Partilhar via


Integração da firewall do Azure Stack Hub

Recomenda-se que utilize um dispositivo de firewall para ajudar a proteger o Azure Stack Hub. As firewalls podem ajudar a defender-se contra aspetos como ataques denial-of-service distribuídos (DDOS), deteção de intrusões e inspeção de conteúdo. No entanto, também podem tornar-se um estrangulamento de débito para serviços de armazenamento do Azure, como blobs, tabelas e filas.

Se for utilizado um modo de implementação desligado, tem de publicar o ponto final do AD FS. Para obter mais informações, veja o artigo datacenter integration identity (Identidade de integração do datacenter).

Os pontos finais Resource Manager (administrador), portal de administrador e Key Vault (administrador) do Azure não necessitam necessariamente de publicação externa. Por exemplo, como fornecedor de serviços, pode limitar a superfície de ataque ao administrar apenas o Azure Stack Hub a partir da sua rede e não a partir da Internet.

Para organizações empresariais, a rede externa pode ser a rede empresarial existente. Neste cenário, tem de publicar pontos finais para operar o Azure Stack Hub a partir da rede empresarial.

Tradução de Endereços de Rede

A Tradução de Endereços de Rede (NAT) é o método recomendado para permitir que a máquina virtual de implementação (DVM) aceda a recursos externos e à Internet durante a implementação, bem como às VMs da Consola de Recuperação de Emergência (ERCS) ou ao ponto final privilegiado (PEP) durante o registo e a resolução de problemas.

O NAT também pode ser uma alternativa aos endereços IP públicos na rede externa ou nos VIPs públicos. No entanto, não é recomendado fazê-lo porque limita a experiência do utilizador inquilino e aumenta a complexidade. Uma opção seria um NAT de um para um que ainda requer um IP público por IP de utilizador no conjunto. Outra opção é um NAT muitos para um que requer uma regra NAT por VIP de utilizador para todas as portas que um utilizador possa utilizar.

Algumas das desvantagens da utilização de NAT para VIP Público são:

  • O NAT adiciona sobrecarga ao gerir regras de firewall porque os utilizadores controlam os seus próprios pontos finais e as suas próprias regras de publicação na pilha de redes definidas pelo software (SDN). Os utilizadores têm de contactar o operador do Azure Stack Hub para publicar os VIPs e atualizar a lista de portas.
  • Embora a utilização nat limite a experiência do utilizador, dá controlo total ao operador sobre os pedidos de publicação.
  • Para cenários de cloud híbrida com o Azure, considere que o Azure não suporta a configuração de um túnel VPN para um ponto final com NAT.

Interceção SSL

Atualmente, é recomendado desativar qualquer intercepção SSL (por exemplo, descarga de desencriptação) em todo o tráfego do Azure Stack Hub. Se for suportado em atualizações futuras, serão fornecidas orientações sobre como ativar a interceção SSL para o Azure Stack Hub.

Cenário de firewall do Edge

Numa implementação edge, o Azure Stack Hub é implementado diretamente atrás do router edge ou da firewall. Nestes cenários, é suportado que a firewall esteja acima do limite (Cenário 1), em que suporta configurações de firewall ativa-ativa e ativa-passiva ou atua como o dispositivo de limite (Cenário 2) em que apenas suporta a configuração de firewall ativa-ativa, dependendo de vários caminhos de custo igual (ECMP) com BGP ou encaminhamento estático para ativação pós-falha.

Os endereços IP encaminháveis públicos são especificados para o conjunto VIP público a partir da rede externa no momento da implementação. Num cenário edge, não é recomendado utilizar IPs encaminháveis públicos em qualquer outra rede para fins de segurança. Este cenário permite a um utilizador experimentar toda a experiência de cloud autocontrolada como numa cloud pública como o Azure.

Exemplo de firewall de periferia do Azure Stack Hub

Cenário de firewall de rede de perímetro ou intranet empresarial

Numa implementação de intranet ou perímetro empresarial, o Azure Stack Hub é implementado numa firewall com várias zonas ou entre a firewall de limite e a firewall de rede empresarial interna. Em seguida, o tráfego é distribuído entre as zonas segura, de perímetro (ou DMZ) e as zonas não seguras, conforme descrito abaixo:

  • Zona segura: esta é a rede interna que utiliza endereços IP encaminháveis internos ou empresariais. A rede segura pode ser dividida, ter acesso de saída da Internet através de NAT na Firewall e, normalmente, é acessível a partir de qualquer lugar dentro do seu datacenter através da rede interna. Todas as redes do Azure Stack Hub devem residir na zona segura, exceto no conjunto VIP público da rede externa.
  • Zona de perímetro. A rede de perímetro é onde as aplicações externas ou com acesso à Internet, como os servidores Web, são normalmente implementadas. Normalmente, é monitorizada por uma firewall para evitar ataques como DDoS e intrusões (hacking), ao mesmo tempo que permite tráfego de entrada especificado a partir da Internet. Apenas o conjunto VIP público de rede externa do Azure Stack Hub deve residir na zona DMZ.
  • Zona não seguras. Esta é a rede externa, a Internet. Não é recomendado implementar o Azure Stack Hub na zona não seguras.

Exemplo de rede de perímetro do Azure Stack Hub

Saber mais

Saiba mais sobre as portas e os protocolos utilizados pelos pontos finais do Azure Stack Hub.

Passos seguintes

Requisitos de PKI do Azure Stack Hub