Implementace zabezpečené hybridní sítě

Brána firewall

Load Balancer

Virtual Machines

Virtual Network

Tato referenční architektura obsahuje zabezpečenou hybridní síť, která rozšiřuje místní síť do Azure. Architektura implementuje DMZ (označované také jako hraniční síť) mezi místní sítí a virtuální sítí Azure. Veškerý příchozí a odchozí provoz projde přes Azure Firewall.

Stáhněte si soubor aplikace Visio s touto architekturou.

Referenční nasazení

Toto nasazení vytvoří dvě skupiny prostředků. první má napodobnou místní síť, druhou sadu sítí s rozbočovačem a paprskem. Napodobná místní síť a síť rozbočovače jsou připojené pomocí Azure Virtual Network Branch k vytvoření připojení typu Site-to-site. Tato konfigurace je velmi podobná způsobu připojení místního datacentra k Azure.

Dokončení tohoto nasazení může trvat až 45 minut. Doporučeným způsobem nasazení je použití možnosti portálu, která se nachází níže.

Pomocí následujícího tlačítka nasaďte odkaz pomocí Azure Portal.

Spuštěním následujícího příkazu nasaďte dvě skupiny prostředků a zabezpečenou referenční architekturu sítě pomocí Azure CLI.

Po zobrazení výzvy zadejte hodnoty pro uživatelské jméno a heslo správce. Tyto hodnoty se používají pro přihlášení k zahrnutým virtuálním počítačům.

az deployment sub create --location eastus \
    --template-uri https://raw.githubusercontent.com/mspnp/samples/master/solutions/secure-hybrid-network/azuredeploy.json

Spuštěním následujícího příkazu nasaďte dvě skupiny prostředků a zabezpečenou referenční architekturu sítě pomocí PowerShellu.

Po zobrazení výzvy zadejte hodnoty pro uživatelské jméno a heslo správce. Tyto hodnoty se používají pro přihlášení k zahrnutým virtuálním počítačům.

New-AzSubscriptionDeployment -Location eastus `
    -TemplateUri https://raw.githubusercontent.com/mspnp/samples/master/solutions/secure-hybrid-network/azuredeploy.json

Po dokončení nasazení ověřte připojení Site-to-site a Prohlédněte si nově vytvořené prostředky připojení. V Azure Portal vyhledejte "připojení" a Všimněte si, že se jedná o stav každého připojení.

Snímek obrazovky znázorňující stav připojení

Instance služby IIS nalezená v síti paprsků je k dispozici z virtuálního počítače umístěného v Prem síti. Vytvořte připojení k virtuálnímu počítači pomocí vloženého hostitele Azure bastionu, otevřete webový prohlížeč a přejděte na adresu nástroje pro vyrovnávání zatížení sítě aplikace.

Podrobné informace a další možnosti nasazení najdete v šablonách ARM použitých k nasazení tohoto řešení.

Zabezpečená hybridní síť

Případy použití

Tato architektura vyžaduje připojení k místnímu datovému centru s použitím brány VPN nebo připojení ExpressRoute. Obvyklá využití pro tuto architekturu:

Hybridní aplikace, kde úlohy běží částečně místně a částečně v Azure
Infrastruktura, která vyžaduje detailní kontrolu provozu v rámci služby Azure Virtual Network z místního datacentra.
Aplikace, které musí auditovat odchozí provoz. Často se jedná o zákonný požadavek mnoha komerčních systémů, který může pomoci zabránit zveřejnění soukromých informací.

Architektura

Tato architektura se skládá z následujících součástí.

Místní síť. Soukromá místní síť implementovaná v organizaci.
Virtuální síť Azure. Virtuální síť hostuje aplikaci a další prostředky běžící v Azure.
Brána. Brána poskytuje připojení mezi směrovači v místní síti a virtuální sítí. Brána je umístěná ve vlastní podsíti.
Azure firewall. Azure firewall je spravovaná brána firewall jako služba. Instance brány firewall je umístěná ve vlastní podsíti.
Trasy virtuální sítě. Trasy virtuální sítě definují tok provozu IP v rámci virtuální sítě Azure. V diagramu uvedeném výše jsou k dispozici dvě uživatelem definované směrovací tabulky.
- V podsíti brány jsou přenosy odesílané do podsítě webové vrstvy (10.0.1.0/24) směrovány prostřednictvím instance Azure Firewall.
- Vzhledem k tomu, že v podsíti webové vrstvy neexistuje žádná trasa k adresnímu prostoru samotné virtuální sítě, aby odkazovala na bránu Azure firewall, instance webové vrstvy můžou vzájemně komunikovat přímo, nikoli prostřednictvím Azure Firewall.
Poznámka

V závislosti na požadavcích připojení VPN můžete nakonfigurovat trasy Border Gateway Protocol (BGP), abyste implementovali pravidla předávání, která směrují provoz zpět prostřednictvím místní sítě.
Skupiny zabezpečení sítě. Pomocí skupin zabezpečení omezte síťový provoz v rámci virtuální sítě. Například v nasazení poskytovaném v této referenční architektuře může podsíť webové vrstvy umožňovat provoz TCP z místní sítě a z virtuální sítě. obchodní vrstva umožňuje provoz z webové vrstvy a Datová vrstva umožňuje provoz z obchodní vrstvy.
Bastionu. Azure bastionu vám umožňuje přihlásit se k virtuálním počítačům ve virtuální síti prostřednictvím SSH nebo protokolu RDP (Remote Desktop Protocol) bez vystavení virtuálních počítačů přímo na internetu. Použijte bastionu ke správě virtuálních počítačů ve virtuální síti.

Doporučení

Následující doporučení platí pro většinu scénářů. Pokud nemáte konkrétní požadavek, který by těmto doporučením nedopovídal, postupujte podle nich.

Doporučení pro řízení přístupu

Ke správě prostředků v aplikaci použijte řízení přístupu na základě role Azure (Azure RBAC) . Zvažte možnost vytvoření následujících vlastních rolí:

Role DevOps s oprávněními ke správě infrastruktury aplikace, nasazování komponent aplikací a sledování a restartování virtuálních počítačů.
Role centralizovaného správce IT ke správě a sledování síťových prostředků.
Role správce zabezpečení IT pro správu zabezpečených síťových prostředků, jako je brána firewall.

role DevOps a správce IT by neměli mít přístup k prostředkům brány firewall. Ty by měly být omezené na roli správce zabezpečení IT.

Doporučení pro skupinu prostředků

Prostředky Azure, jako jsou virtuální počítače, virtuální sítě a nástroje pro vyrovnávání zatížení, se dají snadno spravovat tak, že je seskupíte dohromady do skupin prostředků. Pokud chcete omezit přístup, přiřaďte k jednotlivým skupinám prostředků role Azure.

Doporučujeme vytvořit následující skupiny prostředků:

Skupina prostředků obsahující virtuální síť (s výjimkou virtuálních počítačů), skupin zabezpečení sítě a prostředky brány pro připojení k místní síti. Přiřaďte k této skupině prostředků roli centralizovaného správce IT.
Skupina prostředků obsahující virtuální počítače pro instanci Azure Firewall a uživatelem definované trasy pro podsíť brány. Přiřaďte k této skupině prostředků roli správce zabezpečení IT.
Oddělte skupiny prostředků pro jednotlivé vrstvy aplikace, které obsahují nástroj pro vyrovnávání zatížení a virtuální počítače. Chtěli bychom upozornit, že by tato skupina prostředků neměla obsahovat podsítě pro jednotlivé úrovně. Přiřaďte do této skupiny prostředků roli DevOps.

Doporučení pro sítě

Pokud chcete přijímat příchozí přenosy z Internetu, přidejte do Azure Firewall pravidlo pro Překlad cílové síťové adresy (DNAT).

Cílová adresa = veřejná IP adresa instance brány firewall.
Přeložená adresa = privátní IP adresa v rámci virtuální sítě.

Ukázkové nasazení směruje internetový provoz pro port 80 do nástroje pro vyrovnávání zatížení webové vrstvy.

Vynutit – tunelování všech odchozích internetových přenosů prostřednictvím místní sítě pomocí tunelového propojení sítě VPN typu Site-to-site a směrování na Internet pomocí překladu adres (NAT). Zabrání to náhodnému úniku jakýchkoli důvěrných informací uložených ve vaší datové vrstvě a umožní kontrolu a auditování veškerých odchozích přenosů.

Neblokujte zcela internetový provoz z aplikačních vrstev, protože to zabrání tomu, aby tyto úrovně používaly služby Azure PaaS, které spoléhají na veřejné IP adresy, jako je protokolování diagnostiky virtuálních počítačů, stahování rozšíření virtuálních počítačů a další funkce. Diagnostika Azure také vyžaduje, aby mohly komponenty číst účet Azure Storage a zapisovat do něj.

Ověřte, jestli se u odchozích přenosů z internetu správně vynucuje tunelové propojení. Pokud používáte připojení VPN se službou Směrování a vzdálený přístup na místním serveru, použijte nástroj, jako je třeba Wireshark.

Zvažte použití Application Gateway nebo front Azure pro ukončení protokolu SSL.

Aspekty zabezpečení

Podrobnosti o limitech šířky pásma VPN Gateway najdete v tématu SKU brány. Pro širší pásma zvažte vhodnost upgradu na bránu ExpressRoute. ExpressRoute poskytuje šířku pásma až 10 Gb/s s nižší latencí než připojení VPN.

Další informace o škálovatelnosti bran Azure najdete v části s informacemi týkajícími se škálovatelnosti v tématu Implementace hybridní síťové architektury s Azure a místní VPN a Implementace hybridní síťové architektury s Azure ExpressRoute.

Aspekty dostupnosti

Pokud používáte službu Azure ExpressRoute k zajištění připojení mezi virtuální sítí a místní sítí, nakonfigurujte bránu SÍTĚ VPN tak, aby poskytovala převzetí služeb při selhání, pokud se připojení ExpressRoute stane nedostupným.

Podrobnější informace o zachování dostupnosti připojení virtuální privátní sítě a ExpressRoute najdete v části s informacemi k dostupnosti v tématu Implementace hybridní síťové architektury s Azure a místní VPN a Implementace hybridní síťové architektury s Azure ExpressRoute.

Aspekty správy

Pokud je připojení brány z vaší místní sítě do Azure mimo provoz, můžete se k virtuálním počítačům ve virtuální síti Azure připojit i přes Azure Bastion.

Podsítě jednotlivých úrovní v referenční architektuře jsou chráněné pravidly skupiny zabezpečení sítě. Pravděpodobně bude potřeba vytvořit pravidlo pro otevření portu 3389 pro přístup přes protokol RDP (Remote Desktop Protocol) na virtuálních počítačích s Windows nebo portu 22 pro přístup přes SSH (Secure shell) na virtuálních počítačích s Linuxem. U dalších nástrojů správy a sledování se můžou vyžadovat pravidla pro otevření dalších portů.

Pokud používáte ExpressRoute pro připojení mezi místním datovým centrem a Azure, použijte ke sledování a řešení potíží s připojením Azure připojení Toolkit (AzureCT).

Další informace o monitorování a správě připojení VPN a ExpressRoute najdete v článku Implementace hybridní síťové architektury pomocí Azure a místní sítě VPN.

Důležité informace o zabezpečení

Tato referenční architektura implementuje více úrovní zabezpečení.

Směrování všech žádostí místních uživatelů prostřednictvím Azure Firewall

Trasa definovaná uživatelem v podsíti brány blokuje všechny požadavky uživatelů kromě požadavků přijatých z místního prostředí. Trasa předává povolené požadavky do brány firewall a tyto požadavky se předá do aplikace, pokud je pravidla brány firewall povolené. Můžete přidat další trasy, ale ujistěte se, že neúmyslně nevycházejí z brány firewall nebo neblokují provoz správy určený pro podsíť pro správu.

Použití skupin zabezpečení sítě k blokování/povolení přenosů mezi aplikačními vrstvami

Přenosy mezi vrstvami se omezují pomocí skupin zabezpečení sítě. Podniková vrstva blokuje veškeré přenosy, které nepochází z webové vrstvy, a datová vrstva blokuje veškeré přenosy, které nepochází z podnikové vrstvy. Pokud máte požadavek na rozšíření pravidel skupin zabezpečení sítě, aby byl možný k těmto vrstvám širší přístup, je nutné vzít v úvahu bezpečnostní rizika. Každá nová cesta příchozího přenosu představuje příležitost k náhodnému nebo záměrnému úniku dat nebo poškození aplikace.

Přístup DevOps

Pomocí Azure RBAC můžete omezit operace, DevOps mohou provádět na jednotlivých úrovních. Při udělování oprávnění postupujte podle principu nejnižší úrovně nutných oprávnění. Protokolujte všechny operace správy a provádějte pravidelné audity, abyste měli jistotu, že byly všechny změny konfigurace plánované.

Důležité informace o nákladech

K odhadu nákladů použijte cenovou kalkulačku Azure. Další důležité informace jsou popsány v části Náklady v Microsoft Azure Well-Architected Framework.

Tady jsou důležité informace o nákladech na služby používané v této architektuře.

Brána Azure Firewall

V této architektuře Azure Firewall nasazení ve virtuální síti, aby bylo možné řídit provoz mezi podsítí brány a podsítí, ve které běží aplikační vrstva. Tímto způsobem Azure Firewall nákladově efektivní, protože se používá jako sdílené řešení spotřebované více úlohami. Tady jsou Azure Firewall modely:

Pevná sazba za hodinu nasazení
Data zpracovaný na GB pro podporu automatického škálování.

V porovnání se síťovými virtuálními zařízeními (NVA) Azure Firewall můžete ušetřit až 30–50 %. Další informace najdete v Azure Firewall vs. NVA.

Azure Bastion

Azure Bastion se můžete bezpečně připojit k virtuálnímu počítači přes RDP a SSH, aniž byste na virtuálním počítači museli konfigurovat veřejnou IP adresu.

Fakturace bastionu je srovnatelná se základním virtuálním počítačem nízké úrovně nakonfigurovaným jako jumpbox. Porovnání Bastionu s jump boxem je Bastion cenově výhodnější vzhledem k integrovaným funkcím zabezpečení Bastionu a za úložiště a správu samostatného serveru se ne účtuly žádné další náklady.

Azure Virtual Network

Azure Virtual Network je zdarma. Každé předplatné může vytvořit až 50 virtuálních sítí napříč všemi oblastmi. Veškerý provoz, ke kterému dochází v rámci hranic virtuální sítě, je bezplatný. Takže pokud spolu dva virtuální počítače, které jsou ve stejné virtuální síti, vzájemně promluví, žádné poplatky se nesnížují.

Interní nástroj pro vyrovnávání zatížení

Základní vyrovnávání zatížení mezi virtuálními počítači, které se nacházejí ve stejné virtuální síti, je bezplatné.

V této architektuře se interní nástroje pro vyrovnávání zatížení používají k vyrovnávání zatížení provozu uvnitř virtuální sítě.

Další kroky

Naučte se implementovat hybridní síťové architektury s vysokou dostupností.
Další informace o správě zabezpečení sítě v Azure najdete v tématu Zabezpečení sítí a cloudových služeb Microsoftu.
Podrobné informace o ochraně prostředků v Azure najdete v tématu Začínáme se zabezpečením Microsoft Azure.
Další informace o zabezpečení připojení brány Azure najdete v tématu Implementace hybridní síťové architektury s Azure a místní vpn a Implementace hybridní síťové architektury s využitím Azure ExpressRoute.