virtuálnímu počítači nasazení (DVM) umožňuje přístup k externím prostředkům a internetu během nasazování a také virtuálním počítačům ERCS (Emergency Recovery Console) nebo privilegovanému koncovému bodu (PEP) během registrace a řešení potíží.

Překlad adres (NAT) může být také alternativou k veřejným IP adresům v externí síti nebo veřejných IP adresách. Nedoporučuje se to ale, protože omezuje uživatelské prostředí tenanta a zvyšuje složitost. Jednou z možností je jeden až jeden překlad adres (NAT), který stále vyžaduje jednu veřejnou IP adresu na IP adresu uživatele ve fondu. Další možností je mnoho k jednomu překladu adres (NAT), které vyžaduje pravidlo PŘEKLADU adres (NAT) pro všechny porty, které může uživatel použít.

Mezi nevýhody použití překladu adres (NAT) pro veřejné VIRTUÁLNÍ IP adresy patří:

  • Překlad adres (NAT) přidává režii při správě pravidel brány firewall, protože uživatelé řídí vlastní koncové body a vlastní pravidla publikování v zásobníku softwarově definovaných sítí (SDN). Uživatelé musí kontaktovat operátora služby Azure Stack Hub, aby získali publikované virtuální IP adresy a aktualizovali seznam portů.
  • I když využití překladu adres (NAT) omezuje uživatelské prostředí, dává operátorovi úplnou kontrolu nad požadavky na publikování.
  • V případě hybridních cloudových scénářů s Azure zvažte, že Azure nepodporuje nastavení tunelu VPN ke koncovému bodu pomocí překladu adres (NAT).

Zachytávání SSL

V současné době se doporučuje zakázat veškeré zachytávání SSL (například dešifrování přesměrování načítání) u všech přenosů ve službě Azure Stack Hub. Pokud je podporována v budoucích aktualizacích, zobrazí se pokyny k povolení zachytávání SSL pro Azure Stack Hub.

Scénář brány firewall Edge

V hraničním nasazení je služba Azure Stack Hub nasazená přímo za hraničním směrovačem nebo bránou firewall. V těchto scénářích je podporováno, aby brána firewall byla nad hranicí (Scénář 1), kde podporuje konfigurace brány firewall aktivní-aktivní i aktivní-pasivní nebo funguje jako hraniční zařízení (Scénář 2), kde podporuje pouze konfiguraci brány firewall s podporou aktivní-aktivní brány firewall, která se spoléhá na více cest s rovnými náklady (ECMP) s BGP nebo statickým směrováním pro převzetí služeb při selhání.

Veřejné směrovatelné IP adresy se zadají pro veřejný fond virtuálních IP adres z externí sítě v době nasazení. V hraničním scénáři se nedoporučuje používat veřejné směrovatelné IP adresy v žádné jiné síti pro účely zabezpečení. Tento scénář umožňuje uživateli zaznamenat úplné samoobslužné cloudové prostředí jako ve veřejném cloudu, jako je Azure.

Azure Stack Hub edge firewall example

scénář brány firewall Enterprise intranetu nebo hraniční sítě

V podnikovém intranetu nebo hraničním nasazení je služba Azure Stack Hub nasazená na bráně firewall s více zónami nebo mezi hraniční bránou firewall a interní bránou firewall podnikové sítě. Jeho provoz se pak distribuuje mezi zabezpečenou, hraniční síť (nebo DMZ) a nezabezpečené zóny, jak je popsáno níže:

  • Zabezpečená zóna: Jedná se o interní síť, která používá interní nebo podnikové směrovatelné IP adresy. Zabezpečenou síť je možné rozdělit, mít odchozí přístup k internetu prostřednictvím překladu adres (NAT) v bráně firewall a obvykle je přístupná odkudkoliv v datacentru prostřednictvím interní sítě. Všechny sítě služby Azure Stack Hub by se měly nacházet v zabezpečené zóně s výjimkou veřejného fondu virtuálních IP adres externí sítě.
  • Hraniční zóna. Hraniční síť je místo, kde se obvykle nasazují externí nebo internetové aplikace, jako jsou webové servery. Obvykle se monitoruje bránou firewall, aby se zabránilo útokům, jako jsou útoky DDoS a narušení (hacking), a přitom stále povoluje zadaný příchozí provoz z internetu. V zóně DMZ by se měl nacházet pouze veřejný fond virtuálních IP adres externí sítě služby Azure Stack Hub.
  • Nezabezpečená zóna. Toto je externí síť, internet. Nedoporučuje se nasazovat službu Azure Stack Hub v nezabezpečené zóně.

Azure Stack Hub perimeter network example

Další informace

Přečtěte si další informace o portech a protokolech používaných koncovými body služby Azure Stack Hub.

Další kroky

Požadavky na pki služby Azure Stack Hub