Firewall del data center in Azure Stack HCI

  • 9 minuti

La funzionalità del firewall del data center per SDN (Software Defined Networking) di Azure Stack HCI può potenzialmente contribuire a migliorare la sicurezza dell'ambiente. Il firewall del data center può anche ridurre la proliferazione di dispositivi hardware, a supporto delle iniziative di consolidamento dell'azienda. È necessario assicurarsi che le funzionalità del firewall del data center si estendano oltre la rete virtuale per fornire l'integrazione con l'ambiente di rete locale virtuale (VLAN) esistente.

Analogamente ai data center locali tradizionali che si basano su appliance firewall fisiche per limitare la connettività di rete, gli ambienti SDN devono essere in grado di controllare la connettività. Il firewall del data center distribuito offre questa funzionalità che, insieme al bilanciamento del carico software e al gateway RAS (Remote Access Server), funge da componente principale di SDN. Il controller di rete offre un'interfaccia centrale di gestione e monitoraggio per il firewall del data center per proteggere i carichi di lavoro virtualizzati dall'accesso alla rete non autorizzato.

Vantaggi del firewall del data center

I firewall tradizionali sono mirati alla connettività perimetrale, filtrando il traffico tra data center locali e Internet, secondo un approccio noto come comunicazione nord-sud. Questo approccio offre una protezione limitata nel mondo odierno, in cui il perimetro della rete ha meno rilevanza come limite di protezione.

Per garantire una protezione significativa in una strategia zero trust, i firewall devono anche proteggere le risorse all'interno di un data center da minacce interne. L'uso di firewall fisici per filtrare la comunicazione locale, detta anche traffico est-ovest, è problematico perché richiede un investimento hardware e un sovraccarico operativo aggiuntivi. Il routing di tutto il traffico protetto tramite un dispositivo fisico separato aumenta anche la latenza, il che influisce negativamente sui carichi di lavoro interni.

All'interno di Azure Stack HCI è possibile definire un filtro granulare basato sul software dei carichi di lavoro virtualizzati applicabile al traffico esterno e interno. Il firewall del data center fornisce questo filtro tramite elenchi di controllo di accesso (ACL) in reti logiche e virtuali.

Per gli amministratori di Azure Stack HCI, il firewall del data center offre i vantaggi seguenti:

  • Una soluzione firewall basata su software altamente scalabile che può essere gestita centralmente.
  • La possibilità di spostare macchine virtuali tra nodi del cluster Azure Stack HCI senza influire sulla configurazione del firewall.
  • Protezione delle macchine virtuali del tenant indipendentemente dal sistema operativo guest.

Per i tenant di Azure Stack HCI, il firewall del data center offre protezione a livello di rete negli scenari seguenti:

  • Carichi di lavoro con connessione Internet all'interno di reti virtuali e logiche di Azure Stack HCI.
  • Comunicazione all'interno e tra le subnet di reti virtuali e logiche di Azure Stack HCI.
  • Comunicazione tra reti di data center e carichi di lavoro di tenant ospitati da Azure Stack HCI.

Funzionalità del firewall del data center

Il firewall del data center è un firewall multi-tenant a livello di rete e con stato che supporta il filtro in base a qualsiasi combinazione di cinque parametri: numeri di porta di origine e di destinazione, indirizzi IP di origine e di destinazione e un protocollo. Il firewall del data center viene implementato come firewall distribuito, con criteri che è possibile applicare a livello di interfaccia di rete della macchina virtuale, di subnet di rete logica o di subnet della rete virtuale.

È possibile limitare il traffico tra carichi di lavoro virtualizzati nelle reti esterne e interne. Il controller di rete applica i criteri del firewall alle porte del commutatore virtuale dei nodi del cluster Azure Stack HCI che fungono da host Hyper-V. Questi criteri supportano i carichi di lavoro di Azure Stack HCI connessi alle reti basate su VLAN.

Per implementare il filtro del traffico basato sul firewall del data center, è necessario definire i criteri del firewall usando qualsiasi strumento di gestione che supporti la comunicazione con l'API REST (Representational State Transfer) del controller di rete rivolta a componenti superiori. Questi strumenti includono PowerShell, Windows Admin Center e Microsoft System Center Virtual Machine Manager (VMM).

Le regole vengono aggiornate automaticamente se le macchine virtuali vengono spostate tra nodi del cluster. Il controller di rete correggerà inoltre automaticamente eventuali deviazioni dai criteri definiti a causa di modifiche alla configurazione locale. Questo processo facilita la portabilità e garantisce che la protezione basata su firewall rimanga coerente.

Il diagramma seguente illustra il funzionamento del controller di rete con il firewall distribuito. Il firewall del data center usa i criteri per amministrare i firewall che proteggono le macchine virtuali.

Diagram depicting Network Controller with Distributed Firewall. Distributed Firewall is using policies to administer firewalls protecting VMs.