Реализация защищенной гибридной сети

Брандмауэр Azure
Azure Load Balancer
Виртуальные машины Azure
Виртуальная сеть Azure

В этой эталонной архитектуре показана безопасная гибридная сеть, которая расширяет локальную сеть на Azure. Архитектура реализует периферийную сеть, так называемую DMZ, между локальной сетью и виртуальной сетью Azure. Весь входящий и исходящий трафик проходит через Брандмауэр Azure.

Архитектура

Схема, показывающая архитектуру безопасной гибридной сети.

Скачайте файл в формате Visio этой архитектуры.

Компоненты

Архитектура состоит из следующих аспектов:

  • Локальная сеть. Частная локальная сеть, реализованная в пределах организации.

  • Azure виртуальная сеть. Виртуальная сеть размещает компоненты решения и другие ресурсы, работающие в Azure.

    Сетевые маршруты определяют поток IP-трафика в виртуальной сети Azure. В этой архитектуре есть две пользовательские таблицы маршрутов, которые направляют трафик через экземпляр Брандмауэр Azure. Одна из таблиц маршрутов связана с подсетью шлюза концентратора, а другая связана с подсетью в периферийной сети.

    Примечание.

    В зависимости от требований VPN-подключения можно настроить маршруты протокола BGP для реализации правил пересылки, которые направляют трафик обратно через локальную сеть.

  • Шлюз. Шлюз обеспечивает подключение между маршрутизаторами в локальной сети и виртуальной сетью. Шлюз размещается в собственной подсети.

  • Брандмауэр Azure. Брандмауэр Azure — это управляемый брандмауэр как услуга. Экземпляр брандмауэра помещается в собственную подсеть.

  • Группы безопасности сети. Используйте группы безопасности для ограничения сетевого трафика в виртуальной сети.

  • Наборы масштабируемых виртуальных машин. Масштабируемые наборы виртуальных машин обеспечивают вычислительный уровень в периферийных виртуальных сетях. Наборы масштабирования развертывают группу идентичных виртуальных машин и управляют ею за внутренним балансировщиком нагрузки, а также поддерживают автомасштабирование в зависимости от нагрузки.

  • Бастион Azure. Бастион Azure обеспечивает безопасный доступ по SSH и RDP к экземплярам масштабируемого набора виртуальных машин, не открывая их для доступа из Интернета. Используйте Бастион для управления экземплярами в виртуальной сети.

    Бастион требует выделенной подсети с именем AzureBastionSubnet.

Потенциальные варианты использования

Для этой архитектуры требуется подключение к локальному центру обработки данных с помощью VPN-шлюза или подключения ExpressRoute. Типичные способы использования этой архитектуры:

  • Гибридные приложения, где рабочие нагрузки выполняются частично локально и частично в Azure.
  • Инфраструктура, требующая детального контроля над трафиком, входящим в виртуальную сеть Azure из локального центра обработки данных.
  • Приложения, которые должны выполнять аудит исходящего трафика. Аудит часто является нормативным требованием многих коммерческих систем и может помочь предотвратить публичное раскрытие частной информации.

Рекомендации

Следующие рекомендации применимы для большинства ситуаций. Следуйте этим рекомендациям, если они не противоречат особым требованиям для вашего случая.

Рекомендации по управлению доступом

Используйте Azure управление доступом на основе ролей (Azure RBAC) для управления ресурсами в приложении. Рекомендуем создать следующие пользовательские роли:

  • Роль DevOps с разрешениями на администрирование инфраструктуры для приложения, развертывание компонентов приложения и управление операциями масштабируемого набора виртуальных машин, такими как масштабирование, повторное создание и обновление.

  • Централизованная роль ИТ-администратора для мониторинга сетевых ресурсов и управления ими.

  • Роль ИТ-администратора безопасности для управления безопасными сетевыми ресурсами, такими как брандмауэр.

Роль централизованного ИТ-администратора не должна иметь доступа к ресурсам брандмауэра. Ограничение доступа к роли ИТ-администратора безопасности.

Рекомендации по группам ресурсов

Ресурсами Azure, такими как масштабируемые наборы виртуальных машин, виртуальные сети и балансировщики нагрузки, можно управлять, объединяя их в группы ресурсов. Назначьте роли Azure каждой группе ресурсов, чтобы ограничить доступ.

Рекомендуем создать следующие группы ресурсов:

  • Группа ресурсов, содержащая виртуальную сеть (за исключением вычислительных ресурсов), группы безопасности сети и ресурсы шлюза для подключения к локальной сети. Назначьте централизованную роль ИТ-администратора этой группе ресурсов.
  • Группа ресурсов, содержащая ресурсы для экземпляра Брандмауэр Azure и определяемых пользователем маршрутов для подсети шлюза. Назначьте роль ИТ-администратора безопасности этой группе ресурсов.
  • Отдельные группы ресурсов для каждой периферийной виртуальной сети, содержащей подсистему балансировки нагрузки и масштабируемые наборы виртуальных машин.

Рекомендации по сети

В этой архитектуре весь входящий и исходящий трафик между локальной сетью, Интернетом и периферийными виртуальными сетями проходит через Брандмауэр Azure. Каждый поток, пересекающий периметр, проходит преобразование сетевых адресов в брандмауэре, поэтому внешние и локальные системы видят IP-адреса брандмауэра, а не рабочей нагрузки. Предусматривайте следующее поведение:

  • Опубликованные рабочие нагрузки доступны по общедоступному IP-адресу брандмауэра, а не по IP-адресу рабочей нагрузки. Вы публикуете серверную часть с правилом преобразования сетевых адресов назначения (DNAT) на брандмауэре. Адрес назначения — это общедоступный IP-адрес брандмауэра; преобразованный адрес — это частный IP-адрес в виртуальной сети.

  • Исходящие потоки покидают периметр, исходящий из одного из общедоступных IP-адресов брандмауэра. Брандмауэр Azure случайным образом выбирает подключенный общедоступный IP-адрес для каждого исходящего потока, поэтому списки разрешений партнера, локальные правила брандмауэра и журналы аудита должны охватывать весь набор IP-адресов, подключенных к брандмауэру. Используйте префикс общедоступного IP-адреса для выражения, заданного как непрерывный диапазон.

    Число общедоступных IP-адресов, подключенных к брандмауэру, также определяет, сколько одновременных исходящих подключений можно обеспечить до исчерпания портов преобразования сетевых адресов источника.

  • Серверные серверы не видят IP-адрес исходного клиента. Брандмауэр Azure также применяет SNAT к пакетам, которые соответствуют правилу DNAT, чтобы возвращать трафик обратно через тот же экземпляр брандмауэра. Серверная часть регистрирует IP-адрес экземпляра брандмауэра как IP-адрес источника.

    Если вашему приложению требуется IP-адрес клиента, завершите соединение с клиентом в обратном прокси-сервере, например, Шлюз приложений Azure или Azure Front Door, перешлите IP-адрес клиента в заголовке X-Forwarded-For HTTP и следуйте инструкции 'Сохранить оригинальное имя узла HTTP', чтобы серверная часть могла продолжать идентифицировать имя узла клиента.

Принудительно туннелировать весь исходящий интернет-трафик через вашу сеть на территории предприятия с помощью VPN-туннеля типа "сеть — сеть". Локальное пограничное устройство выполняет SNAT в Интернет от имени рабочих нагрузок Azure, которая направляет исходящие потоки через существующие локальные элементы управления исходящего трафика и конвейер аудита. Эта конструкция предотвращает случайную утечку конфиденциальной информации и позволяет проверять и проводить аудит всего исходящего трафика.

Не полностью блокируйте интернет-трафик из ресурсов в периферийных сетевых подсетях. Блокировка трафика будет препятствовать использованию этих ресурсов Azure службам PaaS, которые используют общедоступные IP-адреса, такие как ведение журнала диагностики, подготовка расширений виртуальных машин и их зависимостей и другие функциональные возможности платформы. Диагностике Azure также требуется, чтобы компоненты могли читать и записывать данные в учетную запись Azure хранилища.

Убедитесь, что принудительное туннелирование исходящего интернет-трафика правильно реализовано. Если вы используете VPN-подключение с службой маршрутизации и удаленного доступа на локальном сервере, используйте средство, например WireShark.

Рекомендуется использовать шлюз приложений или Azure Front Door для завершения SSL.

Рекомендации

Эти рекомендации реализуют основы платформы Azure Well-Architected Framework, которая представляет собой набор руководящих принципов, которые можно использовать для улучшения качества рабочей нагрузки. Дополнительные сведения см. в разделе Microsoft Azure Well-Architected Framework.

Надежность

Надежность гарантирует, что ваше приложение позволит вам выполнить ваши обязательства перед клиентами. Для получения дополнительной информации см. Контрольный список проверки конструкции на надежность.

Если вы используете Azure ExpressRoute для обеспечения подключения между виртуальной сетью и локальной сетью, настройте VPN-шлюз для обеспечения резервирования, если подключение ExpressRoute станет недоступным.

Для получения информации о поддержании доступности для подключений VPN и ExpressRoute, ознакомьтесь с рекомендациями по доступности.

Безопасность

Безопасность обеспечивает гарантии от преднамеренного нападения и злоупотребления ценными данными и системами. Для получения дополнительной информации см. контрольный список по проверке проектирования на безопасность.

В этой эталонной архитектуре реализовано несколько уровней безопасности.

Маршрутизация всех локальных запросов пользователей через Брандмауэр Azure

Определяемый пользователем маршрут в подсети шлюза блокирует все запросы пользователей, кроме полученных из локальной сети. Маршрут передает разрешенные запросы брандмауэру. Запросы передаются ресурсам в периферийных виртуальных сетях, если они разрешены правилами брандмауэра. Вы можете добавить другие маршруты, но убедитесь, что они непреднамеренно обходят брандмауэр или блокируют административный трафик, предназначенный для подсети управления.

Использование групп безопасности сети для блокировки и передачи трафика в периферийные подсети виртуальной сети

Трафик к подсетям ресурсов в периферийных виртуальных сетях ограничен с помощью групп безопасности сети. Если у вас есть требование расширить правила NSG, чтобы разрешить более широкий доступ к этим ресурсам, взвесьте эти требования в отношении рисков безопасности. Каждый новый путь входящего трафика может привести к случайному или намеренному повреждению приложения либо утечке данных.

Защита от атак DDoS

Azure защита от атак DDoS в сочетании с рекомендациями по проектированию приложений обеспечивает улучшенную защиту от атак DDoS. Включите Защиту Azure от атак DDoS в любой пограничной виртуальной сети.

Создание базовых правил администратора безопасности с помощью AVNM

AVNM позволяет создавать базовые показатели правил безопасности, которые могут принимать приоритет над правилами группы безопасности сети. Правила безопасности администратора оцениваются перед правилами групп сетевой безопасности (NSG) и имеют аналогичный характер, с поддержкой приоритизации, служебных тегов и протоколов L3-L4. AVNM позволяет центральному ИТ-отделу применять базовый набор правил безопасности, позволяя независимость применения дополнительных правил NSG владельцам виртуальных сетей-заборников. Чтобы упростить управляемое развертывание изменений правил безопасности, функция развертывания AVNM позволяет безопасно применять критические изменения этих конфигураций в центральных и периферийных средах.

Права доступа DevOps

Используйте Azure RBAC, чтобы ограничить операции, которые DevOps могут выполнять на каждом уровне. При предоставлении разрешений используйте принцип минимальных привилегий. Ведите журнал всех административных операций и проводите регулярный аудит, чтобы следить за тем, все ли изменения конфигурации были запланированы.

Оптимизация затрат

Оптимизация затрат заключается в том, чтобы подумать о способах сокращения ненужных расходов и повышения эффективности работы. Дополнительные сведения см. в контрольном списке проектной экспертизы для оптимизации затрат.

Используйте эту предварительно настроенную оценку в калькуляторе цен Azure в качестве отправной точки, чтобы оценить затраты для вашего сценария. Он включает сетевые компоненты, описанные в этой статье, с примерами виртуальных машин.

Ниже приведены рекомендации по затратам для служб, используемых в этой архитектуре.

Брандмауэр Azure

В этой архитектуре Брандмауэр Azure развертывается в виртуальной сети для управления трафиком между подсетью шлюза и ресурсами в периферийных виртуальных сетях. Использование Брандмауэр Azure в качестве общего решения для нескольких рабочих нагрузок может помочь сократить дублирование инфраструктуры. Ниже приведены модели ценообразования Брандмауэр Azure:

  • Фиксированная ставка за час развертывания.
  • Данные, обработанные за каждый ГБ для поддержки автоматического масштабирования.

По сравнению с сетевыми виртуальными устройствами (NVA) с Брандмауэр Azure можно сохранить до 30-50%. Дополнительные сведения см. в разделе Брандмауэр Azure vs NVA.

Бастион Azure

Бастион Azure обеспечивает безопасное подключение к экземплярам масштабируемого набора виртуальных машин по протоколам RDP и SSH без необходимости назначения экземплярам общедоступного IP-адреса.

Тарификация Bastion сопоставима с простой низкоуровневой виртуальной машиной, настроенной как jump-сервер. Бастион является более экономичным, чем сервер перехода, так как Бастион имеет встроенные функции безопасности и не несет дополнительных затрат на хранение и управление отдельным сервером.

Виртуальная сеть Azure

Azure Virtual Network бесплатно. Каждая подписка может создавать до 1000 виртуальных сетей во всех регионах. Весь трафик, который происходит в границах виртуальной сети, свободен. Например, за трафик от внутреннего балансировщика нагрузки к экземплярам масштабируемого набора виртуальных машин плата за сетевой трафик не взимается.

Внутренняя подсистема балансировки нагрузки

В этой архитектуре внутренние подсистемы балансировки нагрузки используются для распределения трафика экземплярам масштабируемого набора виртуальных машин в виртуальной сети. Load Balancer (цен. категория "Стандартный") требуется для использования с масштабируемыми наборами виртуальных машин.

Операционное превосходство

Операционная эффективность охватывает процессы, которые развертывают приложение и поддерживают его работу в рабочей среде. Для получения дополнительной информации см. Контрольный список для оценки проектирования с точки зрения операционной эффективности.

Если подключение шлюза из локальной сети к Azure не работает, вы по-прежнему можете использовать Бастион Azure для доступа к ресурсам в виртуальной сети Azure для устранения неполадок. Поскольку экземпляры масштабируемого набора виртуальных машин эфемерны, для повседневных операций следует полагаться на централизованный сбор журналов и мониторинг с помощью Azure Monitor и диагностики загрузки, а не на интерактивные удалённые сеансы.

В эталонной архитектуре подсеть каждого уровня защищена правилами NSG. Для управления и мониторинга могут потребоваться правила для открытия дополнительных портов.

Если вы используете ExpressRoute для обеспечения подключения между локальным центром обработки данных и Azure, используйте Azure Набор средств подключения (AzureCT) для мониторинга и устранения проблем с подключением.

Дополнительные сведения о мониторинге подключений VPN и ExpressRoute и управлении ими см. в статье Реализация гибридной сетевой архитектуры с Azure и локальной VPN.

Эффективность производительности

Эффективность производительности — это возможность масштабирования рабочей нагрузки в соответствии с требованиями, заданными пользователями. Для получения дополнительной информации см. контрольный список проверки проектного решения на эффективность производительности .

Масштабируемые наборы виртуальных машин в периферийных сетях поддерживают автомасштабирование. Настройте правила автомасштабирования на основе метрик, таких как использование ЦП или количество запросов, чтобы экземпляры были добавлены или удалены в ответ на запрос. Выберите режим оркестрации и политику обновления , которая соответствует терпимости рабочей нагрузки к нарушениям во время обновлений.

Дополнительные сведения о ограничениях пропускной способности VPN-шлюз см. в разделе Gateway SKU. Для повышения пропускной способности рекомендуем выполнить обновление до шлюза ExpressRoute. ExpressRoute обеспечивает до 10 Гбит/с пропускной способностью с меньшей задержкой, чем VPN-подключение.

Дополнительные сведения о масштабируемости шлюзов Azure см. в разделах о масштабируемости в следующих разделах:

Дополнительные сведения об управлении виртуальными сетями и сетевыми группами безопасности (NSG) в большом масштабе см. в статье Диспетчер виртуальных сетей Azure (AVNM): Создание защищенного концентратора и периферийной сети для создания новых топологий виртуальной сети и подключения существующих к центральному управлению подключениями и правилами NSG.

Следующие шаги