Adatközponti tűzfal az Azure Stack HCI-n

  • 9 perc

Az Azure Stack HCI szoftveralapú hálózatkezelési (SDN) adatközponti tűzfalfunkciói segíthetnek a környezet biztonságának javításában. Az adatközponti tűzfal emellett minimalizálhatja a hardvereszközök terjeszkedésének számát, hogy támogassa a vállalat konszolidációs kezdeményezéseit. Gondoskodnia kell arról, hogy az adatközponti tűzfal képességei túlnyúljanak a virtuális hálózatkezelésen, hogy integrációt biztosítsanak a meglévő virtuális helyi hálózati (VLAN-) környezettel.

A hagyományos helyszíni adatközpontokhoz hasonlóan, amelyek fizikai tűzfalberendezéseket használnak a hálózati kapcsolat korlátozására, az SDN-környezeteknek is képesnek kell lenniük a kapcsolat vezérlésére. Az elosztott adatközpont tűzfala biztosítja ezt a funkciót, és a szoftveres terheléselosztási és távelérési kiszolgálói (RAS) átjáróval együtt az SDN alapvető összetevőjeként szolgál. A Hálózati vezérlő központi felügyeleti és monitorozási felületet biztosít az adatközponti tűzfalhoz, amely segít megvédeni a virtualizált számítási feladatokat a jogosulatlan hálózati hozzáféréssel szemben.

Az adatközponti tűzfal előnyei

A hagyományos tűzfalak célja a peremhálózati kapcsolatok, a helyszíni adatközpontok és az internet közötti forgalom szűrése, amelyet észak-déli kommunikációnak neveznek. Ez a megközelítés korlátozott védelmet nyújt a mai világban, ahol a hálózati szegély kisebb jelentőséggel bír, mint a védelmi határ.

Ahhoz, hogy értelmes védelmet nyújtson a megbízható zéró megbízhatósági stratégiában, a tűzfalaknak az adatközpontban lévő erőforrásokat is védeni kell a belső fenyegetésektől. A fizikai tűzfalak használata a helyszíni kommunikáció szűréséhez, más néven a kelet-nyugati forgalom szűréséhez kihívást jelent, mivel ez további hardverbefektetést és működési többletterhelést igényel. Az összes védett forgalom külön fizikai eszközön keresztül történő átirányítása növeli a késést is, ami negatívan befolyásolja a belső számítási feladatokat.

Az Azure Stack HCI-ben a külső és belső forgalomra alkalmazható virtualizált számítási feladatok részletes szoftveralapú szűrését határozhatja meg. Az adatközponti tűzfal hozzáférés-vezérlési listákon (ACL-eken) keresztül biztosítja ezt a szűrést logikai és virtuális hálózatokban.

Az Azure Stack HCI-rendszergazdák számára a Datacenter Firewall a következő előnyöket nyújtja:

  • Nagy mértékben skálázható szoftveralapú tűzfalmegoldás, amely központilag felügyelhető.
  • Virtuális gépek (virtuális gépek) áthelyezése az Azure Stack HCI-fürtcsomópontok között a tűzfal konfigurációjának befolyásolása nélkül.
  • Bérlői virtuális gépek védelme a vendég operációs rendszertől függetlenül.

Az Azure Stack HCI-bérlők esetében az Adatközponti tűzfal hálózati szintű védelmet biztosít a következő esetekben:

  • Internetkapcsolattal rendelkező számítási feladatok az Azure Stack HCI virtuális és logikai hálózatán belül.
  • Kommunikáció az Azure Stack HCI virtuális és logikai hálózati alhálózatai között.
  • Az adatközpont-hálózatok és az Azure Stack HCI által üzemeltetett bérlői számítási feladatok közötti kommunikáció.

Az adatközpont tűzfalának funkciói

Az adatközponti tűzfal egy hálózati rétegű, állapotalapú, több-bérlős tűzfal, amely öt paraméter kombinációjával támogatja a szűrést: forrás- és célportszámok, forrás- és cél IP-címek, valamint protokollok használatával. Az adatközponti tűzfal elosztott tűzfalként van implementálva, a virtuális gép hálózati adapterén, logikai hálózati alhálózatán vagy virtuális hálózati alhálózati szintjén alkalmazható szabályzatokkal.

A virtualizált számítási feladatok közötti forgalmat a külső és a belső hálózatokon is korlátozhatja. A hálózati vezérlő a tűzfalszabályzatokat a Hyper-V-gazdagépként működő Azure Stack HCI-fürtcsomópontok virtuális kapcsolóportjaira alkalmazza. Ezek a szabályzatok támogatják a VLAN-alapú hálózatokhoz csatlakoztatott Azure Stack HCI-számítási feladatokat.

Az adatközponti tűzfalalapú forgalomszűrés implementálásához a tűzfalszabályzatokat minden olyan felügyeleti eszközzel definiálhatja, amely támogatja a hálózati vezérlő észak-keleti reprezentációs állapotátviteli (REST) API-jával való kommunikációt. Ilyen eszközök például a PowerShell, a Windows Rendszergazda Center és a Microsoft System Center Virtual Machine Manager (VMM).

A szabályok automatikusan frissülnek, ha virtuális gépeket helyez át fürtcsomópontok között. A Hálózati vezérlő emellett automatikusan elhárítja a helyi konfigurációváltozások miatt definiált szabályzatoktól való eltéréseket. Ez a folyamat megkönnyíti a hordozhatóságot, és biztosítja, hogy a tűzfalalapú védelem konzisztens maradjon.

Az alábbi ábra bemutatja, hogyan működik a Hálózati vezérlő az elosztott tűzfallal. Az adatközponti tűzfal szabályzatokkal felügyeli a virtuális gépeket védő tűzfalakat.

Diagram depicting Network Controller with Distributed Firewall. Distributed Firewall is using policies to administer firewalls protecting VMs.