Программно определяемые сети: облачная сеть периметраSoftware Defined Networking: Cloud DMZ

Сетевая архитектура сети периметра в облаке обеспечивает ограниченный доступ между локальными и облачными сетями, используя виртуальную частную сеть (VPN) для подключения сетей.The Cloud DMZ network architecture allows limited access between your on-premises and cloud-based networks, using a virtual private network (VPN) to connect the networks. Несмотря на то, что модель ДЕМИЛИТАРИЗОВАНной зоны часто используется для защиты внешнего доступа к сети, обсуждаемая здесь Облачная архитектура ДЕМИЛИТАРИЗОВАНной зоны предназначена специально для защиты доступа к локальной сети из облачных ресурсов и наоборот.Although a DMZ model is commonly used when you want to secure external access to a network, the Cloud DMZ architecture discussed here is intended specifically to secure access to the on-premises network from cloud-based resources and vice versa.

Архитектура защищенной гибридной сети

Эта архитектура предназначена для поддержки сценариев, в которых ваша организация хочет начать интеграцию облачных рабочих нагрузок с локальными, но может не иметь полностью сформированных политик безопасности в облаке или которая хочет получить безопасное выделенное подключение к глобальной сети между двумя средами.This architecture is designed to support scenarios where your organization wants to start integrating cloud-based workloads with on-premises workloads but may not have fully matured cloud security policies or acquired a secure dedicated WAN connection between the two environments. В результате облачные сети следует рассматривать как сеть периметра, чтобы обеспечить безопасность локальных служб.As a result, cloud networks should be treated like a DMZ to ensure on-premises services are secure.

Сеть периметра развертывает виртуальные сетевые модули (NVA), чтобы реализовать функции безопасности, такие как брандмауэры и проверка пакетов.The DMZ deploys network virtual appliances (NVAs) to implement security functionality such as firewalls and packet inspection. Трафик, проходящий между локальными и облачными приложениями или службами, должен проходить через сеть периметра, где его можно контролировать.Traffic passing between on-premises and cloud-based applications or services must pass through the DMZ where it can be audited. VPN-подключения и правила, определяющие, какой трафик может проходить через сеть периметра, строго контролируются командами ИТ-безопасности.VPN connections and the rules determining what traffic is allowed through the DMZ network are strictly controlled by IT security teams.

Предположения о сети периметра в облакеCloud DMZ assumptions

Развертывание облачной сети периметра включает следующие предположения:Deploying a Cloud DMZ includes the following assumptions:

  • Группы безопасности не полностью согласовали локальные и облачные требования и политики безопасности.Your security teams have not fully aligned on-premises and cloud-based security requirements and policies.
  • Облачным рабочим нагрузкам требуется доступ к ограниченному набору служб, размещенных в локальных или сторонних сетях, либо пользователям или приложениям в локальной среде требуется ограниченный доступ к ресурсам, размещенным в облаке.Your cloud-based workloads require access to limited subset of services hosted on your on-premises or third-party networks, or users or applications in your on-premises environment need limited access to cloud-hosted resources.
  • Корпоративная политика, нормативные требования или проблемы технической совместимости не предотвращают реализацию VPN-подключения между локальными сетями и поставщиком облачных служб.Implementing a VPN connection between your on-premises networks and cloud provider is not prevented by corporate policy, regulatory requirements, or technical compatibility issues.
  • Рабочие нагрузки не требуют нескольких подписок для обхода ограничений на ресурсы подписки или они включают несколько подписок, но не требуют централизованного управления подключениями или общими службами, используемыми ресурсами, которые распределены по нескольким подпискам.Your workloads either do not require multiple subscriptions to bypass subscription resource limits, or they involve multiple subscriptions but don't require central management of connectivity or shared services used by resources spread across multiple subscriptions.

Команды внедрения в облако должны учитывать следующие моменты при рассмотрении реализации архитектуры виртуальной сети DMZ в облаке:Your cloud adoption teams should consider the following issues when looking at implementing a Cloud DMZ virtual networking architecture:

  • Подключение локальных сетей к облачным усложняет требования безопасности.Connecting on-premises networks with cloud networks increases the complexity of your security requirements. Несмотря на то, что подключения между облачными сетями и локальной средой защищены, вам все равно нужно обеспечить защиту облачных ресурсов.Even though connections between cloud networks and the on-premises environment are secured, you still need to ensure cloud resources are secured. Все общедоступные IP-адреса, созданные для доступа к облачным рабочим нагрузкам, должны быть надежно защищены с помощью общедоступной сети периметра или брандмауэра Azure.Any public IPs created to access cloud-based workloads need to be properly secured using a public-facing DMZ or Azure Firewall.
  • Архитектура сети периметра в облаке обычно используется в качестве первого шага, в то время как подключение дополнительно защищено, а политика безопасности согласована между локальными и облачными сетями, что позволяет более широко внедрять полномасштабную архитектуру гибридных сетей.The Cloud DMZ architecture is commonly used as a stepping stone while connectivity is further secured and security policy aligned between on-premises and cloud networks, allowing a broader adoption of a full-scale hybrid networking architecture. Он также может применяться к изолированным развертываниям с конкретными требованиями к безопасности, удостоверениям и подключениям, предъявляемым подходом к облачной сети периметра.It may also apply to isolated deployments with specific security, identity, and connectivity needs that the Cloud DMZ approach satisfies.

Дополнительные сведенияLearn more

Дополнительные сведения о реализации ДЕМИЛИТАРИЗОВАНной зоны в Azure см. в следующих статьях:For more information about implementing a Cloud DMZ in Azure, see: