Software Defined Networking: cloud DMZSoftware Defined Networking: Cloud DMZ

L'architettura di rete perimetrale nel cloud consente un accesso limitato fra la rete locale e quella basata sul cloud, usando una rete privata virtuale (VPN) per connettere le reti.The Cloud DMZ network architecture allows limited access between your on-premises and cloud-based networks, using a virtual private network (VPN) to connect the networks. Anche se un modello di rete perimetrale viene comunemente usato quando si vuole proteggere l'accesso esterno a una rete, l'architettura della rete perimetrale cloud descritta qui è progettata in modo specifico per proteggere l'accesso alla rete locale dalle risorse basate sul cloud e viceversa.Although a DMZ model is commonly used when you want to secure external access to a network, the Cloud DMZ architecture discussed here is intended specifically to secure access to the on-premises network from cloud-based resources and vice versa.

Architettura di rete ibrida sicura

Questa architettura è progettata per supportare scenari in cui l'organizzazione vuole iniziare a integrare carichi di lavoro basati sul cloud con carichi di lavoro locali, ma potrebbe non aver ancora maturato completamente i criteri di sicurezza nel cloud o acquisito una connessione WAN dedicata sicura fra i due ambienti.This architecture is designed to support scenarios where your organization wants to start integrating cloud-based workloads with on-premises workloads but may not have fully matured cloud security policies or acquired a secure dedicated WAN connection between the two environments. Di conseguenza, le reti cloud devono essere considerate come una rete perimetrale per garantire la sicurezza dei servizi locali.As a result, cloud networks should be treated like a DMZ to ensure on-premises services are secure.

La rete perimetrale distribuisce appliance virtuali di rete per implementare funzionalità di sicurezza quali firewall e ispezione dei pacchetti.The DMZ deploys network virtual appliances (NVAs) to implement security functionality such as firewalls and packet inspection. Il traffico che passa tra le applicazioni o i servizi locali e quelli basati sul cloud deve passare attraverso la rete perimetrale, dove può essere controllato.Traffic passing between on-premises and cloud-based applications or services must pass through the DMZ where it can be audited. Le connessioni VPN e le regole che determinano il traffico consentito attraverso la rete perimetrale sono rigidamente controllate dai team di sicurezza IT.VPN connections and the rules determining what traffic is allowed through the DMZ network are strictly controlled by IT security teams.

Presupposti relativi alle reti perimetrali nel cloudCloud DMZ assumptions

La distribuzione di una rete perimetrale Cloud include i presupposti seguenti:Deploying a Cloud DMZ includes the following assumptions:

  • I team di sicurezza non hanno allineato completamente i requisiti e i criteri di sicurezza locali e basati sul cloud.Your security teams have not fully aligned on-premises and cloud-based security requirements and policies.
  • I carichi di lavoro basati sul cloud richiedono l'accesso a un subset limitato di servizi ospitati nelle reti locali o di terze parti oppure gli utenti o le applicazioni nell'ambiente locale necessitano di un accesso limitato alle risorse ospitate nel cloud.Your cloud-based workloads require access to limited subset of services hosted on your on-premises or third-party networks, or users or applications in your on-premises environment need limited access to cloud-hosted resources.
  • L'implementazione di una connessione VPN tra le reti locali e un provider di servizi cloud non è impedita da criteri aziendali, requisiti normativi o problemi di compatibilità tecnica.Implementing a VPN connection between your on-premises networks and cloud provider is not prevented by corporate policy, regulatory requirements, or technical compatibility issues.
  • I carichi di lavoro non richiedono più sottoscrizioni per ignorare i limiti delle risorse di sottoscrizione oppure comportano più sottoscrizioni, ma non richiedono la gestione centrale della connettività o dei servizi condivisi usati dalle risorse distribuite in più sottoscrizioni.Your workloads either do not require multiple subscriptions to bypass subscription resource limits, or they involve multiple subscriptions but don't require central management of connectivity or shared services used by resources spread across multiple subscriptions.

I team di adozione del cloud devono prendere in considerazione i seguenti problemi quando si esamina l'implementazione di un'architettura di rete virtuale DMZ cloud:Your cloud adoption teams should consider the following issues when looking at implementing a Cloud DMZ virtual networking architecture:

  • La connessione di reti locali a reti cloud aumenta la complessità dei requisiti di sicurezza.Connecting on-premises networks with cloud networks increases the complexity of your security requirements. Anche se le connessioni tra le reti cloud e l'ambiente locale sono protette, è comunque necessario assicurarsi che le risorse cloud siano protette.Even though connections between cloud networks and the on-premises environment are secured, you still need to ensure cloud resources are secured. Tutti gli indirizzi IP pubblici creati per accedere ai carichi di lavoro basati sul cloud devono essere protetti correttamente usando una rete perimetrale pubblica o un firewall di Azure.Any public IPs created to access cloud-based workloads need to be properly secured using a public-facing DMZ or Azure Firewall.
  • L'architettura di rete perimetrale nel cloud viene generalmente usata come tappa in attesa che la connettività venga ulteriormente protetta e i criteri di sicurezza tra le reti locale e cloud vengano allineati, consentendo una più ampia adozione di un'architettura di rete ibrida completa.The Cloud DMZ architecture is commonly used as a stepping stone while connectivity is further secured and security policy aligned between on-premises and cloud networks, allowing a broader adoption of a full-scale hybrid networking architecture. Può anche essere applicabile a distribuzioni isolate con esigenze di sicurezza, identità e connettività specifiche che l'approccio alla rete perimetrale cloud soddisfa.It may also apply to isolated deployments with specific security, identity, and connectivity needs that the Cloud DMZ approach satisfies.

Altre informazioniLearn more

Per ulteriori informazioni sull'implementazione di una rete perimetrale cloud in Azure, vedere:For more information about implementing a Cloud DMZ in Azure, see: