Plano de ligação à Internet de entrada e saídaPlan for inbound and outbound internet connectivity

Esta secção descreve modelos de conectividade recomendados para a conectividade de entrada e saída de e para a internet pública.This section describes recommended connectivity models for inbound and outbound connectivity to and from the public internet.

Considerações de conceção:Design considerations:

  • Os serviços de segurança de rede nativos do Azure, como o Azure Firewall, a Firewall de Aplicações Web (WAF) do Azure no Gateway de Aplicação do Azure e o Azure Front Door são serviços totalmente geridos.Azure-native network security services such as Azure Firewall, Azure Web Application Firewall (WAF) on Azure Application Gateway, and Azure Front Door are fully managed services. Assim, não incorre em custos operacionais e de gestão associados às implementações de infraestrutura, o que se pode tornar complexo em escala.So you don't incur the operational and management costs associated with infrastructure deployments, which can become complex at scale.

  • A arquitetura em escala empresarial é totalmente compatível com NVAs parceiros, se a sua organização preferir usar NVAs ou para situações em que os serviços nativos não satisfaçam os requisitos específicos da sua organização.The enterprise-scale architecture is fully compatible with partner NVAs, if your organization prefers to use NVAs or for situations where native services don't satisfy your organization's specific requirements.

Recomendações de design:Design recommendations:

  • Utilize a Firewall Azure para governar:Use Azure Firewall to govern:

    • Tráfego de saída Azure para a internet.Azure outbound traffic to the internet.

    • Ligações de entrada não HTTP/S.Non-HTTP/S inbound connections.

    • Filtragem de tráfego leste/oeste (se a sua organização assim o exigir).East/west traffic filtering (if your organization requires it).

  • Utilize o Gestor de Firewall com o VIRTUAL WAN para implementar e gerir firewalls Azure através de centros VIRTUAIS WAN ou em redes virtuais do hub.Use Firewall Manager with Virtual WAN to deploy and manage Azure firewalls across Virtual WAN hubs or in hub virtual networks. O Gestor de Firewall está agora em disponibilidade geral tanto para o WAN Virtual como para as redes virtuais.Firewall Manager is now in general availability for both Virtual WAN and regular virtual networks.

  • Crie uma política global do Azure Firewall para governar a postura de segurança em todo o ambiente global da rede e atribuí-la a todos os casos do Azure Firewall.Create a global Azure Firewall policy to govern security posture across the global network environment and assign it to all Azure Firewall instances. Permitir que as políticas granular satisfaçam os requisitos de regiões específicas, delegando políticas incrementais de firewall às equipas de segurança locais através do controlo de acesso baseado em funções Azure.Allow for granular policies to meet requirements of specific regions by delegating incremental firewall policies to local security teams via Azure role-based access control.

  • Configure os fornecedores de segurança SaaS apoiados no Gestor de Firewall se a sua organização quiser usar essas soluções para ajudar a proteger as ligações de saída.Configure supported partner SaaS security providers within Firewall Manager if your organization wants to use such solutions to help protect outbound connections.

  • Utilize o WAF dentro de uma rede virtual de zona de aterragem para proteger o tráfego HTTP/S de entrada da internet.Use WAF within a landing-zone virtual network for protecting inbound HTTP/S traffic from the internet.

  • Utilize as políticas Azure Front Door e WAF para fornecer proteção global em todas as regiões de Azure para ligações HTTP/S de entrada a uma zona de aterragem.Use Azure Front Door and WAF policies to provide global protection across Azure regions for inbound HTTP/S connections to a landing zone.

  • Quando estiver a utilizar a Porta frontal Azure e o Gateway de aplicações Azure para ajudar a proteger as aplicações HTTP/S, utilize as políticas WAF na Porta frontal Azure.When you're using Azure Front Door and Azure Application Gateway to help protect HTTP/S applications, use WAF policies in Azure Front Door. Bloqueie o Gateway de aplicações Azure para receber o tráfego apenas a partir da Porta frontal de Azure.Lock down Azure Application Gateway to receive traffic only from Azure Front Door.

  • Se forem necessárias NVAs parceiras para a proteção do tráfego leste/oeste ou sul/norte e filtragem:If partner NVAs are required for east/west or south/north traffic protection and filtering:

    • Para as topologias de rede VIRTUAL WAN, implante os NVAs numa rede virtual separada (por exemplo, rede virtual NVA).For Virtual WAN network topologies, deploy the NVAs to a separate virtual network (for example, NVA virtual network). Em seguida, conecte-o ao centro regional de WAN virtual e às zonas de aterragem que requerem acesso aos NVAs.Then connect it to the regional Virtual WAN hub and to the landing zones that require access to NVAs. Este artigo descreve o processo.This article describes the process.
    • Para as topologias não virtuais da rede WAN, implemente os NVAs parceiros na rede virtual central-hub.For non-Virtual WAN network topologies, deploy the partner NVAs in the central-hub virtual network.
  • Se forem necessárias NVAs parceiras para ligações HTTP/S de entrada, implemente-as dentro de uma rede virtual de zona de aterragem e juntamente com as aplicações que estão a proteger e a expor à internet.If partner NVAs are required for inbound HTTP/S connections, deploy them within a landing-zone virtual network and together with the applications that they're protecting and exposing to the internet.

  • Utilize planos de proteção Azure DDoS Protection Standard para ajudar a proteger todos os pontos finais públicos alojados nas suas redes virtuais.Use Azure DDoS Protection Standard protection plans to help protect all public endpoints hosted within your virtual networks.

  • Não replique os conceitos e as arquiteturas da rede de perímetro no local no Azure.Don't replicate on-premises perimeter network concepts and architectures into Azure. Estão disponíveis capacidades de segurança semelhantes no Azure, mas a implementação e a arquitetura têm de se adaptar à cloud.Similar security capabilities are available in Azure, but the implementation and architecture must be adapted to the cloud.