Het Azure-productienetwerk

De gebruikers van het Azure-productienetwerk omvatten zowel externe klanten die toegang hebben tot hun eigen Azure-toepassingen als interne ondersteuning voor Azure medewerkers die het productienetwerk beheren. In dit artikel worden de beveiligingstoegangsmethoden en beveiligingsmechanismen besproken voor het tot stand brengen van verbindingen met het Azure-productienetwerk.

Internetroutering en fouttolerantie

Een wereldwijd redundante interne en externe DNS-infrastructuur (Azure Domain Name Service), gecombineerd met meerdere primaire en secundaire DNS-serverclusters, biedt fouttolerantie. Tegelijkertijd worden aanvullende Azure-netwerkbeveiligingsbesturingselementen, zoals NetScaler, gebruikt om DDoS-aanvallen (Distributed Denial of Service) te voorkomen en de integriteit van Azure DNS-services te beschermen.

De Azure DNS-servers bevinden zich in meerdere datacenterfaciliteiten. De Azure DNS-implementatie bevat een hiërarchie van secundaire en primaire DNS-servers voor het openbaar omzetten van Azure-klantdomeinnamen. De domeinnamen worden meestal omgezet in een CloudApp.net-adres, dat het virtuele IP-adres (VIP) voor de service van de klant verpakt. Het VIP dat overeenkomt met het INTERNE TOEGEWEZEN IP-adres (DIP) van de tenantvertaling, wordt uitgevoerd door de Microsoft-load balancers die verantwoordelijk zijn voor dat VIP.

Azure wordt gehost in geografisch gedistribueerde Azure-datacenters in de VS en is gebouwd op state-of-the-art routeringsplatforms die robuuste, schaalbare architectuurstandaarden implementeren. Enkele van de opvallende functies zijn:

• Verkeerstechniek op basis van multiprotocol Label Switching (MPLS), die efficiënt koppelingsgebruik en een probleemloze degradatie van de service biedt als er een storing is.
• Netwerken worden geïmplementeerd met redundantiearchitecturen met 'need plus one' (N+1) of beter.
• Extern worden datacenters bediend door toegewezen netwerkcircuits met hoge bandbreedte die redundante verbindingen maken met eigenschappen met meer dan 1200 internetproviders wereldwijd op meerdere peeringpunten. Deze verbinding biedt meer dan 2000 gigabytes per seconde (GBps) aan edge-capaciteit.

Omdat Microsoft eigenaar is van eigen netwerkcircuits tussen datacenters, helpen deze kenmerken het Azure-aanbod een netwerkbeschikbaarheid van meer dan 99,9 procent te bereiken zonder dat traditionele externe internetproviders nodig zijn.

Verbinding met productienetwerk en bijbehorende firewalls

Het internetverkeersstroombeleid van het Azure-netwerk leidt verkeer naar het Azure-productienetwerk dat zich in het dichtstbijzijnde regionale datacenter in de VS bevindt. Omdat de Azure-productiedatacentra een consistente netwerkarchitectuur en -hardware onderhouden, is de beschrijving van de verkeersstroom die volgt consistent van toepassing op alle datacenters.

Nadat internetverkeer voor Azure is gerouteerd naar het dichtstbijzijnde datacenter, wordt er een verbinding tot stand gebracht met de toegangsrouters. Deze toegangsrouters dienen om verkeer tussen Azure-knooppunten en door de klant geïnstantieerde VM's te isoleren. Netwerkinfrastructuurapparaten op de toegangs- en randlocaties zijn de grenspunten waar filters voor inkomend en uitgaand verkeer worden toegepast. Deze routers worden geconfigureerd via een gelaagde toegangsbeheerlijst (ACL) om ongewenst netwerkverkeer te filteren en zo nodig verkeersfrequentielimieten toe te passen. Verkeer dat is toegestaan door de ACL, wordt doorgestuurd naar de load balancers. Distributierouters zijn ontworpen om alleen door Microsoft goedgekeurde IP-adressen toe te staan, anti-adresvervalsing te bieden en TCP-verbindingen tot stand te brengen die gebruikmaken van ACL's.

Externe taakverdelingsapparaten bevinden zich achter de toegangsrouters om NAT (Network Address Translation) uit te voeren van via internet routeerbare IP-adressen naar interne IP-adressen van Azure. De apparaten routeren ook pakketten naar geldige interne IP-adressen en poorten voor productie en fungeren als een beveiligingsmechanisme om de adresruimte van het interne productienetwerk te beperken.

Microsoft dwingt standaard Https (Hypertext Transfer Protocol Secure) af voor al het verkeer dat wordt verzonden naar de webbrowsers van klanten, inclusief aanmelding en al het verkeer daarna. Het gebruik van TLS v1.2 maakt een beveiligde tunnel mogelijk voor het doorstromen van verkeer. ACL's op toegangs- en kernrouters zorgen ervoor dat de bron van het verkeer consistent is met wat wordt verwacht.

Een belangrijk verschil in deze architectuur, wanneer deze wordt vergeleken met traditionele beveiligingsarchitectuur, is dat er geen speciale hardwarefirewalls, gespecialiseerde inbraakdetectie- of preventieapparaten of andere beveiligingsapparaten zijn die normaal gesproken worden verwacht voordat er verbinding wordt gemaakt met de Azure-productieomgeving. Klanten verwachten deze hardwarefirewallapparaten meestal in het Azure-netwerk; Er worden echter geen gebruikt binnen Azure. Deze beveiligingsfuncties zijn bijna uitsluitend ingebouwd in de software die de Azure-omgeving uitvoert om robuuste, meerlaagse beveiligingsmechanismen te bieden, waaronder firewallmogelijkheden. Bovendien is het bereik van de grens en de bijbehorende wildgroei van kritieke beveiligingsapparaten eenvoudiger te beheren en te inventariseren, zoals weergegeven in de vorige afbeelding, omdat het wordt beheerd door de software waarop Azure wordt uitgevoerd.

Kernfuncties voor beveiliging en firewall

Azure implementeert robuuste softwarebeveiligings- en firewallfuncties op verschillende niveaus om beveiligingsfuncties af te dwingen die normaal gesproken in een traditionele omgeving worden verwacht om de kerngrens van beveiligingsautorisatie te beschermen.

Azure-beveiligingsfuncties

Azure implementeert op host gebaseerde softwarefirewalls binnen het productienetwerk. Verschillende kernbeveiligings- en firewallfuncties bevinden zich in de Azure-kernomgeving. Deze beveiligingsfuncties weerspiegelen een diepgaande verdedigingsstrategie binnen de Azure-omgeving. Klantgegevens in Azure worden beveiligd door de volgende firewalls:

Hypervisorfirewall (pakketfilter): deze firewall wordt geïmplementeerd in de hypervisor en geconfigureerd door de FC-agent (fabric controller). Deze firewall beschermt de tenant die in de VM wordt uitgevoerd tegen onbevoegde toegang. Wanneer een virtuele machine wordt gemaakt, wordt standaard al het verkeer geblokkeerd en voegt de FC-agent regels en uitzonderingen toe aan het filter om geautoriseerd verkeer toe te staan.

Hier worden twee categorieën regels geprogrammeerd:

• Computerconfiguratie- of infrastructuurregels: standaard wordt alle communicatie geblokkeerd. Er bestaan uitzonderingen waardoor een VM DHCP-communicatie en DNS-informatie (Dynamic Host Configuration Protocol) kan verzenden en ontvangen, en verkeer naar het 'openbare' internet kan verzenden naar andere VM's in het FC-cluster en de activeringsserver van het besturingssysteem. Omdat de lijst met toegestane uitgaande bestemmingen van de VM's geen Azure-routersubnetten en andere Microsoft-eigenschappen bevat, fungeren de regels als een verdedigingslaag voor deze vm's.
• Regels voor rolconfiguratiebestand: definieert de binnenkomende ACL's op basis van het servicemodel van de tenants. Als een tenant bijvoorbeeld een webfront-end heeft op poort 80 op een bepaalde VM, wordt poort 80 geopend voor alle IP-adressen. Als op de VM een werkrol wordt uitgevoerd, wordt de werkrol alleen geopend voor de VM binnen dezelfde tenant.

Systeemeigen hostfirewall: Azure Service Fabric en Azure Storage worden uitgevoerd op een systeemeigen besturingssysteem, dat geen hypervisor heeft. Daarom wordt Windows Firewall geconfigureerd met de voorgaande twee sets regels.

Hostfirewall: de hostfirewall beveiligt de hostpartitie, die de hypervisor uitvoert. De regels zijn zo geprogrammeerd dat alleen de FC en jumpboxen met de hostpartitie op een specifieke poort kunnen communiceren. De andere uitzonderingen zijn het toestaan van DHCP-antwoorden en DNS-antwoorden. Azure maakt gebruik van een machineconfiguratiebestand, dat een sjabloon met firewallregels voor de hostpartitie bevat. Er bestaat ook een hostfirewall-uitzondering waarmee VM's kunnen communiceren met hostonderdelen, wire server en metagegevensserver, via specifieke protocol/poorten.

Gastfirewall: het onderdeel Windows Firewall van het gastbesturingssystemen, dat kan worden geconfigureerd door klanten op vm's en opslag van klanten.

Aanvullende beveiligingsfuncties die zijn ingebouwd in de Azure-mogelijkheden zijn onder andere:

• Infrastructuuronderdelen waaraan IP-adressen zijn toegewezen die afkomstig zijn van DIPs. Een aanvaller op internet kan geen verkeer naar deze adressen adressen omdat het Microsoft niet zou bereiken. Internetgatewayrouters filteren pakketten die alleen worden geadresseerd aan interne adressen, zodat ze niet in het productienetwerk terechtkomen. De enige onderdelen die verkeer accepteren dat naar VIP's wordt geleid, zijn load balancers.

• Firewalls die op alle interne knooppunten zijn geïmplementeerd, hebben drie primaire overwegingen voor de beveiligingsarchitectuur voor een bepaald scenario:

  • Firewalls worden achter de load balancer geplaatst en accepteren pakketten vanaf elke locatie. Deze pakketten zijn bedoeld om extern beschikbaar te worden gesteld en komen overeen met de open poorten in een traditionele perimeterfirewall.
  • Firewalls accepteren alleen pakketten van een beperkte set adressen. Deze overweging maakt deel uit van de diepgaande verdedigingsstrategie tegen DDoS-aanvallen. Dergelijke verbindingen worden cryptografisch geverifieerd.
  • Firewalls zijn alleen toegankelijk vanaf bepaalde interne knooppunten. Ze accepteren alleen pakketten uit een geïnventareerde lijst met bron-IP-adressen, die allemaal DIPs binnen het Azure-netwerk zijn. Een aanval op het bedrijfsnetwerk kan bijvoorbeeld aanvragen omleiden naar deze adressen, maar de aanvallen worden geblokkeerd, tenzij het bronadres van het pakket een adres is in de opgesomde lijst binnen het Azure-netwerk.
    • De toegangsrouter aan de perimeter blokkeert uitgaande pakketten die zijn geadresseerd aan een adres dat zich in het Azure-netwerk bevindt vanwege de geconfigureerde statische routes.

Volgende stappen

Zie voor meer informatie over wat Microsoft doet om de Azure-infrastructuur te beveiligen:

• Azure-faciliteiten, -gebouwen en fysieke beveiliging
• Beschikbaarheid van Azure-infrastructuur
• Onderdelen en grenzen van het Azure-informatiesysteem
• Azure-netwerkarchitectuur
• Azure SQL Database-beveiligingsfuncties
• Azure-productiebewerkingen en -beheer
• Bewaking van Azure-infrastructuur
• Integriteit van Azure-infrastructuur
• Beveiliging van Azure-klantgegevens