Zapora centrum danych w usłudze Azure Stack HCI

  • 9 min

Funkcja zapory centrum danych usługi Azure Stack HCI (software-defined networking) (SDN) może potencjalnie pomóc zwiększyć bezpieczeństwo środowiska. Zapora centrum danych może również zminimalizować rozrastanie urządzeń sprzętowych, aby wspierać inicjatywy konsolidacji firmy. Należy upewnić się, że możliwości zapory centrum danych wykraczają poza sieć wirtualną, aby zapewnić integrację z istniejącym środowiskiem wirtualnej sieci lokalnej (VLAN).

Podobnie jak w przypadku tradycyjnych lokalnych centrów danych, które używają fizycznych urządzeń zapory w celu ograniczenia łączności sieciowej, środowiska SDN muszą mieć możliwość kontrolowania łączności. Rozproszona zapora centrum danych udostępnia tę funkcję, a także bramę serwera równoważenia obciążenia oprogramowania i serwera dostępu zdalnego (RAS) pełni rolę podstawowego składnika sieci SDN. Kontroler sieci udostępnia centralny interfejs zarządzania i monitorowania zapory centrum danych, aby chronić zwirtualizowane obciążenia przed nieautoryzowanym dostępem do sieci.

Zalety zapory centrum danych

Tradycyjne zapory docelowej łączności brzegowej, filtrowanie ruchu między lokalnymi centrami danych i Internetem, często nazywane komunikacją północno-południową . Takie podejście zapewnia ograniczoną ochronę w dzisiejszym świecie, gdzie obwód sieci ma mniejsze znaczenie jako granicę ochrony.

Aby zapewnić znaczącą ochronę w strategii zerowej zaufania, zapory muszą również pomóc w ochronie zasobów w centrum danych przed zagrożeniami wewnętrznymi. Używanie zapór fizycznych do filtrowania komunikacji lokalnej, nazywanej również ruchem wschodnio-zachodnim , jest trudne, ponieważ wymaga dodatkowych inwestycji sprzętowych i obciążeń operacyjnych. Routing całego chronionego ruchu za pośrednictwem oddzielnego urządzenia fizycznego również zwiększa opóźnienie, co negatywnie wpływa na obciążenia wewnętrzne.

W usłudze Azure Stack HCI można zdefiniować szczegółowe filtrowanie oparte na oprogramowaniu obciążeń zwirtualizowanych, które mają zastosowanie do ruchu zewnętrznego i wewnętrznego. Zapora centrum danych zapewnia to filtrowanie za pośrednictwem list kontroli dostępu (ACL) w sieciach logicznych i wirtualnych.

W przypadku administratorów rozwiązania Azure Stack HCI zapora centrum danych zapewnia następujące korzyści:

  • Wysoce skalowalne rozwiązanie zapory oparte na oprogramowaniu, które można centralnie zarządzać.
  • Możliwość przenoszenia maszyn wirtualnych między węzłami klastra rozwiązania Azure Stack HCI bez wpływu na konfigurację zapory.
  • Ochrona maszyn wirtualnych dzierżawy niezależnie od systemu operacyjnego gościa.

W przypadku dzierżaw usługi Azure Stack HCI zapora centrum danych zapewnia ochronę na poziomie sieci w następujących scenariuszach:

  • Obciążenia połączone z Internetem w sieciach wirtualnych i logicznych usługi Azure Stack HCI.
  • Komunikacja między podsieciami sieci wirtualnej i logicznej usługi Azure Stack HCI.
  • Komunikacja między sieciami centrum danych i obciążeniami dzierżawy hostowanymi przez rozwiązanie Azure Stack HCI.

Funkcje zapory centrum danych

Zapora centrum danych to zapora sieciowa, stanowa, wielodostępna, która obsługuje filtrowanie według dowolnej kombinacji pięciu parametrów: numerów portów źródłowych i docelowych, źródłowych i docelowych adresów IP oraz protokołu. Zapora centrum danych jest implementowana jako rozproszona zapora z zasadami, które można zastosować w interfejsie sieciowym maszyny wirtualnej, podsieci sieci logicznej lub podsieci sieci wirtualnej.

Możesz ograniczyć ruch między zwirtualizowanymi obciążeniami zarówno w sieciach zewnętrznych, jak i wewnętrznych. Kontroler sieci stosuje zasady zapory do portów przełącznika wirtualnego węzłów klastra azure Stack HCI, które działają jako hosty funkcji Hyper-V. Te zasady obsługują obciążenia rozwiązania Azure Stack HCI połączone z sieciami opartymi na sieciach VLAN.

Aby zaimplementować filtrowanie ruchu opartego na zaporze centrum danych, należy zdefiniować zasady zapory przy użyciu dowolnego narzędzia do zarządzania obsługującego komunikację z interfejsem API northbound Representational State Transfer (REST) kontrolera sieci. Te narzędzia obejmują program PowerShell, program Windows Administracja Center i program Microsoft System Center Virtual Machine Manager (VMM).

Reguły są automatycznie aktualizowane w przypadku przenoszenia maszyn wirtualnych między węzłami klastra. Kontroler sieci automatycznie koryguje również wszelkie odchylenia od zasad zdefiniowanych z powodu lokalnych zmian konfiguracji. Ten proces ułatwia przenośność i pomaga zapewnić spójność ochrony opartej na zaporze.

Na poniższym diagramie przedstawiono sposób działania kontrolera sieci z rozproszoną zaporą. Zapora centrum danych używa zasad do administrowania zaporami, które chronią maszyny wirtualne.

Diagram depicting Network Controller with Distributed Firewall. Distributed Firewall is using policies to administer firewalls protecting VMs.