Azure Stack Hub brány firewall

Doporučuje se použít zařízení brány firewall, které vám pomůže zabezpečit Azure Stack Hub. Brány firewall můžou pomoct bránit věcem, jako jsou distribuované útoky SDO (Denial of Service), detekce neoprávněných vniknutí a kontrola obsahu. Stávají se ale také kritickým bodem propustnosti pro služby úložiště Azure, jako jsou objekty blob, tabulky a fronty.

Pokud se používá odpojený režim nasazení, musíte publikovat koncový AD FS nasazení. Další informace najdete v článku o identitě integrace datacentra.

Koncové Azure Resource Manager (správce), portál pro správu Key Vault koncové body (správce) nemusí nutně vyžadovat externí publikování. Jako poskytovatel služeb můžete například omezit možnosti útoku tím, že budete spravovat Azure Stack Hub z vaší sítě, a ne z internetu.

Pro podnikové organizace může být externí sítí stávající podniková síť. V tomto scénáři musíte publikovat koncové body, aby Azure Stack Hub z podnikové sítě.

Překlad síťových adres

Doporučeným způsobem, jak umožnit virtuálnímu počítači nasazení přistupovat během nasazení k externím prostředkům a internetu, a také virtuální počítače konzoly pro nouzové zotavení (ERCS) nebo privilegovaný koncový bod během registrace a řešení potíží, je překlad adres (NAT).

NAT může být také alternativou k veřejným IP adresám v externí síti nebo veřejným virtuálním IP adresám. Nedoporučuje se to ale dělat, protože omezuje uživatelské prostředí tenanta a zvyšuje složitost. Jednou z možností by byla adresa NAT 1:1, která stále vyžaduje jednu veřejnou IP adresu na IP adresu uživatele ve fondu. Další možností je naT M:1, který vyžaduje pravidlo nat pro každou VIP uživatele pro všechny porty, které může uživatel používat.

Mezi nevýhody použití naT pro veřejnou VIP se používá následující:

  • NAT zvyšuje režii při správě pravidel brány firewall, protože uživatelé řídí své vlastní koncové body a vlastní pravidla publikování v zásobníku softwarově definovaných sítí (SDN). Uživatelé musí kontaktovat operátora Azure Stack Hub, aby mohli publikovat své virtuální IP adresy a aktualizovat seznam portů.
  • Použití NAT sice omezuje uživatelské prostředí, ale dává operátorovi plnou kontrolu nad požadavky na publikování.
  • V případě scénářů hybridního cloudu s Azure se zamyslete nad tím, že Azure nepodporuje nastavení tunelu VPN pro koncový bod pomocí nat.

Zachycení SSL

V současné době se doporučuje zakázat zachycování SSL (například dešifrování snižování zátěže) na všech Azure Stack Hub provozu. Pokud se bude podporovat v budoucích aktualizacích, budou k dispozici pokyny k povolení zachycení SSL pro Azure Stack Hub.

Scénář hraniční brány firewall

V hraničním nasazení Azure Stack Hub nasazení přímo za hraničním směrovačem nebo bránou firewall. V těchto scénářích je podporováno, aby brána firewall byla nad ohraničením (scénář 1), kde podporuje konfigurace brány firewall aktivní-aktivní i aktivní-pasivní, nebo jako hraniční zařízení (scénář 2), kde podporuje pouze konfiguraci brány firewall aktivní-aktivní, která se spoléhá na ecmp (equal-cost multi-path) s protokolem BGP nebo statickým směrováním pro převzetí služeb při selhání.

Veřejné směrovatelné IP adresy jsou určené pro veřejný fond virtuálních IP adres z externí sítě v době nasazení. V hraničním scénáři se nedoporučuje používat veřejné směrovatelné IP adresy v žádné jiné síti pro účely zabezpečení. Tento scénář umožňuje uživateli prožít plně samoobslužné cloudové prostředí jako ve veřejném cloudu, jako je Azure.

Azure Stack Hub edge firewall example

Enterprise firewallu hraniční sítě nebo intranetu

V podnikovém intranetu nebo hraničním nasazení se Azure Stack Hub na vícezónovou bránu firewall nebo mezi hraniční bránou firewall a bránou firewall interní podnikové sítě. Jeho provoz se pak distribuuje mezi zabezpečenou hraniční síť (NEBO DMZ) a nezabezpečené zóny, jak je popsáno níže:

  • Zabezpečená zóna:Toto je interní síť, která používá interní nebo firemní směrovatelné IP adresy. Zabezpečenou síť je možné rozdělit, mít odchozí internetový přístup přes NAT v bráně firewall a je obvykle přístupná odkudkoli uvnitř vašeho datacentra přes interní síť. Všechny Azure Stack Hub sítě by se měly nacházet v zabezpečené zóně s výjimkou veřejného fondu virtuálních IP adresy externí sítě.
  • Hraniční zóna. Hraniční síť je místo, kde se obvykle nasazovat externí nebo internetové aplikace, jako jsou webové servery. Obvykle se monitoruje bránou firewall, aby se zabránilo útokům, jako jsou útoky DDoS a neoprávněný vniknutí (hacking), a přitom umožňuje zadaný příchozí provoz z internetu. V zóně DMZ by se měl Azure Stack Hub fond veřejných virtuálních IP Azure Stack Hub externí sítě.
  • Nezabezpečená zóna. Jedná se o externí síť, internet. Nedoporučuje se nasazovat Azure Stack Hub nezabezpečenou zónou.

Azure Stack Hub perimeter network example

Další informace

Další informace o portech a protokolech používaných Azure Stack Hub koncovými body.

Další kroky

Azure Stack Hub požadavků infrastruktury veřejných klíčů