Compartilhar via


Integração do firewall do Azure Stack Hub

É recomendável que você use um dispositivo de firewall para ajudar a proteger o Azure Stack Hub. Os firewalls podem ajudar na defesa contra ataques de DDOS (negação de serviço distribuído), detecção de intrusão, inspeção de conteúdo e outros. No entanto, eles também podem afunilar a taxa de transferência de serviços de armazenamento do Azure, como blobs, tabelas e filas.

Se um modo de implantação desconectado for usado, você deverá publicar o ponto de extremidade AD FS. Para obter mais informações, consulte o artigo identidade de integração do datacenter.

Os pontos de extremidade do Azure Resource Manager (administrador), o portal do administrador e o Key Vault (administrador) não exigem necessariamente a publicação externa. Por exemplo, como um provedor de serviços, você pode limitar a superfície de ataque por somente administrar o Azure Stack Hub de dentro de sua rede, e não pela Internet.

Para empresas, a rede externa pode ser a rede corporativa existente. Nesse cenário, você deve publicar pontos de extremidade para operar o Azure Stack Hub por meio da rede corporativa.

Conversão de endereços de rede

A NAT (Conversão de Endereços de Rede) é o método recomendado para permitir que a DVM (máquina virtual de implantação) acesse recursos externos e a Internet durante a implantação, bem como as VMs do ERCS (Console de Recuperação de Emergência) ou PEP (ponto de extremidade privilegiado) durante o registro e a solução de problemas.

O NAT também pode ser uma alternativa para endereços IP públicos na rede externa ou VIPs públicos. No entanto, ele não é recomendável porque limita a experiência do usuário do locatário e aumenta a complexidade. Uma opção seria um NAT de um para um que ainda exija um IP público por IP de usuário no pool. Outra opção é um NAT de muitos para um que exija uma regra NAT por VIP de usuário para todas as portas que um usuário possa usar.

Algumas das desvantagens de usar NAT para VIP Público são:

  • O NAT adiciona sobrecarga ao gerenciar regras de firewall porque os usuários controlam seus próprios pontos de extremidade e regras de publicação na pilha de SDN (rede definida pelo software). Os usuários devem entrar em contato com o operador do Azure Stack Hub para que seus VIPs sejam publicados e para atualizar a lista de portas.
  • Embora o uso de NAT limite a experiência do usuário, ele proporciona controle total ao operador sobre as solicitações de publicação.
  • Em cenários de nuvem híbrida com o Azure, considere que o Azure não dá suporte à configuração de um túnel de VPN para um ponto de extremidade usando NAT.

Interceptação de SSL

No momento, é recomendável desabilitar a interceptação de SSL (por exemplo, o descarregamento de descriptografia) em todo o tráfego do Azure Stack Hub. Se houver suporte em atualizações futuras, serão fornecidas diretrizes sobre como habilitar a interceptação de SSL para o Azure Stack Hub.

Cenário de firewall do Edge

Em uma implantação de borda, o Azure Stack Hub é implantado diretamente atrás do firewall ou do roteador de borda. Nesses cenários, há suporte para que o firewall esteja acima da borda (cenário 1), em que ele dá suporte a configurações de firewall ativo-ativo e ativo-passivo, ou para que ele atue como o dispositivo de borda (cenário 2), em que só dá suporte à configuração de firewall ativo-ativo, contando com ECMP (vários caminhos de custo igual) com BGP ou roteamento estático para failover.

Os endereços IP roteáveis públicos são especificados para o pool VIP público da rede externa no momento da implantação. Em um cenário de borda, não é recomendável usar IPs roteáveis públicos em qualquer outra rede por motivos de segurança. Esse cenário permite que um usuário tenha toda a experiência em nuvem totalmente controlada como em uma nuvem pública similar ao Azure.

Exemplo de firewall de borda do Azure Stack Hub

Cenário de firewall de rede ou de perímetro ou intranet empresarial

Em uma implantação de perímetro ou intranet empresarial, o Azure Stack Hub é implantado em um firewall com várias zonas ou entre o firewall de borda e o firewall interno da rede corporativa. Em seguida, seu tráfego é distribuído entre a rede de perímetro segura (ou a DMZ) e as zonas não seguras, como descrito abaixo:

  • Zona segura: é a rede interna que usa endereços IP roteáveis internos ou corporativos. A rede segura pode ser dividida, ter acesso de saída à Internet por meio da NAT no Firewall e geralmente pode ser acessada de qualquer lugar dentro do datacenter por meio da rede interna. Todas as redes do Azure Stack Hub devem residir na zona segura, exceto o pool VIP público da rede externa.
  • Zona do perímetro. É na rede de perímetro que normalmente são implantados os aplicativos externos ou voltados para a Internet, como servidores Web. Geralmente, ele é monitorado por um firewall para evitar ataques como DDoS e intrusão (hacking) enquanto ainda permite o tráfego de entrada especificado da Internet. Somente o pool VIP público de rede externa do Azure Stack Hub deve residir na zona DMZ.
  • Zona não segura. Essa é a rede externa, a Internet. Não é recomendável implantar o Azure Stack Hub na zona não segura.

Exemplo de rede de perímetro do Azure Stack Hub

Saiba mais

Saiba mais sobre portas e protocolos usados pelos pontos de extremidade do Azure Stack Hub.

Próximas etapas

Requisitos de PKI do Azure Stack Hub