Rede definida pelo software: DMZ da nuvemSoftware Defined Networking: Cloud DMZ

A arquitetura de rede da DMZ de Nuvem permite acesso limitado entre redes locais e baseadas em nuvem, usando uma VPN (rede privada virtual) para conectar as redes.The Cloud DMZ network architecture allows limited access between your on-premises and cloud-based networks, using a virtual private network (VPN) to connect the networks. Embora um modelo DMZ seja comumente usado quando você deseja proteger o acesso externo a uma rede, a arquitetura de DMZ da nuvem discutida aqui destina-se especificamente a proteger o acesso à rede local por meio de recursos baseados em nuvem e vice-versa.Although a DMZ model is commonly used when you want to secure external access to a network, the Cloud DMZ architecture discussed here is intended specifically to secure access to the on-premises network from cloud-based resources and vice versa.

Proteger arquitetura de rede híbrida

Essa arquitetura foi projetada para dar suporte a cenários em que a organização deseja iniciar a integração de cargas de trabalho baseadas em nuvem com cargas de trabalho locais, mas pode não ter políticas de segurança em nuvem totalmente desenvolvidas ou adquirido uma conexão WAN dedicada segura entre os dois ambientes.This architecture is designed to support scenarios where your organization wants to start integrating cloud-based workloads with on-premises workloads but may not have fully matured cloud security policies or acquired a secure dedicated WAN connection between the two environments. Como resultado, as redes de nuvem devem ser tratadas como uma DMZ para garantir que os serviços locais sejam seguros.As a result, cloud networks should be treated like a DMZ to ensure on-premises services are secure.

A DMZ implanta NVAs (dispositivos virtuais de rede) para implementar a funcionalidade de segurança como firewalls e inspeção de pacotes.The DMZ deploys network virtual appliances (NVAs) to implement security functionality such as firewalls and packet inspection. O tráfego que passa entre aplicativos ou serviços locais e baseados em nuvem deve passar pela DMZ onde pode ser auditado.Traffic passing between on-premises and cloud-based applications or services must pass through the DMZ where it can be audited. As conexões VPN e as regras que determinam qual tráfego é permitido pela rede DMZ são estritamente controladas pelas equipes de segurança de TI.VPN connections and the rules determining what traffic is allowed through the DMZ network are strictly controlled by IT security teams.

Suposições sobre a DMZ de NuvemCloud DMZ assumptions

A implantação de uma DMZ de nuvem inclui as seguintes suposições:Deploying a Cloud DMZ includes the following assumptions:

  • As equipes de segurança não alinharam totalmente as exigências e políticas de segurança locais e baseadas em nuvem.Your security teams have not fully aligned on-premises and cloud-based security requirements and policies.
  • Suas cargas de trabalho baseadas em nuvem exigem acesso ao subconjunto limitado de serviços hospedados em suas redes locais ou de terceiros, ou usuários ou aplicativos em seu ambiente local precisam de acesso limitado a recursos hospedados na nuvem.Your cloud-based workloads require access to limited subset of services hosted on your on-premises or third-party networks, or users or applications in your on-premises environment need limited access to cloud-hosted resources.
  • A implementação de uma conexão VPN entre as redes locais e o provedor de nuvem não é impedida pela política corporativa, requisitos regulamentares ou problemas de compatibilidade técnica.Implementing a VPN connection between your on-premises networks and cloud provider is not prevented by corporate policy, regulatory requirements, or technical compatibility issues.
  • As cargas de trabalho não exigem várias assinaturas para ignorar limites de recursos de assinatura, ou envolvem várias assinaturas mas não requerem gerenciamento central de conectividade ou serviços compartilhados usados por recursos distribuídos por várias assinaturas.Your workloads either do not require multiple subscriptions to bypass subscription resource limits, or they involve multiple subscriptions but don't require central management of connectivity or shared services used by resources spread across multiple subscriptions.

Suas equipes de adoção de nuvem devem considerar os seguintes problemas ao analisar a implementação de uma arquitetura de rede virtual DMZ da nuvem:Your cloud adoption teams should consider the following issues when looking at implementing a Cloud DMZ virtual networking architecture:

  • Conectar redes locais com redes em nuvem aumenta a complexidade dos requisitos de segurança.Connecting on-premises networks with cloud networks increases the complexity of your security requirements. Embora as conexões entre redes de nuvem e o ambiente local estejam protegidas, você ainda precisa garantir que os recursos de nuvem estejam protegidos.Even though connections between cloud networks and the on-premises environment are secured, you still need to ensure cloud resources are secured. Todos os IPs públicos criados para acessar cargas de trabalho baseadas em nuvem precisam ser devidamente protegidos usando uma DMZ voltada para o público ou o Firewall do Azure.Any public IPs created to access cloud-based workloads need to be properly secured using a public-facing DMZ or Azure Firewall.
  • A arquitetura de DMZ de Nuvem normalmente é utilizada como um ponto de partida, enquanto a conectividade é mais protegida e a política de segurança é alinhada entre as redes locais e na nuvem, permitindo uma adoção mais ampla de uma arquitetura de rede híbrida em grande escala.The Cloud DMZ architecture is commonly used as a stepping stone while connectivity is further secured and security policy aligned between on-premises and cloud networks, allowing a broader adoption of a full-scale hybrid networking architecture. Ele também pode se aplicar a implantações isoladas com segurança, identidade e necessidades de conectividade específicas que a abordagem de DMZ da nuvem atenda.It may also apply to isolated deployments with specific security, identity, and connectivity needs that the Cloud DMZ approach satisfies.

Saiba maisLearn more

Para obter mais informações sobre como implementar uma DMZ de nuvem no Azure, consulte:For more information about implementing a Cloud DMZ in Azure, see: