Rede definida de software: Cloud DMZSoftware Defined Networking: Cloud DMZ

A arquitetura da rede Cloud DMZ permite um acesso limitado entre as suas redes no local e as redes baseadas na nuvem, utilizando uma rede privada virtual (VPN) para ligar as redes.The Cloud DMZ network architecture allows limited access between your on-premises and cloud-based networks, using a virtual private network (VPN) to connect the networks. Embora um modelo DMZ seja comumente utilizado quando pretende garantir o acesso externo a uma rede, a arquitetura Cloud DMZ discutida aqui destina-se especificamente a garantir o acesso à rede de recursos baseados na nuvem e vice-versa.Although a DMZ model is commonly used when you want to secure external access to a network, the Cloud DMZ architecture discussed here is intended specifically to secure access to the on-premises network from cloud-based resources and vice versa.

Arquitetura de rede híbrida segura

Esta arquitetura é projetada para apoiar cenários onde a sua organização quer começar a integrar cargas de trabalho baseadas em nuvem com cargas de trabalho no local, mas pode não ter plenamente amadurecido políticas de segurança na nuvem ou adquirido uma ligação WAN segura e dedicada entre os dois ambientes.This architecture is designed to support scenarios where your organization wants to start integrating cloud-based workloads with on-premises workloads but may not have fully matured cloud security policies or acquired a secure dedicated WAN connection between the two environments. Como resultado, as redes em nuvem devem ser tratadas como um DMZ para garantir que os serviços no local são seguros.As a result, cloud networks should be treated like a DMZ to ensure on-premises services are secure.

O DMZ implementa aparelhos virtuais de rede (NVAs) para implementar funcionalidades de segurança, tais como firewalls e inspeção de pacotes.The DMZ deploys network virtual appliances (NVAs) to implement security functionality such as firewalls and packet inspection. O tráfego que passa entre as instalações e aplicações ou serviços baseados na nuvem deve passar pelo DMZ onde possa ser auditado.Traffic passing between on-premises and cloud-based applications or services must pass through the DMZ where it can be audited. As ligações VPN e as regras que determinam o tráfego permitido através da rede DMZ são estritamente controladas pelas equipas de segurança de TI.VPN connections and the rules determining what traffic is allowed through the DMZ network are strictly controlled by IT security teams.

Pressupostos de DMZ em nuvemCloud DMZ assumptions

A implementação de um DMZ cloud inclui os seguintes pressupostos:Deploying a Cloud DMZ includes the following assumptions:

  • As suas equipas de segurança não alinharam totalmente no local e os requisitos e políticas de segurança baseados na nuvem.Your security teams have not fully aligned on-premises and cloud-based security requirements and policies.
  • As suas cargas de trabalho baseadas na nuvem requerem acesso a um subconjunto limitado de serviços alojados nas suas redes no local ou de terceiros, ou os utilizadores ou aplicações no seu ambiente no local precisam de acesso limitado a recursos hospedados na nuvem.Your cloud-based workloads require access to limited subset of services hosted on your on-premises or third-party networks, or users or applications in your on-premises environment need limited access to cloud-hosted resources.
  • A implementação de uma ligação VPN entre as suas redes no local e o fornecedor de nuvem não é impedida por questões de política corporativa, requisitos regulamentares ou questões técnicas de compatibilidade.Implementing a VPN connection between your on-premises networks and cloud provider is not prevented by corporate policy, regulatory requirements, or technical compatibility issues.
  • As suas cargas de trabalho ou não requerem múltiplas subscrições para contornar os limites de recursos de subscrição, ou envolvem múltiplas subscrições, mas não requerem uma gestão central da conectividade ou serviços partilhados utilizados por recursos espalhados por várias subscrições.Your workloads either do not require multiple subscriptions to bypass subscription resource limits, or they involve multiple subscriptions but don't require central management of connectivity or shared services used by resources spread across multiple subscriptions.

As suas equipas de adoção em nuvem devem considerar os seguintes problemas ao analisar a implementação de uma arquitetura de rede virtual Cloud DMZ:Your cloud adoption teams should consider the following issues when looking at implementing a Cloud DMZ virtual networking architecture:

  • A ligação de redes no local com redes em nuvem aumenta a complexidade dos seus requisitos de segurança.Connecting on-premises networks with cloud networks increases the complexity of your security requirements. Apesar de as ligações entre as redes em nuvem e o ambiente no local estarem seguras, ainda é necessário garantir que os recursos em nuvem estão seguros.Even though connections between cloud networks and the on-premises environment are secured, you still need to ensure cloud resources are secured. Quaisquer IPs públicos criados para aceder a cargas de trabalho baseadas na nuvem precisam de ser devidamente protegidos usando um DMZ ou Azure Firewall virados para o público.Any public IPs created to access cloud-based workloads need to be properly secured using a public-facing DMZ or Azure Firewall.
  • A arquitetura Cloud DMZ é comumente usada como um degrau enquanto a conectividade é mais segura e a política de segurança alinhada entre as redes de nuvem e as redes de nuvem, permitindo uma adoção mais ampla de uma arquitetura híbrida em rede em larga escala.The Cloud DMZ architecture is commonly used as a stepping stone while connectivity is further secured and security policy aligned between on-premises and cloud networks, allowing a broader adoption of a full-scale hybrid networking architecture. Pode também aplicar-se a implementações isoladas com necessidades específicas de segurança, identidade e conectividade que a abordagem Cloud DMZ satisfaz.It may also apply to isolated deployments with specific security, identity, and connectivity needs that the Cloud DMZ approach satisfies.

Saiba maisLearn more

Para obter mais informações sobre a implementação de um DMZ cloud em Azure, consulte:For more information about implementing a Cloud DMZ in Azure, see: