Integrace brány firewall služby Azure Stack Hub
K zabezpečení služby Azure Stack Hub doporučujeme použít zařízení brány firewall. Brány firewall pomáhají chránit se před útoky typu DDOS (Distributed Denial-of-Service), detekce vniknutí a kontroly obsahu. Můžou se ale také stát kritickým bodem propustnosti pro služby úložiště Azure, jako jsou objekty blob, tabulky a fronty.
Pokud se používá režim odpojeného nasazení, musíte publikovat koncový bod služby AD FS. Další informace najdete v článku o identitě integrace datacentra.
Koncové body azure Resource Manager (správce), portálu pro správu a Key Vault (správce) nemusí nutně vyžadovat externí publikování. Jako poskytovatel služeb můžete například omezit prostor pro útoky tím, že budete spravovat službu Azure Stack Hub jenom z vaší sítě, a ne z internetu.
Pro podnikové organizace může být externí sítí stávající podniková síť. V tomto scénáři musíte publikovat koncové body pro provoz služby Azure Stack Hub z podnikové sítě.
Překlad síťových adres
Překlad adres (NAT) je doporučená metoda, která virtuálnímu počítači pro nasazení (DVM) umožňuje přístup k externím prostředkům a internetu během nasazování a také virtuálním počítačům konzoly ERCS (Emergency Recovery Console) nebo privilegovanému koncovému bodu (PEP) během registrace a řešení potíží.
Překlad adres (NAT) může být také alternativou k veřejným IP adresm v externí síti nebo veřejným virtuálním IP adresm. Nedoporučuje se to ale dělat, protože to omezuje uživatelské prostředí tenanta a zvyšuje složitost. Jednou z možností je překlad adres (NAT) 1:1, který stále vyžaduje jednu veřejnou IP adresu pro každou IP adresu uživatele ve fondu. Další možností je překlad adres (NAT) typu M:1, který vyžaduje pravidlo překladu adres (NAT) pro virtuální IP adresu uživatele pro všechny porty, které může uživatel používat.
Některé nevýhody použití překladu adres (NAT) pro veřejnou virtuální IP adresu jsou:
- Překlad adres (NAT) zvyšuje režii při správě pravidel brány firewall, protože uživatelé řídí své vlastní koncové body a vlastní pravidla publikování v zásobníku softwarově definovaných sítí (SDN). Uživatelé musí kontaktovat operátora služby Azure Stack Hub, aby mohli publikovat své virtuální IP adresy a aktualizovat seznam portů.
- Použití překladu adres (NAT) sice omezuje uživatelské prostředí, ale dává operátorovi plnou kontrolu nad požadavky publikování.
- V případě hybridních cloudových scénářů s Azure zvažte, že Azure nepodporuje nastavení tunelu VPN ke koncovému bodu pomocí překladu adres (NAT).
Zachytávání SSL
V současné době se doporučuje zakázat jakékoli zachytávání SSL (například přesměrování dešifrování) u veškerého provozu služby Azure Stack Hub. Pokud se to v budoucích aktualizacích podporuje, budou k dispozici pokyny k povolení zachycování SSL pro Službu Stack Hub.
Scénář brány firewall Edge
V hraničním nasazení se služba Azure Stack Hub nasazuje přímo za hraniční směrovač nebo bránu firewall. V těchto scénářích se podporuje, aby brána firewall byla nad hranicí (scénář 1), kde podporuje konfiguraci brány firewall aktivní-aktivní i aktivní-pasivní nebo funguje jako hraniční zařízení (scénář 2), kde podporuje pouze konfiguraci brány firewall aktivní-aktivní, která se spoléhá na ecmp (equal-cost multi-path) s BGP nebo statickým směrováním pro převzetí služeb při selhání.
Veřejné směrovatelné IP adresy se zadají pro veřejný fond virtuálních ip adres z externí sítě v době nasazení. V hraničním scénáři se nedoporučuje používat veřejné směrovatelné IP adresy v žádné jiné síti pro účely zabezpečení. Tento scénář umožňuje uživateli využít plně samoobslužné cloudové prostředí jako ve veřejném cloudu, jako je Azure.
Scénář brány firewall podnikového intranetu nebo hraniční sítě
V podnikovém intranetovém nebo hraničním nasazení se služba Azure Stack Hub nasazuje do vícezónové brány firewall nebo mezi hraniční bránou firewall a interní bránou firewall podnikové sítě. Provoz se pak distribuuje mezi zabezpečenou hraniční síť (neboli DMZ) a nezabezpečené zóny, jak je popsáno níže:
- Zabezpečená zóna: Jedná se o interní síť, která používá interní nebo podnikové směrovatelné IP adresy. Zabezpečená síť může být rozdělená, má přístup k odchozímu internetu prostřednictvím překladu adres (NAT) ve službě Firewall a obvykle je přístupná odkudkoliv v datacentru přes interní síť. Všechny sítě služby Azure Stack Hub by se měly nacházet v zabezpečené zóně s výjimkou veřejného fondu VIRTUÁLNÍch ip adres externí sítě.
- Hraniční zóna. Hraniční síť je místo, kde se obvykle nasazují externí nebo internetové aplikace, jako jsou webové servery. Obvykle je monitorovaná bránou firewall, aby se zabránilo útokům jako DDoS a vniknutí (hacking), a přitom stále povoluje zadaný příchozí provoz z internetu. V zóně DMZ by se měl nacházet pouze fond veřejných virtuálních IP adres externí sítě služby Azure Stack Hub.
- Nezabezpečená zóna. Toto je externí síť, internet. V nezabezpečené zóně se nedoporučuje nasazovat službu Azure Stack Hub.
Další informace
Přečtěte si další informace o portech a protokolech používaných koncovými body služby Azure Stack Hub.
Další kroky
Požadavky na infrastrukturu veřejných klíčů služby Azure Stack Hub
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro