Sieć produkcyjna platformy Azure

Użytkownicy sieci produkcyjnej platformy Azure obejmują zarówno klientów zewnętrznych, którzy uzyskują dostęp do własnych aplikacji platformy Azure, jak i pracowników pomoc techniczna platformy Azure wewnętrznych, którzy zarządzają siecią produkcyjną. W tym artykule omówiono metody dostępu zabezpieczeń i mechanizmy ochrony do nawiązywania połączeń z siecią produkcyjną platformy Azure.

Routing internetowy i odporność na uszkodzenia

Globalnie nadmiarowa wewnętrzna i zewnętrzna infrastruktura usługi Azure Domain Name Service (DNS) w połączeniu z wieloma podstawowymi i pomocniczymi klastrami serwerów DNS zapewnia odporność na uszkodzenia. Jednocześnie dodatkowe mechanizmy kontroli zabezpieczeń sieci platformy Azure, takie jak NetScaler, są używane do zapobiegania atakom typu "rozproszona odmowa usługi" (DDoS) i chronieniu integralności usług Azure DNS.

Serwery Usługi Azure DNS znajdują się w wielu obiektach centrów danych. Implementacja usługi Azure DNS obejmuje hierarchię pomocniczych i podstawowych serwerów DNS do publicznego rozpoznawania nazw domen klientów platformy Azure. Nazwy domen są zwykle rozpoznawane jako adres CloudApp.net, który opakowuje wirtualny adres IP (VIP) dla usługi klienta. Unikatowy dla platformy Azure adres VIP odpowiadający wewnętrznemu dedykowanemu adresowi IP (DIP) tłumaczenia dzierżawy jest wykonywany przez moduły równoważenia obciążenia firmy Microsoft odpowiedzialne za ten adres VIP.

Platforma Azure jest hostowana w rozproszonych geograficznie centrach danych platformy Azure w Stanach Zjednoczonych i jest oparta na najnowocześniejszych platformach routingu, które implementują niezawodne, skalowalne standardy architektury. Wśród godnych uwagi funkcji są:

• Wieloprotokolowe przełączanie etykiet (MPLS) oparte na inżynierii ruchu, która zapewnia wydajne wykorzystanie linków i bezproblemowe obniżenie wydajności usługi, jeśli wystąpi awaria.
• Sieci są implementowane z architekturami nadmiarowości "potrzeba plus jeden" (N+1) lub lepszymi.
• Zewnętrznie centra danych są obsługiwane przez dedykowane obwody sieciowe o wysokiej przepustowości, które nadmiarowo łączą właściwości z ponad 1200 dostawcami usług internetowych globalnie w wielu punktach komunikacji równorzędnej. To połączenie zapewnia ponad 2000 gigabajtów na sekundę (GB/s) pojemności brzegowej.

Ponieważ firma Microsoft jest właścicielem własnych obwodów sieciowych między centrami danych, te atrybuty pomagają ofercie platformy Azure osiągnąć dostępność sieci o 99,9 procent bez konieczności korzystania z tradycyjnych dostawców usług internetowych innych firm.

Połączenie z siecią produkcyjną i skojarzonymi zaporami

Zasady przepływu ruchu internetowego sieci platformy Azure kierują ruch do sieci produkcyjnej platformy Azure znajdującej się w najbliższym regionalnym centrum danych w Stanach Zjednoczonych. Ponieważ produkcyjne centra danych platformy Azure utrzymują spójną architekturę sieci i sprzęt, opis przepływu ruchu, który następuje, jest stale stosowany do wszystkich centrów danych.

Po przekierowaniu ruchu internetowego dla platformy Azure do najbliższego centrum danych zostanie nawiązane połączenie z routerami dostępu. Te routery dostępu służą do izolowania ruchu między węzłami platformy Azure i maszynami wirtualnymi, które zostały utworzone przez klienta. Urządzenia infrastruktury sieciowej w lokalizacjach dostępu i brzegowych to punkty graniczne, w których są stosowane filtry ruchu przychodzącego i wychodzącego. Te routery są konfigurowane za pośrednictwem listy kontroli dostępu warstwowej (ACL) w celu filtrowania niepożądanego ruchu sieciowego i stosowania limitów szybkości ruchu, jeśli to konieczne. Ruch dozwolony przez listę ACL jest kierowany do modułów równoważenia obciążenia. Routery dystrybucji są przeznaczone do zezwalania tylko na adresy IP zatwierdzone przez firmę Microsoft, zapewniają ochronę przed fałszowaniem i ustanawiają połączenia TCP korzystające z list ACL.

Zewnętrzne urządzenia równoważenia obciążenia znajdują się za routerami dostępu do wykonywania translacji adresów sieciowych (NAT) z adresów IP routingu internetowego do wewnętrznych adresów IP platformy Azure. Urządzenia kierują również pakiety do prawidłowych wewnętrznych adresów IP i portów produkcyjnych oraz działają jako mechanizm ochrony w celu ograniczenia uwidaczniania wewnętrznej przestrzeni adresowej sieci produkcyjnej.

Domyślnie firma Microsoft wymusza protokół Https (Hypertext Transfer Protocol Secure) dla całego ruchu przesyłanego do przeglądarek internetowych klientów, w tym logowania i całego ruchu. Korzystanie z protokołu TLS w wersji 1.2 umożliwia bezpieczny tunel do przepływu ruchu. Listy ACL na routerach dostępu i rdzeniach zapewniają, że źródło ruchu jest zgodne z oczekiwaniami.

Ważną różnicą w tej architekturze, w porównaniu z tradycyjną architekturą zabezpieczeń, jest to, że nie ma dedykowanych zapór sprzętowych, wyspecjalizowanych urządzeń wykrywania nieautoryzowanego wykrywania nieautoryzowanego dostępu lub innych urządzeń zabezpieczeń, które są zwykle oczekiwane przed nawiązywaniem połączeń ze środowiskiem produkcyjnym platformy Azure. Klienci zwykle oczekują tych urządzeń zapory sprzętowej w sieci platformy Azure; jednak żadna z nich nie jest zatrudniona na platformie Azure. Prawie wyłącznie te funkcje zabezpieczeń są wbudowane w oprogramowanie, które uruchamia środowisko platformy Azure w celu zapewnienia niezawodnych, wielowarstwowych mechanizmów zabezpieczeń, w tym możliwości zapory. Ponadto zakres granicy i skojarzonego rozrastania krytycznych urządzeń zabezpieczeń jest łatwiejszy w zarządzaniu i spisie, jak pokazano na poprzedniej ilustracji, ponieważ jest on zarządzany przez oprogramowanie, na którym działa platforma Azure.

Podstawowe funkcje zabezpieczeń i zapory

Platforma Azure implementuje niezawodne funkcje zabezpieczeń oprogramowania i zapory na różnych poziomach, aby wymusić funkcje zabezpieczeń, które są zwykle oczekiwane w tradycyjnym środowisku w celu ochrony podstawowej granicy autoryzacji zabezpieczeń.

Funkcje zabezpieczeń platformy Azure

Platforma Azure implementuje zapory oprogramowania oparte na hoście w sieci produkcyjnej. Kilka podstawowych funkcji zabezpieczeń i zapory znajduje się w podstawowym środowisku platformy Azure. Te funkcje zabezpieczeń odzwierciedlają strategię ochrony w środowisku platformy Azure. Dane klientów na platformie Azure są chronione przez następujące zapory:

Zapora funkcji Hypervisor (filtr pakietów): ta zapora jest implementowana w funkcji hypervisor i skonfigurowana przez agenta kontrolera sieci szkieletowej (FC). Ta zapora chroni dzierżawę działającą wewnątrz maszyny wirtualnej przed nieautoryzowanym dostępem. Domyślnie po utworzeniu maszyny wirtualnej cały ruch jest blokowany, a następnie agent FC dodaje reguły i wyjątki w filtrze, aby zezwolić na autoryzowany ruch.

W tym miejscu są zaprogramowane dwie kategorie reguł:

• Konfiguracja komputera lub reguły infrastruktury: domyślnie cała komunikacja jest blokowana. Istnieją wyjątki, które umożliwiają maszynie wirtualnej wysyłanie i odbieranie informacji protokołu DHCP (Dynamic Host Configuration Protocol) oraz wysyłanie ruchu do "publicznego" ruchu wychodzącego z Internetu do innych maszyn wirtualnych w klastrze FC i serwerze aktywacji systemu operacyjnego. Ponieważ lista dozwolonych miejsc docelowych wychodzących maszyn wirtualnych nie obejmuje podsieci routera platformy Azure i innych właściwości firmy Microsoft, reguły działają jako warstwa ochrony.
• Reguły plików konfiguracji roli: definiuje listy ACL dla ruchu przychodzącego na podstawie modelu usługi dzierżawy. Jeśli na przykład dzierżawa ma fronton internetowy na porcie 80 na określonej maszynie wirtualnej, port 80 jest otwarty dla wszystkich adresów IP. Jeśli maszyna wirtualna ma uruchomioną rolę procesu roboczego, rola procesu roboczego jest otwarta tylko dla maszyny wirtualnej w ramach tej samej dzierżawy.

Natywna zapora hosta: usługa Azure Service Fabric i usługa Azure Storage działają w natywnym systemie operacyjnym, który nie ma funkcji hypervisor i dlatego zapora systemu Windows jest skonfigurowana z poprzednimi dwoma zestawami reguł.

Zapora hosta: zapora hosta chroni partycję hosta, która uruchamia funkcję hypervisor. Zasady są zaprogramowane tak, aby zezwalać tylko fc i serwer przesiadkowy komunikować się z partycją hosta na określonym porcie. Pozostałe wyjątki to zezwalanie na odpowiedzi DHCP i odpowiedzi DNS. Platforma Azure używa pliku konfiguracji maszyny, który zawiera szablon reguł zapory dla partycji hosta. Istnieje również wyjątek zapory hosta, który umożliwia maszynom wirtualnym komunikowanie się ze składnikami hosta, serwerem przewodowym i serwerem metadanych za pośrednictwem określonego protokołu/portów.

Zapora gościa: część systemu operacyjnego gościa Zapora systemu operacyjnego, która jest konfigurowana przez klientów na maszynach wirtualnych klienta i magazynie.

Dodatkowe funkcje zabezpieczeń wbudowane w funkcje platformy Azure obejmują:

• Składniki infrastruktury, do których przypisano adresy IP pochodzące z adresów IP. Osoba atakująca w Internecie nie może adresować ruchu do tych adresów, ponieważ nie dotarła do firmy Microsoft. Routery bramy internetowej filtrują pakiety adresowane wyłącznie do adresów wewnętrznych, aby nie wchodziły do sieci produkcyjnej. Jedynymi składnikami, które akceptują ruch kierowany do adresów VIP, są moduły równoważenia obciążenia.

• Zapory zaimplementowane we wszystkich węzłach wewnętrznych mają trzy podstawowe zagadnienia dotyczące architektury zabezpieczeń dla każdego scenariusza:

  • Zapory są umieszczane za modułem równoważenia obciążenia i akceptują pakiety z dowolnego miejsca. Te pakiety mają być uwidocznione zewnętrznie i odpowiadają otwartym portom w tradycyjnej zaporze obwodowej.
  • Zapory akceptują pakiety tylko z ograniczonego zestawu adresów. Ta kwestia jest częścią strategii ochrony przed atakami DDoS. Takie połączenia są uwierzytelniane kryptograficznie.
  • Dostęp do zapór można uzyskać tylko z wybranych węzłów wewnętrznych. Akceptują pakiety tylko z wyliczanej listy źródłowych adresów IP, z których wszystkie są adresami IP w sieci platformy Azure. Na przykład atak w sieci firmowej może kierować żądania do tych adresów, ale ataki byłyby blokowane, chyba że adres źródłowy pakietu znajdował się na liście wyliczanej w sieci platformy Azure.
    • Router dostępu w obwodzie blokuje pakiety wychodzące, które są adresowane do adresu, który znajduje się w sieci platformy Azure ze względu na skonfigurowane trasy statyczne.

Następne kroki

Aby dowiedzieć się więcej o tym, co firma Microsoft robi w celu zabezpieczenia infrastruktury platformy Azure, zobacz:

• Obiekty platformy Azure, lokalne i zabezpieczenia fizyczne
• Dostępność infrastruktury platformy Azure
• Składniki i granice systemu informacyjnego platformy Azure
• Architektura sieci platformy Azure
• funkcje zabezpieczeń usługi Azure SQL Database
• Operacje produkcyjne i zarządzanie platformą Azure
• Monitorowanie infrastruktury platformy Azure
• Integralność infrastruktury platformy Azure
• Ochrona danych klientów platformy Azure