Planen der eingehenden und ausgehenden Internetverbindung

In diesem Artikel werden Überlegungen und Empfehlungen für eingehende und ausgehende Verbindungen zwischen Azure und dem öffentlichen Internet aufgeführt.

Entwurfsüberlegungen

• Azure-native Netzwerksicherheitsdienste wie Azure Firewall, Azure Web Application Firewall (WAF) auf Azure Application Gatewayund Azure Front Door werden vollständig verwaltet. Sie verursachen keine Betriebs- oder Verwaltungskosten und haben keine Auswirkungen auf die Komplexität von Infrastrukturbereitstellungen im großen Stil.

• Wenn Ihre Organisation es vorzieht, nicht-Azure Network Virtual Appliance (NVAs) oder in Situationen zu verwenden, in denen systemeigene Dienste keine spezifischen Anforderungen erfüllen, ist die Azure-Zielzonenarchitektur vollständig mit Partner-NVAs kompatibel.

• Azure bietet mehrere Internet-Ausgangsverbindungsmethoden, wie z. B. NAT-Gateways (Network Address Translation) oder Load Balancer, für virtuelle Maschinen (VMs) oder Computeinstanzen in einem virtuellen Netzwerk. Azure NAT-Gateway- wird als Standard für die Aktivierung ausgehender Konnektivität empfohlen, da sie betriebsbereit die einfachste Einrichtung ist und die skalierbare und effizienteste Option zwischen allen in Azure verfügbaren ausgehenden Konnektivitätsmethoden ist. Weitere Informationen finden Sie unter Methoden für ausgehende Azure-Konnektivität.

Designempfehlungen

• Verwenden Sie das Azure NAT-Gateway für direkte ausgehende Verbindungen mit dem Internet. Ein NAT-Gateway ist ein vollständig verwalteter, äußerst resilienter NAT-Dienst, der skalierbares und bedarfsgesteuertes SNAT bereitstellt.

  • Verwenden Sie ein NAT-Gateway für:

    • Dynamische oder große Workloads, die Datenverkehr an das Internet senden.
    • Statische und vorhersagbare öffentliche IP-Adressen für ausgehende Verbindungen. Das NAT-Gateway kann bis zu 16 öffentlichen IP-Adressen oder einem öffentlichen /28-IP-Präfix zugeordnet werden.
    • Minderung von Problemen mit SNAT-Portausschöpfung, die typischerweise mit ausgehenden Lastenausgleichsregeln, Azure Firewall oder Azure App Service auftreten.
    • Sicherheit und Datenschutz von Ressourcen in Ihrem Netzwerk. Nur ausgehender und Rückverkehr können über das NAT-Gateway geleitet werden.

• Verwenden Sie Azure Firewall, um Folgendes zu steuern:

  • Ausgehender Azure-Datenverkehr zum Internet.
  • Nicht-HTTP/S eingehende Verbindungen.
  • Ost-West-Datenverkehrsfilterung, wenn Ihre Organisation dies erfordert.

• Bereitstellen der Azure Firewall mit aktivierter Verwaltungs-NIC

  • Stellen Sie sicher, dass das AzureFirewallManagementSubnet im Voraus erstellt wird, um Bereitstellungsprobleme zu vermeiden bei Verwendung eines vorhandenen virtuellen Netzwerks, mit einer Mindest-Subnetzgröße von /26.
  • Weisen Sie der Verwaltungs-NIC eine öffentliche IP-Adresse zu. Diese IP erleichtert die betrieblichen Aufgaben der Firewall, einschließlich Updates und Verwaltungskommunikation.
  • Standardmäßig ordnet Azure eine vom System bereitgestellte Routentabelle dem AzureFirewallManagementSubnet zu. Diese Tabelle enthält eine Standardroute zum Internet, und Gatewayrouten weiterleiten muss deaktiviert sein.

• Verwenden Sie Azure Firewall Premium- für erweiterte Firewallfunktionen, z. B.:

  • Transport Layer Security (TLS)-Inspektion.
  • Ein Netzwerkangriffserkennungs- und -präventionssystem (IDPS).
  • URL-Filterung.
  • Webkategorien.

• Azure Firewall Manager unterstützt sowohl azure Virtual WAN als auch normale virtuelle Netzwerke. Verwenden Sie Firewall-Manager mit virtuellem WAN, um Azure-Firewalls über virtuelle WAN-Hubs oder in virtuellen Hubs bereitzustellen und zu verwalten.

• Wenn Sie mehrere IP-Adressen und Bereiche konsistent in Azure Firewall-Regeln verwenden, richten Sie IP-Gruppen in Azure Firewall ein. Sie können die IP-Gruppen in Azure Firewall DNAT, Netzwerk und Anwendungsregeln für mehrere Firewalls in Azure-Regionen und -Abonnements verwenden.

• Wenn Sie eine benutzerdefinierte benutzerdefinierte Route (UDR) verwenden, um ausgehende Verbindungen mit Azure Platform as a Service (PaaS)-Diensten zu verwalten, geben Sie ein -Diensttag als Adresspräfix an. Diensttags aktualisieren zugrunde liegende IP-Adressen automatisch, um Änderungen einzuschließen und den Aufwand für die Verwaltung von Azure-Präfixen in einer Routentabelle zu verringern.

• Erstellen Sie eine globale Azure Firewall-Richtlinie, um den Sicherheitsstatus in der globalen Netzwerkumgebung zu steuern. Weisen Sie die Richtlinie allen Azure Firewall-Instanzen zu.

• Ermöglichen Sie granularen Richtlinien, bestimmte Regionsanforderungen zu erfüllen, indem Sie die rollenbasierte Zugriffssteuerung von Azure verwenden, um inkrementelle Richtlinien an lokale Sicherheitsteams zu delegieren.

• Verwenden Sie WAF innerhalb eines virtuellen Zielzonennetzwerks, um eingehenden HTTP/S-Datenverkehr aus dem Internet zu schützen.

• Verwenden Sie Azure Front Door- und WAF-Richtlinien, um globalen Schutz in Azure-Regionen für eingehende HTTP/S-Verbindungen mit einer Zielzone bereitzustellen.

  • Stellen Sie sicher, dass Sie die Anleitungen zur globalen Routingredundanz für unternehmenskritische Webanwendungen bei Verwendung von Azure Front Door in Ihren Architekturen überprüft haben.

• Um Azure Front Door und Azure Application Gateway zum Schutz von HTTP/S-Anwendungen zu verwenden, verwenden Sie WAF-Richtlinien in Azure Front Door. Sperren Sie das Azure-Anwendungsgateway, um nur Datenverkehr von Azure Front Door zu empfangen.

• Wenn Sie Partner-NVAs für eingehende HTTP/S-Verbindungen benötigen, stellen Sie sie in einem virtuellen Zielzonennetzwerk zusammen mit den Anwendungen bereit, die sie schützen und für das Internet verfügbar machen.

• Verwenden Sie für ausgehenden Zugriff nicht den standardmäßigen ausgehenden Internetzugriff von Azure für jedes Szenario. Probleme mit standardmäßigen ausgehenden Zugriffen umfassen:

  • Erhöhtes Risiko der SNAT-Portausschöpfung.
  • Standardmäßig unsicher.
  • Kann nicht von Standardzugriffs-IPs abhängen. Sie sind nicht eigentum des Kunden und können sich ändern.

• Verwenden Sie ein NAT-Gateway für Online-Landezonen oder Zielzonen, die nicht mit dem virtuellen Hubnetzwerk verbunden sind. Rechenressourcen, die den ausgehenden Internetzugriff benötigen und nicht die Sicherheit des Azure Firewall Standard oder Azure Firewall Premium oder einer NVA eines Drittanbieters benötigen, können Online-Landezonen nutzen.

• Wenn Ihre Organisation Software-as-a-Service (SaaS)-Sicherheitsanbieter verwenden möchte, um ausgehende Verbindungen zu schützen, konfigurieren Sie unterstützte Partner innerhalb des Firewall-Managers.

• Wenn Sie Partner-NVAs für Ost-West- oder Nord-Süd-Verkehrsschutz und -filterung verwenden:

  • Stellen Sie die NVAs bei Virtual WAN-Netzwerktopologien in einem separaten virtuellen NVA-Netzwerk bereit. Verbinden Sie das virtuelle Netzwerk mit dem regionalen virtuellen WAN-Hub und mit den Landungszonen, die Zugriff auf die NVAs benötigen. Weitere Informationen finden Sie unter Szenario: Weiterleiten von Datenverkehr über ein virtuelles Netzwerkgerät.
  • Stellen Sie für nicht virtuelle WAN-Netzwerktopologien die Partner-NVAs im virtuellen Netzwerk des zentralen Hubs bereit.

• Setzen Sie VM-Management-Ports nicht dem Internet aus. Für Verwaltungsaufgaben:

  • Verwenden Sie Azure Policy, um die Erstellung von virtuellen Computern mit öffentlichen IPs zu verhindern.
  • Verwenden Sie Azure Bastion, um auf Jumpbox-VMs zuzugreifen.

• Verwenden Sie Azure DDoS Protection--Schutzpläne, um die öffentlichen Endpunkte zu schützen, die Sie in Ihren virtuellen Netzwerken hosten.

• Versuchen Sie nicht, lokale Umkreisnetzwerkkonzepte und -architekturen in Azure zu replizieren. Obwohl Azure über ähnliche Sicherheitsfunktionen verfügt, wurden ihre Implementierung und Architektur an die Cloud angepasst.