Planera för inkommande och utgående Internetanslutning

  • Artikel

Den här artikeln innehåller överväganden och rekommendationer för inkommande och utgående anslutningar mellan Azure och det offentliga Internet.

Utformningsbeaktanden

  • Azures interna nätverkssäkerhetstjänster som Azure Firewall, Azure Web Application Firewall (WAF) på Azure Application Gateway och Azure Front Door hanteras fullständigt. Du ådrar dig inte drift- och hanteringskostnader och komplexitet för infrastrukturdistributioner i stor skala.

  • Om din organisation föredrar att använda virtuella nätverksinstallationer som inte är azure-nätverk (NVA) eller i situationer där interna tjänster inte uppfyller specifika krav är Arkitekturen i Azure-landningszonen helt kompatibel med partner-NVA:er.

  • Azure tillhandahåller flera direkta internetutgående anslutningsmetoder, till exempel NAT-gatewayer (network address translation) eller lastbalanserare, för virtuella datorer (VM) eller beräkningsinstanser i ett virtuellt nätverk. Azure NAT Gateway rekommenderas som standard för att aktivera utgående anslutning eftersom det är det enklaste att konfigurera driften och är det mest skalbara och effektiva alternativet bland alla utgående anslutningsmetoder som är tillgängliga i Azure. Mer information finns i Utgående anslutningsmetoder i Azure.

Designrekommendationer

  • Använd Azure NAT Gateway för direkt utgående anslutning till Internet. En NAT-gateway är en fullständigt hanterad, mycket elastisk NAT-tjänst som tillhandahåller skalbar och på begäran SNAT.

    • Använd en NAT-gateway för:

      • Dynamiska eller stora arbetsbelastningar som skickar trafik till Internet.
      • Statiska och förutsägbara offentliga IP-adresser för utgående anslutning. NAT-gateway kan associeras med upp till 16 offentliga IP-adresser eller ett offentligt IP-prefix för /28.
      • Åtgärda problem med SNAT-portöverbelastning som ofta uppstår med regler för utgående lastbalanserare, Azure Firewall eller Azure App Services.
      • Säkerhet och sekretess för resurser i nätverket. Endast utgående trafik och returtrafik kan passera genom NAT-gatewayen.

  • Använd Azure Firewall för att styra:

    • Utgående Azure-trafik till Internet.
    • Inkommande anslutningar som inte är HTTP/S.
    • Trafikfiltrering mellan öst och väst, om din organisation kräver det.

  • Använd Azure Firewall Premium för avancerade brandväggsfunktioner, till exempel:

    • TLS-inspektion (Transport Layer Security).
    • Ett system för identifiering och förebyggande av nätverksintrång (IDPS).
    • URL-filtrering.
    • Webbkategorier.

  • Azure Firewall Manager stöder både Azure Virtual WAN och vanliga virtuella nätverk. Använd Firewall Manager med Virtual WAN för att distribuera och hantera Azure-brandväggar över Virtuella WAN-hubbar eller i virtuella navnätverk.

  • Om du använder flera IP-adresser och intervall konsekvent i Azure Firewall-regler konfigurerar du IP-grupper i Azure Firewall. Du kan använda IP-grupperna i Azure Firewall DNAT, nätverk och programregler för flera brandväggar i Azure-regioner och prenumerationer.

  • Om du använder en anpassad användardefinierad väg (UDR) för att hantera utgående anslutning till PaaS-tjänster (Plattform som en tjänst) i Azure anger du en tjänsttagg som adressprefix. Tjänsttaggar uppdaterar underliggande IP-adresser automatiskt för att inkludera ändringar och minskar kostnaderna för att hantera Azure-prefix i en routningstabell.

  • Skapa en global Azure Firewall-princip för att styra säkerhetsstatusen i den globala nätverksmiljön. Tilldela principen till alla Azure Firewall-instanser.

  • Tillåt detaljerade principer att uppfylla specifika regionkrav med hjälp av rollbaserad åtkomstkontroll i Azure för att delegera inkrementella principer till lokala säkerhetsteam.

  • Använd WAF i ett virtuellt nätverk i landningszonen för att skydda inkommande HTTP/S-trafik från Internet.

  • Använd Azure Front Door- och WAF-principer för att ge globalt skydd i Azure-regioner för inkommande HTTP/S-anslutningar till en landningszon.

  • Om du vill använda Azure Front Door och Azure Application Gateway för att skydda HTTP/S-program använder du WAF-principer i Azure Front Door. Lås Azure Application Gateway för att endast ta emot trafik från Azure Front Door.

  • Om du behöver partner-NVA:er för inkommande HTTP/S-anslutningar distribuerar du dem i ett virtuellt nätverk i landningszonen, tillsammans med de program som de skyddar och exponerar för Internet.

  • För utgående åtkomst ska du inte använda Azures standardåtkomst till utgående internet för något scenario. Problem som uppstår med utgående standardåtkomst är:

    • Ökad risk för SNAT-portöverbelastning.
    • Osäker som standard.
    • Det går inte att vara beroende av standardåtkomst-IP-adresser. De ägs inte av kunden och kan komma att ändras.

  • Använd en NAT-gateway för onlinelandningszoner eller landningszoner som inte är anslutna till det virtuella hubbnätverket. Beräkningsresurser som behöver utgående Internetåtkomst och inte behöver säkerheten för Azure Firewall Standard eller Premium, eller en NVA från tredje part, kan använda landningszoner online.

  • Om din organisation vill använda SaaS-säkerhetsleverantörer (software-as-a-service) för att skydda utgående anslutningar konfigurerar du partner som stöds i Firewall Manager.

  • Om du använder partner-NVA:er för trafikskydd och filtrering i öst-väst eller nord-syd:

    • För Virtual WAN-nätverkstopologier distribuerar du NVA:erna till ett separat virtuellt NVA-nätverk. Anslut det virtuella nätverket till den regionala Virtual WAN-hubben och till de landningszoner som behöver åtkomst till NVA:erna. Mer information finns i Scenario: Dirigera trafik via en NVA.
    • För icke-Virtual WAN-nätverkstopologier distribuerar du partner-NVA:erna i det centrala virtuella hubbnätverket.

  • Exponera inte VM-hanteringsportar för Internet. För hanteringsuppgifter:

    • Använd Azure Policy för att förhindra att virtuella datorer skapas med offentliga IP-adresser.
    • Använd Azure Bastion för att komma åt virtuella jumpbox-datorer.

  • Använd Azure DDoS Protection-skyddsplaner för att skydda de offentliga slutpunkter som du är värd för i dina virtuella nätverk.

  • Försök inte replikera lokala perimeternätverksbegrepp och arkitekturer till Azure. Även om Azure har liknande säkerhetsfunktioner anpassas implementeringen och arkitekturen till molnet.