UmkreisnetzwerkePerimeter networks

Umkreisnetzwerke sorgen für sichere Konnektivität zwischen Ihren Cloudnetzwerken und Ihren lokalen oder physischen Datencenternetzwerken (sowie für Internetkonnektivität).Perimeter networks enable secure connectivity between your cloud networks and your on-premises or physical datacenter networks, along with any connectivity to and from the internet. Ein Umkreisnetzwerk wird manchmal als „demilitarisierte Zone“ oder „DMZ“ bezeichnet.A perimeter network is sometimes called a demilitarized zone or DMZ.

Damit Umkreisnetzwerke effektiv sind, müssen eingehende Pakete über Sicherheitsgeräte geleitet werden, die in sicheren Subnetzen gehostet werden, bevor sie zu Back-End-Servern gelangen.For perimeter networks to be effective, incoming packets must flow through security appliances hosted in secure subnets before reaching back-end servers. Beispiele hierfür sind die Firewall, Intrusion-Detection-Systeme und Intrusion-Prevention-Systeme.Examples include the firewall, intrusion detection systems, and intrusion prevention systems. Von Workloads an das Internet gesendete Pakete sollten ebenfalls über die Sicherheitsgeräte im Umkreisnetzwerk geleitet werden, bevor sie das Netzwerk verlassen.Before they leave the network, internet-bound packets from workloads should also flow through the security appliances in the perimeter network. Dieser Fluss dient der Richtlinienerzwingung, Überprüfung und Überwachung.The purposes of this flow are policy enforcement, inspection, and auditing.

Umkreisnetzwerken nutzen die folgenden Azure-Funktionen und -Dienste:Perimeter networks make use of the following Azure features and services:

Hinweis

Azure-Referenzarchitekturen bieten Beispielvorlagen, die Sie für die Implementierung Ihrer eigenen Umkreisnetzwerke verwenden können:Azure reference architectures provide example templates that you can use to implement your own perimeter networks:

Normalerweise sind Ihr zentrales IT-Team und Ihre Sicherheitsteams für die Definition der Anforderungen und den Betrieb Ihrer Umkreisnetzwerke verantwortlich.Usually, your central IT team and security teams are responsible for defining requirements for operating your perimeter networks.

Beispiel für eine Hub-and-Spoke-Netzwerktopologie Abbildung 1: Beispiel für eine Hub-and-Spoke-NetzwerktopologieExample of a hub and spoke network topology Figure 1: Example of a hub and spoke network topology.

Das obige Diagramm enthält ein Beispiel für eine Hub-and-Spoke-Netzwerktopologie, in dem die Durchsetzung von zwei Umkreisnetzwerken mit Zugriff auf das Internet und ein lokales Netzwerk implementiert wird.The diagram above shows an example hub and spoke network topology that implements enforcement of two perimeters with access to the internet and an on-premises network. Beide Perimeter befinden sich im DMZ-Hub.Both perimeters reside in the DMZ hub. Im DMZ-Hub kann das Umkreisnetzwerk für das Internet hochskaliert werden und so viele Branchenanwendungen über mehrere Farmen von WAFs und Azure Firewall-Instanzen unterstützen, die zum Schutz der virtuellen Spoke-Netzwerke beitragen.In the DMZ hub, the perimeter network to the internet can scale up to support many lines of business via multiple farms of WAFs and Azure Firewall instances that help protect the spoke virtual networks. Der Hub ermöglicht je nach Bedarf außerdem Konnektivität über VPN oder Azure ExpressRoute.The hub also allows for connectivity via VPN or Azure ExpressRoute as needed.

Virtuelle NetzwerkeVirtual networks

Umkreisnetzwerke werden normalerweise mithilfe eines virtuellen Netzwerks mit mehreren Subnetzen erstellt, um verschiedene Arten von Diensten zu hosten, die den Internetdatenverkehr über virtuelle Netzwerkgeräte, WAFs und Azure Application Gateway-Instanzen filtern und überprüfen.Perimeter networks are typically built using a virtual network with multiple subnets to host the different types of services that filter and inspect traffic to or from the internet via NVAs, WAFs, and Azure Application Gateway instances.

Benutzerdefinierte RoutenUser-defined routes

Mithilfe von benutzerdefinierten Routen können Kunden Firewalls, Eindringschutzsysteme, Angriffserkennungssysteme und andere virtuelle Geräte bereitstellen.By using user-defined routes, customers can deploy firewalls, intrusion detection systems, intrusion prevention systems, and other virtual appliances. Kunden können den Netzwerkdatenverkehr zum Erzwingen von Sicherheitsrichtlinien, zur Überwachung und zur Überprüfung über diese Sicherheitsgeräte routen.Customers can then route network traffic through these security appliances for security boundary policy enforcement, auditing, and inspection. Benutzerdefinierte Routen können erstellt werden, um sicherzustellen, dass Datenverkehr durch die spezifischen benutzerdefinierten VMs, NVAs und Lastenausgleichsmodule geleitet wird.User-defined routes can be created to guarantee that traffic passes through the specified custom VMs, NVAs, and load balancers.

In einem Hub-and-Spoke-Netzwerkbeispiel erfordert die Gewährleistung, dass Datenverkehr, der von VMs erzeugt wird, die sich in der Spoke befinden, durch die richtigen virtuellen Geräte im Hub geleitet wird, eine benutzerdefinierte Route, die in den Subnetzen der Spoke definiert ist.In a hub and spoke network example, guaranteeing that traffic generated by virtual machines that reside in the spoke passes through the correct virtual appliances in the hub requires a user-defined route defined in the subnets of the spoke. Diese Route legt die Front-End-IP-Adresse des internen Lastenausgleichs als nächsten Hop fest.This route sets the front-end IP address of the internal load balancer as the next hop. Der interne Load Balancer verteilt den internen Datenverkehr auf die virtuellen Geräte (Back-End-Pool des Load Balancers).The internal load balancer distributes the internal traffic to the virtual appliances (load balancer back-end pool).

Azure FirewallAzure Firewall

Azure Firewall ist ein verwalteter, cloudbasierter Dienst zum Schutz Ihrer Azure Virtual Network-Ressourcen.Azure Firewall is a managed cloud-based service that helps protect your Azure Virtual Network resources. Es handelt sich dabei um eine vollständig zustandsbehaftete verwaltete Firewall mit integrierter Hochverfügbarkeit und uneingeschränkter Cloudskalierbarkeit.It's a fully stateful managed firewall with built-in high availability and unrestricted cloud scalability. Sie können Richtlinien zur Anwendungs- und Netzwerkkonnektivität übergreifend für Abonnements und virtuelle Netzwerke zentral erstellen, erzwingen und protokollieren.You can centrally create, enforce, and log application and network connectivity policies across subscriptions and virtual networks.

Azure Firewall verwendet eine statische öffentliche IP-Adresse für Ihre virtuellen Netzwerkressourcen.Azure Firewall uses a static public IP address for your virtual network resources. Dadurch können externe Firewalls Datenverkehr aus Ihrem virtuellen Netzwerk identifizieren.It allows outside firewalls to identify traffic that originates from your virtual network. Der Dienst arbeitet für Protokollierung und Analyse mit Azure Monitor zusammen.The service interoperates with Azure Monitor for logging and analytics.

Virtuelle NetzwerkgeräteNetwork virtual appliances

Umkreisnetzwerke mit Zugriff auf das Internet werden in der Regel über eine Azure Firewall-Instanz oder eine Farm von Firewalls oder Webanwendungsfirewalls verwaltet.Perimeter networks with access to the internet are typically managed through an Azure Firewall instance or a farm of firewalls or web application firewalls.

Verschiedene Geschäftsbereiche verwenden häufig viele Webanwendungen.Different lines of business commonly use many web applications. Diese Anwendungen weisen häufig unterschiedliche Sicherheitsrisiken und Exploits auf.These applications tend to suffer from various vulnerabilities and potential exploits. Eine Web Application Firewall erkennt Angriffe auf Webanwendungen (HTTP/S) genauer als eine generische Firewall.A Web Application Firewall detects attacks against web applications (HTTP/S) in more depth than a generic firewall. Verglichen mit herkömmlichen Firewalls stellen Web Application Firewalls einen Satz von bestimmten Features bereit, um den internen Webserver vor Bedrohungen zu schützen.Compared with tradition firewall technology, web application firewalls have a set of specific features to help protect internal web servers from threats.

Eine Azure Firewall-Instanz und eine Firewall eines [virtuellen Netzwerkgeräts] [NVA] werden jeweils über eine gemeinsame Verwaltungsebene mit Sicherheitsregeln ausgeführt, die die in den Spokes gehosteten Workloads schützen und den Zugriff auf lokale Netzwerke steuern.An Azure Firewall instance and a [network virtual appliance][nva] firewall use a common administration plane with a set of security rules to help protect the workloads hosted in the spokes and control access to on-premises networks. Azure Firewall verfügt über integrierte Skalierbarkeit, während NVA-Firewalls hinter einem Lastenausgleich manuell skaliert werden können.Azure Firewall has built-in scalability, whereas NVA firewalls can be manually scaled behind a load balancer.

Eine Firewallfarm verfügt im Allgemeinen im Vergleich zu einer Web Application Firewall über weniger spezialisierte Software. Sie hat jedoch einen umfassenderen Anwendungsbereich, sodass sie alle Arten von ein- und ausgehendem Datenverkehr filtern und überprüfen kann.A firewall farm typically has less specialized software compared with a WAF, but it has a broader application scope to filter and inspect any type of traffic in egress and ingress. Wenn Sie einen NVA-Ansatz verwenden, können Sie Software in Azure Marketplace ermitteln und bereitstellen.If you use an NVA approach, you can find and deploy the software from the Azure Marketplace.

Verwenden Sie eine Gruppe von Azure Firewall-Instanzen (oder virtuelle Netzwerkgeräte) für Datenverkehr aus dem Internet und eine andere Gruppe für Datenverkehr mit lokalem Ursprung.Use one set of Azure Firewall instances (or NVAs) for traffic that originates on the internet and another set for traffic that originates on-premises. Die Verwendung einer einzigen Gruppe von Firewalls für den gesamten Datenverkehr stellt ein Sicherheitsrisiko dar, da sie keinen wirksamen Sicherheitsbereich zwischen den beiden Arten von Netzwerkdatenverkehr bietet.Using only one set of firewalls for both is a security risk because it provides no security perimeter between the two sets of network traffic. Separate Firewallebenen vereinfachen die Überprüfung von Sicherheitsregeln und ermöglichen eine eindeutige Zuordnung von Regeln zu eingehenden Netzwerkanforderungen.Using separate firewall layers reduces the complexity of checking security rules and makes clear which rules correspond to which incoming network requests.

Azure Load BalancerAzure Load Balancer

Azure Load Balancer stellt einen Dienst mit hoher Verfügbarkeit der Ebene 4 (TCP, UDP) bereit, mit dem eingehender Datenverkehr zwischen Dienstinstanzen verteilt werden kann, die in einer Gruppe mit Lastenausgleich definiert sind.Azure Load Balancer offers a high-availability Layer 4 (TCP/UDP) service, which can distribute incoming traffic among service instances defined in a load-balanced set. Der Datenverkehr, der von den Front-End-Endpunkten (öffentliche IP-Endpunkte oder private IP-Endpunkte) an den Load Balancer gesendet wird, kann mit oder ohne Adressübersetzung auf einen Pool von Back-End-IP-Adressen weiterverteilt werden (z.B. NVAs oder VMs).Traffic sent to the load balancer from front-end endpoints (public IP endpoints or private IP endpoints) can be redistributed with or without address translation to a pool of back-end IP addresses (such as NVAs or VMs).

Azure Load Balancer kann auch die Integrität der verschiedenen Serverinstanzen testen.Azure Load Balancer can also probe the health of the various server instances. Wenn eine Instanz nicht auf einen Test reagiert, sendet der Lastenausgleich keinen weiteren Datenverkehr an die fehlerhafte Instanz.When an instance fails to respond to a probe, the load balancer stops sending traffic to the unhealthy instance.

Als Beispiel für die Verwendung einer Hub-and-Spoke-Netzwerktopologie kann ein externer Lastausgleich sowohl für den Hub als auch für die Spokes bereitgestellt werden.As an example of using a hub and spoke network topology, you can deploy an external load balancer to both the hub and the spokes. Im Hub leitet der Lastenausgleich Datenverkehr effizient an Dienste in den Spokes weiter.In the hub, the load balancer efficiently routes traffic to services in the spokes. In den Spokes verwalten Lastenausgleichsmodule Anwendungsdatenverkehr.In the spokes, load balancers manage application traffic.

Azure Front DoorAzure Front Door

Azure Front Door von Microsoft stellt eine hochverfügbare und hochgradig skalierbare Plattform für die Beschleunigung von Webanwendungen und einen globalen HTTPS-Lastenausgleich bereit.Azure Front Door is Microsoft's highly available and scalable web application acceleration platform and global HTTPS load balancer. Sie können Azure Front Door verwenden, Ihre dynamischen Webanwendungen und statischen Inhalte zu erstellen, auszuführen und aufzuskalieren.You can use Azure Front Door to build, operate, and scale out your dynamic web application and static content. Azure Front Door Service wird an mehr als 100 Standorten im Edgebereich des globalen Netzwerks von Microsoft ausgeführt.It runs in more than 100 locations at the edge of Microsoft's global network.

Azure Front Door stellt für Ihre Anwendung einheitliche Automatisierung der Regions-/Stempelwartung, BCDR-Automatisierung, einheitliche Client-/Benutzerinformationen, Zwischenspeicherung und Erkenntnisse zu Ihren Diensten bereit.Azure Front Door provides your application with unified regional/stamp maintenance automation, BCDR automation, unified client/user information, caching, and service insights. Die Plattform bietet Leistung, Zuverlässigkeit, Support-SLAs.The platform offers performance, reliability, and support SLAs. Außerdem bietet sie Konformitätszertifizierungen und überwachbare Sicherheitsverfahren, die von Azure entwickelt, betrieben und nativ unterstützt werden.It also offers compliance certifications and auditable security practices that are developed, operated, and supported natively by Azure.

Azure Application GatewayAzure Application Gateway

Azure Application Gateway ist ein dediziertes virtuelles Gerät, mit dem ein verwalteter Controller zur Anwendungsbereitstellung (Application Delivery Controller, ADC) bereitgestellt wird.Azure Application Gateway is a dedicated virtual appliance that provides a managed application delivery controller. Es bietet verschiedene Lastenausgleichsfunktionen der Ebene 7 für Ihre Anwendung.It offers various Layer 7 load-balancing capabilities for your application.

Mit Azure Application Gateway können Sie die Produktivität von Webfarmen optimieren, indem Sie die CPU-intensive SSL-Beendigung an das Anwendungsgateway auslagern.Azure Application Gateway allows you to optimize web farm productivity by offloading CPU-intensive SSL termination to the application gateway. Darüber hinaus werden weitere Routingfunktionen der Ebene 7 bereitgestellt. Hierzu gehören beispielsweise die Roundrobin-Verteilung des eingehenden Datenverkehrs, cookiebasierte Sitzungsaffinität, Routing auf URL-Pfadbasis und die Möglichkeit zum Hosten mehrerer Websites hinter einem einzelnen Anwendungsgateway.It also provides other Layer 7 routing capabilities, including round-robin distribution of incoming traffic, cookie-based session affinity, URL path-based routing, and the ability to host multiple websites behind a single application gateway.

Die Azure Application Gateway WAF-SKU enthält eine Web Application Firewall.The Azure Application Gateway WAF SKU includes a Web Application Firewall. Dieser SKU bietet Schutz für Webanwendungen vor allgemeinen Onlinesicherheitsrisiken und Exploits.This SKU provides protection to web applications from common web vulnerabilities and exploits. Sie können Azure Application Gateway als Gateway mit Internetzugriff, ein nur internes Gateway oder als Kombination dieser beiden Optionen konfigurieren.You can configure Azure Application Gateway as an internet-facing gateway, an internal-only gateway, or a combination of both.

Öffentliche IP-AdressenPublic IPs

Einige Azure-Features ermöglichen Ihnen, einer öffentlichen IP-Adresse Dienstendpunkte zuzuordnen, sodass über das Internet auf die Ressource zugegriffen werden kann.With some Azure features, you can associate service endpoints to a public IP address so that your resource can be accessed from the internet. Der Endpunkt verwendet die Netzwerkadressenübersetzung, um Datenverkehr zur internen Adresse und zum Port im virtuellen Azure-Netzwerk zu leiten.This endpoint uses network address translation (NAT) to route traffic to the internal address and port on the Azure virtual network. Dieser Pfad ist der primäre Weg, auf dem externer Datenverkehr in das virtuelle Netzwerk gelangt.This path is the primary way for external traffic to pass into the virtual network. Sie können die öffentlichen IP-Adressen konfigurieren, um festzulegen, welcher Datenverkehr zugelassen wird bzw. wie und wo eine Übersetzung in das virtuelle Netzwerk stattfindet.You can configure public IP addresses to determine what traffic is passed in, and how and where it's translated onto the virtual network.

Azure DDoS Protection StandardAzure DDoS Protection Standard

Azure DDoS Protection Standard stellt über den Diensttarif Basic hinaus zusätzliche Funktionen zur Bedrohungsabwehr bereit, die speziell für Azure Virtual Network-Ressourcen optimiert sind.Azure DDoS Protection Standard provides additional mitigation capabilities over the basic service tier that are tuned specifically to Azure Virtual Network resources. DDoS Protection Standard kann auf einfache Weise aktiviert werden und erfordert keine Änderungen der Anwendung.DDoS protection standard is simple to enable and requires no application changes.

Sie können Schutzrichtlinien über dedizierte Datenverkehrsüberwachung und Machine Learning-Algorithmen optimieren.You can tune protection policies through dedicated traffic monitoring and machine-learning algorithms. Richtlinien werden auf öffentliche IP-Adressen angewendet, die in virtuellen Netzwerken bereitgestellten Ressourcen zugeordnet sind.Policies are applied to public IP addresses associated to resources deployed in virtual networks. Beispiele hierfür sind Instanzen von Azure Load Balancer, Application Gateway und Service Fabric.Examples include Azure Load Balancer, Application Gateway, and Service Fabric instances.

Über Azure Monitor-Ansichten steht Echtzeittelemetrie sowohl während eines Angriffs als auch für den Verlauf zur Verfügung.Real-time telemetry is available through Azure Monitor views both during an attack and for historical purposes. Mit der Web Application Firewall in Azure Application Gateway können Sie Schutz auf Anwendungsebene hinzufügen.You can add application-layer protection by using the Web Application Firewall in Azure Application Gateway. Der Schutz wird für öffentliche Azure-IPv4-Adressen bereitgestellt.Protection is provided for IPv4 Azure public IP addresses.