Брандмауэр центра обработки данных в Azure Stack HCI
Функции брандмауэра центра обработки данных Azure Stack HCI, определяемые программным обеспечением (SDN), могут помочь повысить безопасность вашей среды. Брандмауэр центра обработки данных также может свести к минимуму разрастание аппаратных устройств для поддержки инициатив консолидации вашей компании. Необходимо убедиться, что возможности брандмауэра центра обработки данных выходят за рамки виртуальных сетей, чтобы обеспечить интеграцию с существующей средой виртуальной локальной сети (VLAN).
Как и традиционные локальные центры обработки данных, использующие физический брандмауэр (модуль) для ограничения сетевого подключения, среды SDN должны иметь возможность управлять подключением. Брандмауэр распределенного центра обработки данных предоставляет эту функцию и, помимо шлюза балансировки нагрузки программного обеспечения и сервера удаленного доступа (RAS), служит основным компонентом SDN. Сетевой контроллер предоставляет центральный интерфейс управления и мониторинга брандмауэра Центра обработки данных для защиты виртуализированных рабочих нагрузок от несанкционированного доступа к сети.
Преимущества брандмауэра центра обработки данных
Традиционные брандмауэры предназначены для пограничных подключений, фильтруя трафик между локальными центрами обработки данных и Интернетом, обычно называемым связью "Север-Юг ". Этот подход обеспечивает ограниченную защиту в современном мире, где периметр сети имеет меньшее значение в качестве границы защиты.
Чтобы обеспечить смысленную защиту в стратегии нулевого доверия, брандмауэры также должны помочь защитить ресурсы в центре обработки данных от внутренних угроз. Использование физических брандмауэров для фильтрации локального обмена данными, также называемого трафиком "Восток-Запад ", является сложным, так как для него требуются дополнительные расходы на оборудование и операционные издержки. Маршрутизация всего защищенного трафика через отдельное физическое устройство также увеличивает задержку, которая отрицательно влияет на внутренние рабочие нагрузки.
В Azure Stack HCI можно определить детализированное программное обеспечение фильтрации виртуализированных рабочих нагрузок, применимых к внешнему и внутреннему трафику. Брандмауэр центра обработки данных обеспечивает эту фильтрацию с помощью списков управления доступом в логических и виртуальных сетях.
Для администраторов Azure Stack HCI брандмауэр центра обработки данных предоставляет следующие преимущества:
- Высокомасштабируемое решение брандмауэра на основе программного обеспечения, которое можно централизованно управлять.
- Возможность перемещения виртуальных машин между узлами кластера Azure Stack HCI без влияния на конфигурацию брандмауэра.
- Защита виртуальных машин клиента независимо от гостевой операционной системы.
Для арендаторов Azure Stack HCI брандмауэр центра обработки данных обеспечивает защиту на уровне сети в следующих сценариях:
- Рабочие нагрузки, подключенные к Интернету, в виртуальных и логических сетях Azure Stack HCI.
- Обмен данными между подсетями виртуальной и логической сети Azure Stack HCI.
- Обмен данными между сетями центра обработки данных и рабочими нагрузками клиента, размещенными в Azure Stack HCI.
Функции брандмауэра центра обработки данных
Брандмауэр центра обработки данных — это многопользовательский брандмауэр сетевого уровня с отслеживанием состояния, который поддерживает фильтрацию по любой комбинации пяти параметров: номера портов источника и назначения, IP-адреса источника и назначения и протокол. Брандмауэр центра обработки данных реализуется как распределенный брандмауэр с политиками, которые можно применять на уровне сетевого интерфейса виртуальной машины, логической подсети сети или подсети виртуальной сети.
Трафик между виртуализированными рабочими нагрузками можно ограничить как во внешних, так и во внутренних сетях. Сетевой контроллер применяет политики брандмауэра к портам виртуального коммутатора узлов кластера Azure Stack HCI, которые работают в качестве узлов Hyper-V. Эти политики поддерживают рабочие нагрузки Azure Stack HCI, подключенные к сетям на основе виртуальной локальной сети.
Чтобы реализовать фильтрацию трафика на основе брандмауэра центра обработки данных, вы определяете политики брандмауэра с помощью любого инструмента управления, который поддерживает связь с северным API передачи репрезентативного состояния (REST) сетевого контроллера. Эти инструменты включают PowerShell, Windows Admin Center и Microsoft System Center Virtual Machine Manager (VMM).
Правила автоматически обновляются при перемещении виртуальных машин между узлами кластера. Сетевой контроллер также автоматически исправляет любые отклонения от определенных политик из-за изменений локальной конфигурации. Этот процесс упрощает переносимость и помогает обеспечить согласованность защиты на основе брандмауэра.
На следующей схеме показано, как работает сетевой контроллер с распределенным брандмауэром. Брандмауэр центра обработки данных использует политики для администрирования брандмауэров, которые защищают виртуальные машины.
