Quali sono le opzioni di architettura di Gestione firewall di Azure?
Gestione firewall di Azure può offrire la gestione della sicurezza per due tipi di architettura di rete:
Hub virtuale protetto
Un hub di rete WAN virtuale di Azure è una risorsa gestita da Microsoft che consente di creare facilmente architetture hub-spoke. Quando a un hub di questo tipo sono associati criteri di sicurezza e routing, l'hub viene definito hub virtuale protetto.
Rete virtuale hub
Le reti virtuali hub sono reti virtuali di Azure standard che si possono creare e gestire in autonomia. Quando a un hub di questo tipo sono associati criteri di sicurezza, l'hub viene definito rete virtuale hub. Al momento, è supportato solo il criterio firewall di Azure. È possibile eseguire il peering delle reti virtuali spoke che contengono i server e i servizi del carico di lavoro. È anche possibile gestire i firewall all'interno di reti virtuali autonome non associate a spoke.
Confronto
La tabella seguente confronta queste due opzioni di architettura e consente di decidere quale sia la scelta appropriata per i requisiti di sicurezza dell'organizzazione:
| Rete virtuale hub | Hub virtuale protetto | |
|---|---|---|
| Risorsa sottostante | Rete virtuale | Hub della rete WAN virtuale |
| Hub e Spoke | Usa un peering di reti virtuali | Automatizzato con connessione di rete virtuale hub |
| Connettività locale | Gateway VPN, fino a 10 Gbps e 30 connessioni S2S; ExpressRoute | Gateway VPN più scalabile, fino a 20 Gbps e 1000 connessioni S2S; ExpressRoute |
| Connettività delle filiali automatizzata tramite SDWAN | Non supportato | Supportato |
| Hub per area | Più reti virtuali per area | Più hub virtuali per area |
| Firewall di Azure: più indirizzi IP pubblici | Fornito dal cliente | Generato automaticamente |
| Zone di disponibilità di Firewall di Azure | Supportata | Supportata |
| Sicurezza Internet avanzata con partner Security as a Service terzi | Connettività VPN stabilita e gestita dal cliente al servizio partner preferito | Automatizzato tramite il flusso del provider di partner di sicurezza e l'esperienza di gestione dei partner |
| Gestione route centralizzata per instradare il traffico all'hub | Route definita dall'utente e gestita dal cliente | Supportato con BGP |
| Supporto di più provider di sicurezza | Supportato con il tunneling forzato configurato manualmente in firewall di terzi | Supporto automatizzato per due provider di sicurezza: Firewall di Azure per il filtro del traffico privato e terzi per il filtro Internet |
| Web Application Firewall nel gateway applicazione | Supportato nella rete virtuale | Attualmente supportato nella rete spoke |
| Appliance virtuale di rete | Supportato nella rete virtuale | Attualmente supportato nella rete spoke |
| Supporto protezione DDoS di Azure | Sì | No |