Implementera ett säkert hybridnätverk

Brandvägg
Load Balancer
Virtual Machines
Virtual Network

Denna referensarkitektur visar ett säkert hybridnätverk som utökar ett lokalt nätverk till Azure. Arkitekturen implementerar en DMZ, som även kallas perimeternätverk,mellan det lokala nätverket och ett virtuellt Azure-nätverk. All inkommande och utgående trafik passerar genom Azure Firewall.

Skydda hybridnätverksarkitektur

Ladda ned en Visio-fil med den här arkitekturen.

Referensdistribution

Den här distributionen skapar två resursgrupper: den första innehåller ett lokalt fingerat nätverk, det andra en uppsättning nav- och ekernätverk. Det lokala fingerade nätverket och hubbnätverket ansluts med hjälp av Azure Virtual Network-gatewayer för att skapa en plats-till-plats-anslutning. Den här konfigurationen liknar hur du ansluter ditt lokala datacenter till Azure.

Den här distributionen kan ta upp till 45 minuter att slutföra. Den rekommenderade distributionsmetoden använder portalalternativet nedan.

Använd följande knapp för att distribuera referensen med hjälp av Azure Portal.

Distribuera till Azure

När distributionen är klar kontrollerar du plats-till-plats-anslutningen genom att titta på de nyligen skapade anslutningsresurserna. I den Azure Portal du efter "anslutningar" och observerar att statusen för varje anslutning.

Skärmbild som visar status för anslutningar.

IIS-instansen som finns i ekernätverket kan nås från den virtuella dator som finns i det lokala modellnätverket. Skapa en anslutning till den virtuella datorn med hjälp av Azure Bastion-värden, öppna en webbläsare och navigera till adressen till programmets nätverkslastbalanserare.

Detaljerad information och ytterligare distributionsalternativ finns i ARM-mallar som används för att distribuera den här lösningen.

Användningsfall

Den här arkitekturen kräver en anslutning till ditt lokala datacenter, med hjälp av en VPN-gateway eller en ExpressRoute-anslutning. Vanliga användningsområden för den här arkitekturen inkluderar:

  • Hybridprogram där arbetsbelastningar delvis körs lokalt, delvis i Azure.
  • Infrastruktur som kräver detaljerad kontroll över trafik som kommer in i ett virtuellt Azure-nätverk från ett lokalt datacenter.
  • Tillämpningar som måste granska utgående trafik. Det här är ofta ett krav hos många kommersiella system och kan bidra till att förhindra att privat information avslöjas offentligt.

Arkitektur

Arkitekturen består av följande komponenter.

  • Lokalt nätverk. Ett privat lokalt nätverk som implementerats i en organisation.

  • Virtuellt Azure-nätverk. Det virtuella nätverket är värd för programmet och andra resurser som körs i Azure.

  • Gateway. Gatewayen ger anslutning mellan routrarna i det lokala nätverket och det virtuella nätverket. Gatewayen placeras i ett eget undernät.

  • Azure Firewall. Azure Firewall är en hanterad brandvägg som en tjänst. Brandväggsinstansen placeras i ett eget undernät.

  • Virtuella nätverksvägar. Virtuella nätverksvägar definierar flödet av IP-trafik i det virtuella Azure-nätverket. I diagrammet ovan finns det två användardefinierade vägtabeller.

    • I gateway-undernätet dirigeras trafik som skickas till undernätet på webbnivå (10.0.1.0/24) via Azure Firewall instansen.
    • Eftersom det inte finns någon väg för adressutrymmet för själva det virtuella nätverket att peka på Azure-brandväggen i undernätet på webbnivå kan instanser på webbnivå kommunicera direkt med varandra, inte via Azure Firewall.

    Anteckning

    Beroende på kraven för VPN-anslutningen kan du konfigurera Border Gateway Protocol-vägar (BGP) för att implementera vidarekopplingsregler som dirigerar trafiken tillbaka genom det lokala nätverket.

  • Nätverkssäkerhetsgrupper. Använd säkerhetsgrupper för att begränsa nätverkstrafiken i det virtuella nätverket. I den distribution som tillhandahålls med den här referensarkitekturen tillåter till exempel undernätet på webbnivån TCP-trafik från det lokala nätverket och inifrån det virtuella nätverket. Affärsnivån tillåter trafik från webbnivån och datanivån tillåter trafik från affärsnivån.

  • Bastion. Azure Bastion kan du logga in på virtuella datorer i det virtuella nätverket via SSH eller remote desktop protocol (RDP) utan att exponera de virtuella datorerna direkt på Internet. Använd Bastion för att hantera de virtuella datorerna i det virtuella nätverket.

Rekommendationer

Följande rekommendationer gäller för de flesta scenarier. Följ dessa rekommendationer om du inte har ett visst krav som åsidosätter dem.

Rekommendationer för åtkomstkontroll

Använd rollbaserad åtkomstkontroll i Azure (Azure RBAC) för att hantera resurserna i ditt program. Överväg att skapa följande anpassade roller:

  • En DevOps-roll med behörighet att administrera infrastrukturen för tillämpningen, distribuera programkomponenter och övervaka och starta om virtuella datorer.

  • En central IT administratör för att kunna hantera och övervaka nätverksresurser.

  • En säkerhets-IT-administratörsroll för att hantera säkra nätverksresurser, till exempel brandväggen.

DevOps- och IT-administratörsrollerna bör inte ha åtkomst till brandväggsresurserna. Denna åtkomst ska vara begränsad till säkerhets- och IT-administratörsrollen.

Rekommendationer för resursgrupper

Azure-resurser som virtuella datorer, virtuella nätverk och lastbalanserare kan enkelt hanteras genom att gruppera dem tillsammans i resursgrupper. Tilldela Azure-roller till varje resursgrupp för att begränsa åtkomsten.

Vi rekommenderar att du skapar följande resursgrupper:

  • En resursgrupp som innehåller det virtuella nätverket (exklusive de virtuella datorerna), NSG:er och gatewayresurser för att ansluta till det lokala nätverket. Tilldela den centrala IT-administratörsrollen till den här resursgruppen.
  • En resursgrupp som innehåller de virtuella datorerna Azure Firewall instansen och de användardefinierade vägarna för gatewayundernätet. Tilldela den säkerhets- och IT-administratörsrollen till den här resursgruppen.
  • Separata resursgrupper för varje applikationsnivå som innehåller lastbalanseraren och virtuella datorer. Observera att den här resursgruppen inte ska innehålla undernäten för varje nivå. Tilldela den här resursgruppen DevOps-rollen.

Nätverksrekommendationer

Om du vill acceptera inkommande trafik från Internet lägger du till en DNAT-regel (Destination Network Address Translation) för att Azure Firewall.

  • Måladress = Offentlig IP-adress för brandväggsinstansen.
  • Översatt adress = Privat IP-adress i det virtuella nätverket.

Exempeldistributionen dirigerar Internettrafik för port 80 till lastbalanserare på webbnivå.

Tvinga tunneltrafik för all utgående Internettrafik via ditt lokala nätverk med hjälp av VPN-tunneln för plats-till-plats och dirigera till Internet med NAT (Network Address Translation). På så sätt förhindrar du oavsiktligt läckage av konfidentiell information som finns lagrad på datanivån, och möjliggör samtidigt kontroll och granskning av all utgående trafik.

Blockera inte internettrafik helt från programnivåer eftersom detta förhindrar att dessa nivåer använder Azure PaaS-tjänster som förlitar sig på offentliga IP-adresser, till exempel VM-diagnostikloggning, nedladdning av VM-tillägg och andra funktioner. Azure Diagnostics kräver också att komponenterna kan läsa och skriva till ett Azure Storage-konto.

Kontrollera att utgående Internettrafik tvingas med tunneltrafik på rätt sätt. Om du använder en VPN-anslutning med routnings- och fjärråtkomsttjänsten på en lokal server använder du ett verktyg som WireShark.

Överväg att Application Gateway eller Azure Front Door SSL-avslutning.

Skalbarhetsöverväganden

Mer information om bandbreddsbegränsningar för VPN Gateway finns i Gateway-SKU:er. Överväg att uppgradera till en ExpressRoute-gateway för högre bandbredder. ExpressRoute ger en bandbredd på upp till 10 Gbit/s med kortare svarstider än en VPN-anslutning.

Mer information om skalbarheten hos Azure-gatewayer finns i avsnittet om skalbarhetsaspekter i Implementera en hybridnätverksarkitektur med Azure och lokalt VPN och Implementera en hybridnätverksarkitektur med Azure ExpressRoute.

Överväganden för tillgänglighet

Om du använder en Azure ExpressRoute för att tillhandahålla anslutning mellan det virtuella nätverket och det lokala nätverket konfigurerar du en VPN-gateway för att tillhandahålla redundans om ExpressRoute-anslutningen blir otillgänglig.

Detaljerad information om hur du bibehåller skalbarheten hos virtuella privata nätverk och ExpressRoute-anslutningar finns i avsnittet om tillgänglighetsaspekter i Implementera en hybridnätverksarkitektur med Azure och lokalt VPN och Implementera en hybridnätverksarkitektur med Azure ExpressRoute.

Överväganden för hantering

Om gateway-anslutningen från ditt lokala nätverk till Azure är ur funktion kan du fortfarande nå de virtuella datorerna i det virtuella Azure-nätverket via Azure Bastion.

Undernätet för varje nivå i referensarkitekturen skyddas av NSG-regler. Du kan behöva skapa en regel för att öppna port 3389 för åtkomst via fjärrskrivbordsprotokoll på virtuella Windows-datorer, eller port 22 för säker skalåtkomst på virtuella Linux-datorer. Andra verktyg för hantering och övervakning kan kräva regler för att öppna ytterligare portar.

Om du använder ExpressRoute för att möjliggöra anslutning mellan ditt lokala datacenter och Azure använder du Azure Connectivity Toolkit (AzureCT) för att övervaka och felsöka problem med anslutningen.

Mer information om övervakning och hantering av VPN- och ExpressRoute-anslutningar finns i artikeln Implementera en hybridnätverksarkitektur med Azure och lokalt VPN.

Säkerhetsöverväganden

Denna referensarkitektur implementerar flera säkerhetsnivåer.

Dirigera alla lokala användarbegäranden via Azure Firewall

Den användardefinierade vägen i gatewayundernätet blockerar alla andra användarbegäranden än de som tas emot från den lokala platsen. Vägen skickar tillåtna begäranden till brandväggen och dessa begäranden skickas vidare till programmet om de tillåts av brandväggsreglerna. Du kan lägga till andra vägar, men se till att de inte oavsiktligt kringgår brandväggen eller blockerar administrativ trafik som är avsedd för hanteringsundernätet.

Använda nätverkssäkerhetsgrupper för att blockera/skicka trafik mellan programnivåer

Trafik mellan nivåer begränsas med hjälp av nätverkssäkerhetsgrupper. Affärsnivån blockerar all trafik som inte härrör från datanivån, och datanivån blockerar all trafik som inte härrör från affärsnivån. Om du har ett krav om att expandera NSG-reglerna för att tillåta bredare åtkomst till dessa nivåer, bör du väga kraven mot säkerhetsriskerna. Varje ny inkommande väg utgör en risk för oavsiktliga eller målinriktade dataläckage eller skador på tillämpningen.

DevOps-åtkomst

Använd Azure RBAC för att begränsa de åtgärder som DevOps kan utföra på varje nivå. När du beviljar behörighet använder du principen om minsta behörighet. Logga alla administrativa åtgärder och utför regelbundna granskningar för att säkerställa att inga ändringar i konfigurationen har planerats.

Kostnadsöverväganden

Normalt beräknar du kostnader med hjälp av priskalkylatorn för Azure. Andra överväganden beskrivs i avsnittet Kostnad i Microsoft Azure Well-Architected Framework.

Här är kostnadsöverväganden för de tjänster som används i den här arkitekturen.

Azure Firewall

I den här Azure Firewall distribueras i det virtuella nätverket för att styra trafiken mellan gatewayens undernät och det undernät där programnivån körs. På så Azure Firewall är kostnadseffektivt eftersom det används som en delad lösning som används av flera arbetsbelastningar. Här är Azure Firewall prismodellerna:

  • Fast hastighet per distributionstid.
  • Data som bearbetas per GB för att stödja automatisk skalning.

Jämfört med virtuella nätverkstillverkade enheter (NVA) kan Azure Firewall spara upp till 30–50 %. Mer information finns i Azure Firewall jämfört med NVA.

Azure Bastion

Azure Bastion ansluter säkert till den virtuella datorn via RDP och SSH utan att du behöver konfigurera en offentlig IP-adress på den virtuella datorn.

Bastion-faktureringen är jämförbar med en grundläggande virtuell dator på låg nivå som konfigurerats som en jumpbox. Om du jämför Bastion med en jumpbox är Bastion mer kostnadseffektivt med tanke på Bastions inbyggda säkerhetsfunktioner och inga extra kostnader för lagring och hantering av en separat server.

Azure Virtual Network

Azure Virtual Network är kostnadsfri. Varje prenumeration kan skapa upp till 50 virtuella nätverk i alla regioner. All trafik som sker inom gränserna för ett virtuellt nätverk är kostnadsfri. Så om två virtuella datorer som finns i samma virtuella nätverk pratar med varandra tillkommer inga avgifter.

Intern lastbalanserare

Grundläggande belastningsutjämning mellan virtuella datorer som finns i samma virtuella nätverk är kostnadsfri.

I den här arkitekturen används interna lastbalanserare för att belastningsutjämna trafik i ett virtuellt nätverk.

Nästa steg