Redes de perímetroPerimeter networks

As redes de perímetro oferecem uma conetividade segura entre as redes da cloud e as redes de datacenters físicas ou no local, juntamente com qualquer conetividade de/para a Internet.Perimeter networks enable secure connectivity between your cloud networks and your on-premises or physical datacenter networks, along with any connectivity to and from the internet. Uma rede de perímetro é por vezes chamada de zona desmilitarizada ou DMZ.A perimeter network is sometimes called a demilitarized zone or DMZ.

Para as redes de perímetro serem eficazes, os pacotes de entrada têm de passar por aplicações de segurança alojadas em sub-redes seguras antes de chegarem aos servidores back-end.For perimeter networks to be effective, incoming packets must flow through security appliances hosted in secure subnets before reaching back-end servers. Exemplos incluem a firewall, sistemas de deteção de intrusões e sistemas de prevenção de intrusões.Examples include the firewall, intrusion detection systems, and intrusion prevention systems. Antes de saírem da rede, os pacotes vinculados à Internet de cargas de trabalho também devem passar pelas aplicações de segurança na rede de perímetro.Before they leave the network, internet-bound packets from workloads should also flow through the security appliances in the perimeter network. Os objetivos desta passagem são a garantia do cumprimento da política, a inspeção e a auditoria.The purposes of this flow are policy enforcement, inspection, and auditing.

As redes de perímetro fazem uso das seguintes funcionalidades e serviços do Azure:Perimeter networks make use of the following Azure features and services:

Nota

As arquiteturas de referência do Azure fornecem modelos de exemplo que pode utilizar para implementar as suas próprias redes de perímetro:Azure reference architectures provide example templates that you can use to implement your own perimeter networks:

Normalmente, a sua equipa central de TI e as equipas de segurança são responsáveis pela definição de requisitos para operar as suas redes de perímetro.Usually, your central IT team and security teams are responsible for defining requirements for operating your perimeter networks.

Exemplo de um hub e da topologia da rede de fala Figura 1: Exemplo de um hub e topologia de rede falada.Example of a hub and spoke network topology Figure 1: Example of a hub and spoke network topology.

O diagrama acima mostra um centro de exemplo e uma topologia de rede falada que implementa a aplicação de dois perímetros com acesso à internet e uma rede no local.The diagram above shows an example hub and spoke network topology that implements enforcement of two perimeters with access to the internet and an on-premises network. Ambos os perímetros residem no hub de DMZ.Both perimeters reside in the DMZ hub. No centro da DMZ, a rede de perímetro para a internet pode escalar para suportar muitas linhas de negócio através de várias fazendas de WAFs e instâncias Azure Firewall que ajudam a proteger as redes virtuais faladas.In the DMZ hub, the perimeter network to the internet can scale up to support many lines of business via multiple farms of WAFs and Azure Firewall instances that help protect the spoke virtual networks. O hub também oferece conetividade via VPN ou Azure ExpressRoute, conforme necessário.The hub also allows for connectivity via VPN or Azure ExpressRoute as needed.

Redes virtuaisVirtual networks

As redes de perímetro são normalmente construídas através de uma rede virtual com múltiplas sub-redes para alojar diferentes tipos de serviços que filtram e inspecionam o tráfego para/da Internet via NVAs, WAFs e instâncias do Gateway de Aplicação Azure.Perimeter networks are typically built using a virtual network with multiple subnets to host the different types of services that filter and inspect traffic to or from the internet via NVAs, WAFs, and Azure Application Gateway instances.

Rotas definidas pelo utilizadorUser-defined routes

Utilizando rotas definidas pelo utilizador,os clientes podem implementar firewalls, sistemas de deteção de intrusões, sistemas de prevenção de intrusões e outros aparelhos virtuais.By using user-defined routes, customers can deploy firewalls, intrusion detection systems, intrusion prevention systems, and other virtual appliances. Em seguida, os clientes podem encaminhar o tráfego através destas aplicações de segurança para garantia de cumprimento da política de limite de segurança, auditoria e inspeção.Customers can then route network traffic through these security appliances for security boundary policy enforcement, auditing, and inspection. As rotas definidas pelo utilizador podem ser criadas para garantir que o tráfego passa através das VMs, das NVAs e dos balanceadores de carga personalizados especificados.User-defined routes can be created to guarantee that traffic passes through the specified custom VMs, NVAs, and load balancers.

Num hub e num exemplo de rede de fala, garantir que o tráfego gerado por máquinas virtuais que residem nos passes de porta-voz através dos aparelhos virtuais corretos no hub requer uma rota definida pelo utilizador definida nas sub-redes do porta-voz.In a hub and spoke network example, guaranteeing that traffic generated by virtual machines that reside in the spoke passes through the correct virtual appliances in the hub requires a user-defined route defined in the subnets of the spoke. Esta rota define o endereço IP front-end do balanceador de carga interno como o próximo salto.This route sets the front-end IP address of the internal load balancer as the next hop. O balanceador de carga interno distribui o tráfego interno pelas aplicações virtuais (conjunto de back-end do balanceador de carga).The internal load balancer distributes the internal traffic to the virtual appliances (load balancer back-end pool).

Azure FirewallAzure Firewall

O Azure Firewall é um serviço gerido baseado em nuvem que ajuda a proteger os seus recursos da Rede Virtual Azure.Azure Firewall is a managed cloud-based service that helps protect your Azure Virtual Network resources. É uma firewall gerida com total monitorização de estado de elevada disponibilidade incorporada e escalabilidade da cloud ilimitada.It's a fully stateful managed firewall with built-in high availability and unrestricted cloud scalability. Pode criar, impor e registar centralmente políticas de conectividade de rede e aplicações entre subscrições e redes virtuais.You can centrally create, enforce, and log application and network connectivity policies across subscriptions and virtual networks.

O Azure Firewall utiliza um endereço IP público estático para os recursos de redes virtuais.Azure Firewall uses a static public IP address for your virtual network resources. Permite às firewalls externas identificar o tráfego proveniente da rede virtual.It allows outside firewalls to identify traffic that originates from your virtual network. O serviço interage com o Azure Monitor para efeitos de registo e análise.The service interoperates with Azure Monitor for logging and analytics.

Aplicações virtuais de redeNetwork virtual appliances

As redes de perímetro com acesso à Internet são normalmente geridas através de uma instância do Azure Firewall, de um farm de firewalls ou de firewalls de aplicações Web.Perimeter networks with access to the internet are typically managed through an Azure Firewall instance or a farm of firewalls or web application firewalls.

Diferentes linhas de negócio geralmente usam muitas aplicações web.Different lines of business commonly use many web applications. Estas aplicações tendem a sofrer de diversas vulnerabilidades e potenciais exploits.These applications tend to suffer from various vulnerabilities and potential exploits. Uma Firewall de aplicação web deteta ataques contra aplicações web (HTTP/S) em mais profundidade do que uma firewall genérica.A Web Application Firewall detects attacks against web applications (HTTP/S) in more depth than a generic firewall. Em comparação com a tecnologia de firewall tradicional, as firewalls de aplicações Web possuem um conjunto de funções específicas que ajudam a proteger os servidores Web internos contra ameaças.Compared with tradition firewall technology, web application firewalls have a set of specific features to help protect internal web servers from threats.

Um exemplo de Azure Firewall e uma firewall [de rede virtual][NVA] usam um plano de administração comum com um conjunto de regras de segurança para ajudar a proteger as cargas de trabalho acolhidas nos raios e controlar o acesso às redes no local.An Azure Firewall instance and a [network virtual appliance][NVA] firewall use a common administration plane with a set of security rules to help protect the workloads hosted in the spokes and control access to on-premises networks. O Azure Firewall possui escalabilidade incorporada, enquanto as firewalls NVA podem ser dimensionadas manualmente por trás de um balanceador de carga.Azure Firewall has built-in scalability, whereas NVA firewalls can be manually scaled behind a load balancer.

Um farm de firewall tem, normalmente, menos software especializado em comparação com uma WAF, mas oferece um espectro de aplicação mais amplo para filtrar e inspecionar qualquer tipo de tráfego de entrada e saída.A firewall farm typically has less specialized software compared with a WAF, but it has a broader application scope to filter and inspect any type of traffic in egress and ingress. Se utilizar uma abordagem NVA, pode encontrar e implementar o software no Azure Marketplace.If you use an NVA approach, you can find and deploy the software from the Azure Marketplace.

Utilize um conjunto de instâncias do Azure Firewall (ou NVAs) para o tráfego com origem na Internet e outro conjunto para tráfego com origem no local.Use one set of Azure Firewall instances (or NVAs) for traffic that originates on the internet and another set for traffic that originates on-premises. A utilização de apenas um conjunto de firewalls para ambos é um risco de segurança, porque não proporciona qualquer perímetro de segurança entre os dois conjuntos de tráfego de rede.Using only one set of firewalls for both is a security risk because it provides no security perimeter between the two sets of network traffic. A utilização de camadas de firewall separadas reduz a complexidade das regras de segurança de verificação e revela as regras que correspondem a cada pedido de rede recebido.Using separate firewall layers reduces the complexity of checking security rules and makes clear which rules correspond to which incoming network requests.

Azure Load BalancerAzure Load Balancer

O Balanceador de Carga do Azure oferece um serviço de Camada 4 (TCP/UDP) de alta disponibilidade, capaz de distribuir o tráfego de entrada por instâncias de serviço definidas num conjunto com balanceamento de carga.Azure Load Balancer offers a high-availability Layer 4 (TCP/UDP) service, which can distribute incoming traffic among service instances defined in a load-balanced set. O tráfego enviado para o balanceador de carga a partir de pontos finais front-end (pontos finais de IP público ou pontos finais de IP privado) pode ser redistribuído com ou sem tradução de endereços para um conjunto de endereços IP back-end (como NVAs ou VMs).Traffic sent to the load balancer from front-end endpoints (public IP endpoints or private IP endpoints) can be redistributed with or without address translation to a pool of back-end IP addresses (such as NVAs or VMs).

O Balanceador de Carga do Azure também pode pesquisar o estado de funcionamento das várias instâncias de servidor.Azure Load Balancer can also probe the health of the various server instances. Quando uma instância não consegue responder a uma pesquisa, o balanceador de carga deixa de enviar tráfego para as instâncias em mau estado de funcionamento.When an instance fails to respond to a probe, the load balancer stops sending traffic to the unhealthy instance.

Como exemplo de utilização de um hub e topologia de rede falada, pode implantar um equilibrador de carga externo tanto para o centro como para os raios.As an example of using a hub and spoke network topology, you can deploy an external load balancer to both the hub and the spokes. No hub, o balanceador de carga encaminha o tráfego com eficiência para os serviços nos spokes.In the hub, the load balancer efficiently routes traffic to services in the spokes. Nos spokes, os balanceadores de carga gerem o tráfego da aplicação.In the spokes, load balancers manage application traffic.

Azure Front DoorAzure Front Door

Azure Front Door é a plataforma de aceleração de aplicações web altamente disponível e escalável da Microsoft e o balanceador global de carga HTTPS.Azure Front Door is Microsoft's highly available and scalable web application acceleration platform and global HTTPS load balancer. Pode utilizar a Porta Frontal Azure para construir, operar e escalar a sua aplicação web dinâmica e conteúdo estático.You can use Azure Front Door to build, operate, and scale out your dynamic web application and static content. É executado em mais de 100 localizações na rede global da Microsoft.It runs in more than 100 locations at the edge of Microsoft's global network.

A Azure Front Door fornece a sua aplicação com automatização unificada de manutenção regional/selo, automação BCDR, informações unificadas de cliente/utilizador, caching e insights de serviço.Azure Front Door provides your application with unified regional/stamp maintenance automation, BCDR automation, unified client/user information, caching, and service insights. A plataforma oferece desempenho, fiabilidade e suporta os SLAs.The platform offers performance, reliability, and support SLAs. Também oferece certificações de conformidade e práticas de segurança auditáveis que são desenvolvidas, operadas e suportadas nativamente pelo Azure.It also offers compliance certifications and auditable security practices that are developed, operated, and supported natively by Azure.

Gateway de Aplicação do AzureAzure Application Gateway

O Azure Application Gateway é um aparelho virtual dedicado que fornece um controlador de entrega de aplicações gerido.Azure Application Gateway is a dedicated virtual appliance that provides a managed application delivery controller. Oferece várias capacidades de equilíbrio de carga da Camada 7 para a sua aplicação.It offers various Layer 7 load-balancing capabilities for your application.

O Azure Application Gateway permite-lhe otimizar a produtividade da web farm, descarregando a terminação SSL intensiva de CPU para o gateway de aplicações.Azure Application Gateway allows you to optimize web farm productivity by offloading CPU-intensive SSL termination to the application gateway. Também fornece outras capacidades de encaminhamento da Camada 7, incluindo distribuição de rodapé de tráfego de entrada, afinidade de sessão baseada em cookies, encaminhamento baseado em caminhos de URL e a capacidade de hospedar vários websites por trás de um único gateway de aplicação.It also provides other Layer 7 routing capabilities, including round-robin distribution of incoming traffic, cookie-based session affinity, URL path-based routing, and the ability to host multiple websites behind a single application gateway.

O Azure Application Gateway WAF SKU inclui uma Firewall de Aplicação Web.The Azure Application Gateway WAF SKU includes a Web Application Firewall. Este SKU oferece proteção às aplicações Web contra vulnerabilidades e exploits Web comuns.This SKU provides protection to web applications from common web vulnerabilities and exploits. Pode configurar o Azure Application Gateway como um portal virado para a Internet, um portal interno ou uma combinação de ambos.You can configure Azure Application Gateway as an internet-facing gateway, an internal-only gateway, or a combination of both.

IPs públicosPublic IPs

Com algumas funcionalidades do Azure, pode associar pontos finais de serviço a um endereço IP público, para que o seu recurso possa ser acedido a partir da Internet.With some Azure features, you can associate service endpoints to a public IP address so that your resource can be accessed from the internet. Este ponto final utiliza a tradução de endereços de rede (NAT) para encaminhar o tráfego para o endereço interno e porta na Rede Virtual Azure.This endpoint uses network address translation (NAT) to route traffic to the internal address and port on the Azure Virtual Network. Este caminho é a via principal de passagem do tráfego externo para a rede virtual.This path is the primary way for external traffic to pass into the virtual network. Pode configurar endereços IP públicos para determinar qual o tráfego que entra e como e onde é traduzido para a rede virtual.You can configure public IP addresses to determine what traffic is passed in, and how and where it's translated onto the virtual network.

Norma do Azure DDoS ProtectionAzure DDoS Protection Standard

O Azure DDoS Protection Standard fornece capacidades adicionais de mitigação sobre o nível básico de serviço que são sintonizados especificamente para os recursos da Rede Virtual Azure.Azure DDoS Protection Standard provides additional mitigation capabilities over the basic service tier that are tuned specifically to Azure Virtual Network resources. A norma de proteção DDoS é simples de ativar e não requer alterações de aplicação.DDoS protection standard is simple to enable and requires no application changes.

Pode adaptar as políticas de proteção através da monitorização de tráfego dedicada e de algoritmos de aprendizagem de máquina.You can tune protection policies through dedicated traffic monitoring and machine-learning algorithms. As políticas são aplicadas aos endereços IP públicos associados aos recursos implementados nas redes virtuais.Policies are applied to public IP addresses associated to resources deployed in virtual networks. Exemplos incluem exemplos de Azure Load Balancer, Application Gateway e Service Fabric instances.Examples include Azure Load Balancer, Application Gateway, and Service Fabric instances.

A telemetria em tempo real está disponível através das vistas do Azure Monitor durante um ataque e para fins de histórico.Real-time telemetry is available through Azure Monitor views both during an attack and for historical purposes. Pode adicionar proteção contra camadas de aplicação utilizando a Firewall de Aplicação Web em Gateway de aplicações Azure.You can add application-layer protection by using the Web Application Firewall in Azure Application Gateway. É fornecida proteção para os endereços IP públicos IPv4 do Azure.Protection is provided for IPv4 Azure public IP addresses.