Azure Stack Hub-firewallintegratie

  • Artikel
  • 3 minuten om te lezen

Het is raadzaam om een firewallapparaat te gebruiken om Azure Stack Hub te beveiligen. Firewalls kunnen helpen beschermen tegen zaken zoals DDOS-aanvallen (Distributed Denial-of-Service), inbraakdetectie en inhoudsinspectie. Ze kunnen echter ook een knelpunt voor doorvoer worden voor Azure-opslagservices, zoals blobs, tabellen en wachtrijen.

Als er een niet-verbonden implementatiemodus wordt gebruikt, moet u het AD FS-eindpunt publiceren. Zie het artikel over de integratie van datacenters voor meer informatie.

Voor de Eindpunten van Azure Resource Manager (beheerder), beheerdersportal en Key Vault (administrator) hoeft u niet per se extern te publiceren. Als serviceprovider kunt u bijvoorbeeld de kwetsbaarheid voor aanvallen beperken door alleen Azure Stack Hub vanuit uw netwerk te beheren en niet via internet.

Voor ondernemingen kan het externe netwerk het bestaande bedrijfsnetwerk zijn. In dit scenario moet u eindpunten publiceren om Azure Stack Hub uit te voeren vanuit het bedrijfsnetwerk.

Netwerkadresomzetting

Network Address Translation (NAT) is de aanbevolen methode om de virtuele implementatiemachine (DVM) toegang te geven tot externe bronnen en internet tijdens de implementatie, evenals de ERCS-VM's (Emergency Recovery Console) of het bevoegde eindpunt (PEP) tijdens de registratie en probleemoplossing.

NAT kan ook een alternatief zijn voor openbare IP-adressen in het externe netwerk of openbare VIP's. Het wordt echter niet aanbevolen om dit te doen omdat dit de gebruikerservaring van de tenant beperkt en de complexiteit verhoogt. Een optie is een één tot één NAT waarvoor nog steeds één openbaar IP-adres per gebruikers-IP-adres voor de groep is vereist. Een andere optie is een veel-op-een NAT waarvoor een NAT-regel per gebruikers-VIP is vereist voor alle poorten die een gebruiker kan gebruiken.

Enkele van de nadelen van het gebruik van NAT voor openbare VIP zijn:

  • NAT voegt overhead toe bij het beheren van firewallregels omdat gebruikers hun eigen eindpunten en hun eigen publicatieregels in de SDN-stack (Software Defined Networking) beheren. Gebruikers moeten contact opnemen met de Azure Stack Hub-operator om hun VIP's te kunnen publiceren en de poortlijst bij te werken.
  • Hoewel nat-gebruik de gebruikerservaring beperkt, heeft deze volledige controle over de operator over publicatieaanvragen.
  • Overweeg voor hybride cloudscenario's met Azure dat Azure geen ondersteuning biedt voor het instellen van een VPN-tunnel naar een eindpunt met BEHULP van NAT.

SSL-interceptie

Het wordt momenteel aanbevolen om ssl-interceptie (bijvoorbeeld offloading van ontsleuteling) uit te schakelen voor al het Verkeer van Azure Stack Hub. Als dit wordt ondersteund in toekomstige updates, worden er richtlijnen gegeven over het inschakelen van SSL-interceptie voor Azure Stack Hub.

Edge-firewallscenario

In een edge-implementatie wordt Azure Stack Hub direct achter de randrouter of de firewall geïmplementeerd. In deze scenario's wordt het ondersteund voor de firewall boven de rand (scenario 1) waar deze zowel actief-actief- als actief-passieve firewallconfiguraties ondersteunt of fungeert als het randapparaat (Scenario 2) waarbij alleen actief-actieve firewallconfiguratie wordt ondersteund die afhankelijk is van ecmp (equal-cost multi-path) met BGP of statische routering voor failover.

Openbare routeerbare IP-adressen worden opgegeven voor de openbare VIP-groep van het externe netwerk tijdens de implementatie. In een edge-scenario wordt het afgeraden om openbare routeerbare IP-adressen op een ander netwerk te gebruiken voor beveiligingsdoeleinden. Met dit scenario kan een gebruiker de volledige zelfbeheerde cloudervaring ervaren, zoals in een openbare cloud zoals Azure.

Azure Stack Hub edge firewall example

Scenario voor bedrijfsintranet of perimeternetwerkfirewall

In een intranet- of perimeterimplementatie voor ondernemingen wordt Azure Stack Hub geïmplementeerd op een firewall met meerdere zones of tussen de randfirewall en de firewall van het interne bedrijfsnetwerk. Het verkeer wordt vervolgens verdeeld tussen het beveiligde, perimeternetwerk (of DMZ) en onbeveiligde zones, zoals hieronder wordt beschreven:

  • Beveiligde zone: dit is het interne netwerk dat gebruikmaakt van interne of zakelijke routeerbare IP-adressen. Het beveiligde netwerk kan worden verdeeld, heeft uitgaande toegang via internet via NAT op de firewall en is meestal toegankelijk vanaf elke locatie binnen uw datacenter via het interne netwerk. Alle Azure Stack Hub-netwerken moeten zich in de beveiligde zone bevinden, met uitzondering van de openbare VIP-pool van het externe netwerk.
  • Perimeterzone. Het perimeternetwerk is waar externe of internetgerichte apps, zoals webservers, doorgaans worden geïmplementeerd. Het wordt meestal bewaakt door een firewall om aanvallen zoals DDoS en inbraak (hacken) te voorkomen terwijl het opgegeven binnenkomende verkeer van internet nog steeds toestaat. Alleen de openbare VIP-pool van het externe netwerk van Azure Stack Hub moet zich in de DMZ-zone bevinden.
  • Onbeveiligde zone. Dit is het externe netwerk, internet. Het wordt niet aanbevolen om Azure Stack Hub te implementeren in de onbeveiligde zone.

Azure Stack Hub perimeter network example

Lees meer

Meer informatie over poorten en protocollen die worden gebruikt door Azure Stack Hub-eindpunten.

Volgende stappen

PKI-vereisten voor Azure Stack Hub