Firewall do Datacenter no Azure Stack HCI

  • 9 minutos

A funcionalidade do Firewall do Datacenter de rede definida por software (SDN) do Azure Stack HCI pode potencialmente ajudar a melhorar a segurança do seu ambiente. O Datacenter Firewall também pode minimizar a expansão de dispositivos de hardware, para apoiar as iniciativas de consolidação da sua empresa. Você precisa garantir que os recursos do Datacenter Firewall vão além da rede virtual para fornecer integração com seu ambiente de rede local virtual (VLAN) existente.

Como os datacenters locais tradicionais que usam dispositivos de firewall físicos para restringir a conectividade de rede, os ambientes SDN devem ser capazes de controlar a conectividade. O Distributed Datacenter Firewall fornece essa funcionalidade e, juntamente com o Balanceamento de Carga de Software e o Gateway do Servidor de Acesso Remoto (RAS), serve como um componente central do SDN. O Controlador de Rede fornece uma interface central de gerenciamento e monitoramento para o Datacenter Firewall para ajudar a proteger cargas de trabalho virtualizadas contra acesso não autorizado à rede.

Benefícios do Datacenter Firewall

Os firewalls tradicionais têm como alvo a conectividade de borda, filtrando o tráfego entre datacenters locais e a Internet, comumente chamada de comunicação Norte-Sul . Esta abordagem oferece proteção limitada no mundo de hoje, onde o perímetro da rede tem menos significado como limite de proteção.

Para fornecer proteção significativa em uma estratégia de confiança zero, os firewalls também devem ajudar a proteger os recursos dentro de um datacenter contra ameaças internas. O uso de firewalls físicos para filtrar a comunicação local, também chamado de tráfego Leste-Oeste , é um desafio porque requer investimento adicional em hardware e sobrecarga operacional. O roteamento de todo o tráfego protegido por meio de um dispositivo físico separado também aumenta a latência, o que afeta negativamente as cargas de trabalho internas.

No Azure Stack HCI, você pode definir filtragem granular baseada em software de cargas de trabalho virtualizadas que é aplicável ao tráfego externo e interno. O Datacenter Firewall fornece essa filtragem por meio de listas de controle de acesso (ACLs) em redes lógicas e virtuais.

Para administradores do Azure Stack HCI, o Datacenter Firewall oferece os seguintes benefícios:

  • Uma solução de firewall baseada em software altamente escalável que pode ser gerenciada centralmente.
  • A capacidade de mover máquinas virtuais (VMs) entre nós de cluster HCI do Azure Stack sem afetar a configuração do firewall.
  • Proteção de VMs locatárias, independentemente do sistema operacional convidado.

Para locatários HCI do Azure Stack, o Firewall do Datacenter fornece proteção de nível de rede nos seguintes cenários:

  • Cargas de trabalho voltadas para a Internet em redes virtuais e lógicas do Azure Stack HCI.
  • Comunicação dentro e entre as sub-redes de rede virtual e lógica do Azure Stack HCI.
  • Comunicação entre redes de datacenter e cargas de trabalho de locatário hospedadas pelo Azure Stack HCI.

Funcionalidade de Firewall de Datacenter

O Datacenter Firewall é um firewall multilocatário de camada de rede, com monitoração de estado, que suporta filtragem por qualquer combinação de cinco parâmetros: números de porta de origem e destino, endereços IP de origem e destino e um protocolo. O Firewall do Datacenter é implementado como um firewall distribuído, com políticas que você pode aplicar na interface de rede VM, sub-rede lógica ou sub-rede de rede virtual.

Você pode restringir o tráfego entre cargas de trabalho virtualizadas em redes externas e internas. O Controlador de Rede aplica as políticas de firewall às portas do comutador virtual dos nós de cluster HCI do Azure Stack que funcionam como hosts Hyper-V. Essas políticas dão suporte a cargas de trabalho HCI do Azure Stack conectadas a redes baseadas em VLAN.

Para implementar a filtragem de tráfego baseada no Datacenter Firewall, defina políticas de firewall usando qualquer ferramenta de gerenciamento que ofereça suporte à comunicação com a API REST (Representational State Transfer) do Controlador de Rede para o norte. Essas ferramentas incluem PowerShell, Windows Admin Center e Microsoft System Center Virtual Machine Manager (VMM).

As regras são atualizadas automaticamente se você mover VMs entre nós de cluster. O Controlador de Rede também corrige automaticamente quaisquer desvios das políticas definidas devido a alterações na configuração local. Esse processo facilita a portabilidade e ajuda a garantir que a proteção baseada em firewall permaneça consistente.

O diagrama a seguir mostra como o controlador de rede funciona com o firewall distribuído. O Datacenter Firewall usa políticas para administrar firewalls que protegem as VMs.

Diagram depicting Network Controller with Distributed Firewall. Distributed Firewall is using policies to administer firewalls protecting VMs.