Veilig hybride netwerk implementeren

Firewall

Load Balancer

Virtual Machines

Virtual Network

Deze referentiearchitectuur biedt een beveiligd hybride netwerk dat een on-premises netwerk uitbreidt naar Azure. De architectuur implementeert een DMZ, ook wel een perimeternetwerk genoemd, tussen het on-premises netwerk en een virtueel Azure-netwerk. Al het binnenkomende en uitgaande verkeer wordt via de Azure Firewall.

Een Visio-bestand van deze architectuur downloaden.

Referentie-implementatie

Met deze implementatie worden twee resourcegroepen gemaakt: het eerste bevat een mock-on-premises netwerk, het tweede een set hub en spoke-netwerken. Het mock-on-premises netwerk en het hubnetwerk zijn verbonden met behulp van Azure Virtual Network-gateways om een site-naar-site-verbinding te vormen. Deze configuratie is vergelijkbaar met de manier waarop u uw on-premises datacenter verbindt met Azure.

Het kan tot 45 minuten duren voordat deze implementatie is voltooid. De aanbevolen implementatiemethode maakt gebruik van de onderstaande portaloptie.

Gebruik de volgende knop om de verwijzing te implementeren met behulp van Azure Portal.

Voer de volgende opdracht uit om twee resourcegroepen en de referentiearchitectuur voor een beveiligd netwerk te implementeren met behulp van de Azure CLI.

Wanneer u hier om wordt gevraagd, voert u waarden in voor de gebruikersnaam en het wachtwoord van een beheerder. Deze waarden worden gebruikt om u aan te melden bij de opgenomen virtuele machines.

az deployment sub create --location eastus \
    --template-uri https://raw.githubusercontent.com/mspnp/samples/master/solutions/secure-hybrid-network/azuredeploy.json

Voer de volgende opdracht uit om twee resourcegroepen en de referentiearchitectuur voor een beveiligd netwerk te implementeren met behulp van PowerShell.

Wanneer u hier om wordt gevraagd, voert u waarden in voor de gebruikersnaam en het wachtwoord van een beheerder. Deze waarden worden gebruikt om u aan te melden bij de opgenomen virtuele machines.

New-AzSubscriptionDeployment -Location eastus `
    -TemplateUri https://raw.githubusercontent.com/mspnp/samples/master/solutions/secure-hybrid-network/azuredeploy.json

Nadat de implementatie is voltooid, controleert u de site-naar-site-connectiviteit door te kijken naar de zojuist gemaakte verbindingsbronnen. Zoek in Azure Portal verbinding naar 'verbindingen' en merk op dat de status van elke verbinding.

Schermopname van de status van verbindingen.

Het IIS-exemplaar in het spoke-netwerk is toegankelijk vanaf de virtuele machine die zich in het on-prem-mocknetwerk bevindt. Maak een verbinding met de virtuele machine met behulp van de opgenomen Azure Bastion-host, open een webbrowser en navigeer naar het adres van het netwerk van de load balancer.

Zie de ARM-sjablonen die worden gebruikt om deze oplossing te implementeren voor gedetailleerde informatie en aanvullende implementatieopties.

Beveiligd hybride netwerk

Gebruiksvoorbeelden

Deze architectuur vereist een verbinding met uw on-premises datacenter via een VPN-gateway of een ExpressRoute-verbinding. Deze architectuur wordt doorgaans gebruikt voor:

Hybride toepassingen waarbij workloads deels on-premises en deels in Azure worden uitgevoerd.
Infrastructuur die gedetailleerde controle vereist over verkeer dat een virtueel Azure-netwerk binnenkomt vanuit een on-premises datacenter.
Toepassingen die uitgaand verkeer moeten controleren. Dit is vaak een wettelijke vereiste voor veel commerciële systemen en voorkomt dat privégegevens openbaar worden gemaakt.

Architectuur

De architectuur bestaat uit de volgende onderdelen.

On-premises netwerk. Een lokaal privénetwerk dat in een organisatie is geïmplementeerd.
Virtueel Azure-netwerk. Het virtuele netwerk host de toepassing en andere resources die worden uitgevoerd in Azure.
Gateway. De gateway biedt connectiviteit tussen de routers in het on-premises netwerk en het virtuele netwerk. De gateway wordt in een eigen subnet geplaatst.
Azure Firewall. Azure Firewall is een beheerde firewall als een service. Het firewall-exemplaar wordt in een eigen subnet geplaatst.
Routes voor virtuele netwerken. Virtuele netwerkroutes definiëren de stroom van IP-verkeer binnen het virtuele Azure-netwerk. In het bovenstaande diagram zijn er twee door de gebruiker gedefinieerde routetabellen.
- In het gatewaysubnet wordt verkeer dat wordt verzonden naar het subnet van de weblaag (10.0.1.0/24) doorgestuurd via het Azure Firewall-exemplaar.
- Omdat er in het subnet van de weblaag geen route is voor de adresruimte van het VNet zelf om te wijzen naar Azure Firewall, kunnen weblaag-exemplaren rechtstreeks met elkaar communiceren, niet via Azure Firewall.
Notitie

Afhankelijk van de vereisten van uw VPN-verbinding kunt u Border Gateway Protocol-routes (BGP) configureren om de regels voor doorsturen te implementeren die verkeer terugsturen via het on-premises netwerk.
Netwerkbeveiligingsgroepen. Gebruik beveiligingsgroepen om netwerkverkeer binnen het virtuele netwerk te beperken. In de implementatie van deze referentiearchitectuur staat het subnet van de weblaag bijvoorbeeld TCP-verkeer toe van het on-premises netwerk en van binnen het virtuele netwerk; De bedrijfslaag staat verkeer van de weblaag toe en de gegevenslaag staat verkeer van de bedrijfslaag toe.
Bastion. Azure Bastion kunt u zich aanmelden bij virtuele machines in het virtuele netwerk via SSH of Remote Desktop Protocol (RDP) zonder dat de virtuele machines rechtstreeks op internet worden gebruikt. Gebruik Bastion om de virtuele machines in het virtuele netwerk te beheren.

Aanbevelingen

De volgende aanbevelingen gelden voor de meeste scenario's. Volg deze aanbevelingen tenzij er een specifieke vereiste is die iets anders voorschrijft.

Aanbevelingen voor toegangsbeheer

Gebruik op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) om de resources in uw toepassing te beheren. Overweeg de volgende aangepaste rollen te maken:

Een DevOps-rol met machtigingen voor het beheren van de infrastructuur voor de toepassing, het gebruiken van de toepassingsonderdelen en het bewaken en opnieuw opstarten van VM's.
Een centrale IT-beheerdersrol voor het beheren en bewaken van netwerkbronnen.
Een IT-beheerdersrol voor beveiliging voor het beheren van beveiligde netwerkbronnen, zoals de firewall.

De DevOps- en IT-beheerdersrollen mogen geen toegang hebben tot de firewall-resources. Deze moet beperkt blijven tot de rol van IT-beveiligingsbeheerder.

Aanbevelingen voor resourcegroepen

Azure-resources, zoals VM's, virtuele netwerken en load balancers, kunnen eenvoudig worden beheerd door ze samen te groeperen in resourcegroepen. Wijs Azure-rollen toe aan elke resourcegroep om de toegang te beperken.

We raden aan de volgende resourcegroepen te maken:

Een resourcegroep met het virtuele netwerk (met uitzondering van de virtuele machines), NSG's en de gatewayresources om verbinding te maken met het on-premises netwerk. Wijs de rol van centrale IT-beheerder toe aan deze resourcegroep.
Een resourcegroep met de VM's voor het Azure Firewall en de door de gebruiker gedefinieerde routes voor het gatewaysubnet. Wijs de rol van IT-beveiligingsbeheerder toe aan deze resourcegroep.
Afzonderlijke resourcegroepen voor elke toepassingslaag die de load balancer en VM’s bevatten. Deze resourcegroep mag niet de subnetten voor elke laag bevatten. Wijs de DevOps-rol toe aan deze resourcegroep.

Aanbevelingen voor netwerken

Als u het inkomende verkeer van internet wilt accepteren, voegt u een DNAT-regel (Destination Network Address Translation) toe aan Azure Firewall.

Doeladres = openbaar IP-adres van het firewall-exemplaar.
Omgezet adres = privé-IP-adres binnen het virtuele netwerk.

De voorbeeldimplementatie routeert internetverkeer voor poort 80 naar de weblaag load balancer.

Geforceerder tunnelen van al het uitgaande internetverkeer via uw on-premises netwerk met behulp van de site-naar-site VPN-tunnel en route naar internet met behulp van Network Address Translation (NAT). Dit voorkomt dat er onbedoeld vertrouwelijke informatie wordt gelekt die is opgeslagen in uw gegevenslaag en zorgt ervoor dat al het uitgaande verkeer kan worden geïnspecteerd en gecontroleerd.

Blokkeer internetverkeer van de toepassingslagen niet volledig, omdat deze lagen dan geen Azure PaaS-services kunnen gebruiken die afhankelijk zijn van openbare IP-adressen, zoals logboekregistratie van diagnostische gegevens van VM's, het downloaden van VM-extensies en andere functionaliteit. Ook voor de diagnosefuncties van Azure is het nodig dat onderdelen lees- en schrijftoegang hebben tot een Azure Storage-account.

Controleer of het uitgaande internetverkeer correct wordt doorgeleid via geforceerde tunneling. Als u een VPN-verbinding gebruikt met de routerings- en RAS-service op een on-premises server, gebruikt u een hulpprogramma zoals WireShark.

Overweeg het gebruik Application Gateway of Azure Front Door voor SSL-beëindiging.

Schaalbaarheidsoverwegingen

Zie Gateway-SKU's VPN Gateway meer informatie over de bandbreedtelimieten van VPN Gateway. Overweeg voor hogere bandbreedten te upgraden naar een ExpressRoute-gateway. ExpressRoute biedt een bandbreedte van maximaal 10 Gbps met een lagere latentie dan een VPN-verbinding.

Raadpleeg voor meer informatie over de schaalbaarheid van Azure-gateways het gedeelte over schaalbaarheid in Implementing a hybrid network architecture with Azure and on-premises VPN (Een hybride netwerkarchitectuur implementeren met Azure en on-premises VPN) en Implementing a hybrid network architecture with Azure ExpressRoute (Een hybride netwerkarchitectuur implementeren met Azure ExpressRoute).

Beschikbaarheidsoverwegingen

Als u Azure ExpressRoute gebruikt om connectiviteit tussen het virtuele netwerk en het on-premises netwerk te bieden, configureert u een VPN-gateway voor failover als de ExpressRoute-verbinding niet meer beschikbaar is.

Raadpleeg voor specifieke informatie over het behouden van de beschikbaarheid van VPN- en ExpressRoute-verbindingen de overwegingen met betrekking tot beschikbaarheid in Implementing a hybrid network architecture with Azure and on-premises VPN (Een hybride netwerkarchitectuur implementeren met Azure en on-premises VPN) en Implementing a hybrid network architecture with Azure ExpressRoute (Een hybride netwerkarchitectuur implementeren met Azure ExpressRoute).

Beheerbaarheidsoverwegingen

Als de gatewayconnectiviteit van uw on-premises netwerk naar Azure niet beschikbaar is, kunt u de VM's in het virtuele Azure-netwerk nog steeds bereiken via Azure Bastion.

Elke subnetlaag in de referentiearchitectuur wordt beschermd door NSG-regels. Mogelijk moet u een regel maken om poort 3389 te openen voor toegang via Remote Desktop Protocol (RDP) op Windows-VM's of om poort 22 te openen voor SSH-toegang (secure shell-toegang) op Linux-VM's. Andere beheer- en bewakingshulpprogramma's hebben mogelijk regels nodig om extra poorten te openen.

Als u ExpressRoute gebruikt voor de connectiviteit tussen uw on-premises datacenter en Azure, gebruik dan de Azure Connectivity Toolkit (AzureCT) om verbindingsproblemen te detecteren en op te lossen.

Meer informatie over het bewaken en beheren van VPN- en ExpressRoute-verbindingen vindt u in het artikel Implementing a hybrid network architecture with Azure and on-premises VPN(Een hybride netwerkarchitectuur implementeren met Azure en on-premises VPN).

Beveiligingsoverwegingen

Met deze referentiearchitectuur worden meerdere beveiligingsniveaus geïmplementeerd.

Alle on-premises gebruikersaanvragen routeren via Azure Firewall

De door de gebruiker gedefinieerde route in het gatewaysubnet blokkeert alle gebruikersaanvragen die niet van on-premises zijn ontvangen. De route geeft toegestane aanvragen door aan de firewall en deze aanvragen worden doorgegeven aan de toepassing als ze zijn toegestaan door de firewallregels. U kunt andere routes toevoegen, maar zorg ervoor dat deze niet per ongeluk de firewall omzeilen of beheerverkeer blokkeren dat is bedoeld voor het beheersubnet.

NSG's gebruiken om verkeer tussen toepassingslagen te blokkeren/door te laten

Het verkeer tussen lagen wordt beperkt door NSG's te gebruiken. De bedrijfslaag blokkeert al het verkeer dat niet afkomstig is van de weblaag en de gegevenslaag blokkeert al het verkeer dat niet afkomstig is van de bedrijfslaag. Als u de NSG-regels wilt uitbreiden voor een bredere toegang tot deze lagen, zet de verruimde mogelijkheden dan af tegen de beveiligingsrisico's. Met elk nieuw inkomend pad bestaat de kans dat er per ongeluk of met opzet gegevens worden gelekt of toepassingen worden beschadigd.

DevOps-toegang

Gebruik Azure RBAC om de bewerkingen te beperken die DevOps op elke laag kan uitvoeren. Hanteer bij het verlenen van machtigingen het principe van minimale bevoegdheid. Registreer alle beheergerelateerde bewerkingen en controleer regelmatig of eventuele configuratiewijzigingen inderdaad zo waren gepland.

Kostenoverwegingen

Gebruik de Azure-prijscalculator om een schatting van de kosten te maken. Andere overwegingen worden beschreven in de sectie Kosten in Microsoft Azure Well-Architected Framework.

Hier zijn kostenoverwegingen voor de services die in deze architectuur worden gebruikt.

Azure Firewall

In deze architectuur wordt Azure Firewall geïmplementeerd in het virtuele netwerk om verkeer te bepalen tussen het subnet van de gateway en het subnet waarin de toepassingslaag wordt uitgevoerd. Op deze manier Azure Firewall kosteneffectief omdat deze wordt gebruikt als een gedeelde oplossing die wordt gebruikt door meerdere workloads. Dit zijn de Azure Firewall prijsmodellen:

Vast tarief per implementatieuur.
Verwerkte gegevens per GB ter ondersteuning van automatisch schalen.

Vergeleken met virtuele netwerkapparaten (N NVA's), kunt Azure Firewall tot 30-50% besparen. Zie voor meer informatie Azure Firewall vs NVA.

Azure Bastion

Azure Bastion maakt veilig verbinding met uw virtuele machine via RDP en SSH zonder dat u een openbaar IP-adres hoeft te configureren op de virtuele machine.

Bastion-facturering is vergelijkbaar met een eenvoudige virtuele machine op laag niveau die is geconfigureerd als jumpbox. Bastion vergelijken met een jumpbox, bastion is rendabeler gezien de ingebouwde beveiligingsfuncties van Bastion en geen extra kosten voor opslag en beheer van een afzonderlijke server.

Azure Virtual Network

Azure Virtual Network is gratis. Met elk abonnement mogen maximaal 50 virtuele netwerken worden gemaakt in alle regio's. Al het verkeer dat zich binnen de grenzen van een virtueel netwerk voordoet, is gratis. Dus als twee VM's in hetzelfde VNET met elkaar praten, worden er geen kosten in rekening gebracht.

Interne load balancer

Eenvoudige taakverdeling tussen virtuele machines die zich in hetzelfde virtuele netwerk bevinden, is gratis.

In deze architectuur worden interne load balancers gebruikt om verkeer binnen een virtueel netwerk te load balancen.

Volgende stappen

Leer hoe u eenzeer beschikbare hybride netwerkarchitectuur implementeert.
Raadpleeg voor meer informatie over het beheren van netwerkbeveiliging met Azure Microsoft cloud services and network security (Microsoft-cloudservices en -netwerkbeveiliging).
Raadpleeg voor gedetailleerde informatie over het beveiligen van resources in Azure Getting started with Microsoft Azure security (Aan de slag met beveiliging in Microsoft Azure).
Zie Implementing a hybrid network architecture with Azure and on-premises VPN (Een hybride netwerkarchitectuur implementeren met Azure en on-premises VPN) en Implementing a hybrid network architecture with Azure ExpressRoute (Een hybride netwerkarchitectuur implementeren met Azure ExpressRoute) voor meer informatie over het beveiligen van Azure-gatewayverbindingen.