Softwarově definované sítě: Cloud DMZSoftware Defined Networking: Cloud DMZ

Architektura sítě Cloud DMZ umožňuje omezený přístup mezi místními i cloudovou sítí, a to pomocí virtuální privátní sítě (VPN) pro připojení sítí.The Cloud DMZ network architecture allows limited access between your on-premises and cloud-based networks, using a virtual private network (VPN) to connect the networks. I když se model DMZ běžně používá v případě, že chcete zabezpečit externí přístup k síti, architektura cloudových DMZ, kterou popisuje tady, je určená konkrétně k zabezpečení přístupu k místní síti z cloudových prostředků a naopak.Although a DMZ model is commonly used when you want to secure external access to a network, the Cloud DMZ architecture discussed here is intended specifically to secure access to the on-premises network from cloud-based resources and vice versa.

Zabezpečení hybridní síťové architektury

Tato architektura je navržená tak, aby podporovala scénáře, ve kterých vaše organizace chce zahájit integraci cloudových úloh s místními úlohami, ale nemusí mít plně prozatímované zásady zabezpečení cloudu nebo získaly zabezpečené vyhrazené připojení WAN mezi oběma prostředími.This architecture is designed to support scenarios where your organization wants to start integrating cloud-based workloads with on-premises workloads but may not have fully matured cloud security policies or acquired a secure dedicated WAN connection between the two environments. V důsledku toho by se měly cloudové sítě zacházet jako s DMZ, aby byly místní služby zabezpečené.As a result, cloud networks should be treated like a DMZ to ensure on-premises services are secure.

DMZ nasadí síťová virtuální zařízení (síťová virtuální zařízení), aby implementovala funkce zabezpečení, jako jsou brány firewall a kontrola paketů.The DMZ deploys network virtual appliances (NVAs) to implement security functionality such as firewalls and packet inspection. Přenos mezi místními a cloudovou aplikací nebo službami musí projít DMZ, kde se dá auditovat.Traffic passing between on-premises and cloud-based applications or services must pass through the DMZ where it can be audited. Připojení k síti VPN a pravidla určující, jaký provoz je povolený prostřednictvím sítě DMZ, jsou čistě řízeny bezpečnostními týmy IT.VPN connections and the rules determining what traffic is allowed through the DMZ network are strictly controlled by IT security teams.

Předpoklady cloudu DMZCloud DMZ assumptions

Nasazení cloudového DMZ zahrnuje tyto předpoklady:Deploying a Cloud DMZ includes the following assumptions:

  • Vaše týmy zabezpečení neodpovídaly plně místním a cloudovým požadavkům na zabezpečení a zásadám.Your security teams have not fully aligned on-premises and cloud-based security requirements and policies.
  • Vaše cloudové úlohy vyžadují přístup k omezené podmnožině služeb hostovaných na místních nebo jiných sítích, nebo uživatelé nebo aplikace v místním prostředí potřebují omezený přístup k prostředkům hostovaným v cloudu.Your cloud-based workloads require access to limited subset of services hosted on your on-premises or third-party networks, or users or applications in your on-premises environment need limited access to cloud-hosted resources.
  • Implementace připojení VPN mezi místními sítěmi a poskytovatelem cloudu nebrání podnikovým zásadám, zákonovým požadavkům ani problémům s technickými problémy s kompatibilitou.Implementing a VPN connection between your on-premises networks and cloud provider is not prevented by corporate policy, regulatory requirements, or technical compatibility issues.
  • Vaše úlohy nevyžadují více předplatných, aby bylo možné obejít omezení prostředků předplatného, nebo zahrnuje několik předplatných, ale nevyžaduje centrální správu připojení nebo sdílených služeb používaných prostředky rozloženými mezi více předplatných.Your workloads either do not require multiple subscriptions to bypass subscription resource limits, or they involve multiple subscriptions but don't require central management of connectivity or shared services used by resources spread across multiple subscriptions.

Při hledání implementace virtuální síťové architektury cloudové DMZ by týmy pro přijetí v cloudu měly brát v úvahu následující problémy:Your cloud adoption teams should consider the following issues when looking at implementing a Cloud DMZ virtual networking architecture:

  • Propojení místních sítí s cloudovou sítí zvyšuje složitost vašich požadavků na zabezpečení.Connecting on-premises networks with cloud networks increases the complexity of your security requirements. I když jsou připojení mezi cloudovou sítí a místním prostředím zabezpečená, je stále potřeba zajistit zabezpečení cloudových prostředků.Even though connections between cloud networks and the on-premises environment are secured, you still need to ensure cloud resources are secured. Všechny veřejné IP adresy vytvořené pro přístup ke cloudovým úlohám musí být správně zabezpečené pomocí DMZ nebo Azure firewall.Any public IPs created to access cloud-based workloads need to be properly secured using a public-facing DMZ or Azure Firewall.
  • Architektura cloudu DMZ se běžně používá jako krokování, zatímco připojení je dál zabezpečené a zarovnává se bezpečnostní zásady mezi místními a cloudovou sítí a umožňuje širší přijetí hybridní síťové architektury s plnou škálou.The Cloud DMZ architecture is commonly used as a stepping stone while connectivity is further secured and security policy aligned between on-premises and cloud networks, allowing a broader adoption of a full-scale hybrid networking architecture. Může se taky vztahovat na izolovaná nasazení s konkrétními požadavky na zabezpečení, identitu a připojení, které DMZ přístup ke cloudu.It may also apply to isolated deployments with specific security, identity, and connectivity needs that the Cloud DMZ approach satisfies.

Další informaceLearn more

Další informace o implementaci cloudového DMZu v Azure najdete v tématech:For more information about implementing a Cloud DMZ in Azure, see: