Azure Stack Hub-brandväggsintegrering

Vi rekommenderar att du använder en brandväggsenhet för att skydda Azure Stack Hub. Brandväggar kan hjälpa till att skydda mot sådant som DDOS-attacker (distribuerade överbelastningsattacker), intrångsidentifiering och innehållsgranskning. De kan dock också bli en flaskhals i dataflödet för Azure-lagringstjänster som blobar, tabeller och köer.

Om ett frånkopplat distributionsläge används måste du publicera AD FS-slutpunkten. Mer information finns i artikeln om datacenterintegreringsidentitet.

Slutpunkter för Azure Resource Manager (administratör), administratörsportal och Key Vault (administratör) kräver inte nödvändigtvis extern publicering. Som tjänstleverantör kan du till exempel begränsa attackytan genom att bara administrera Azure Stack Hub inifrån nätverket och inte från Internet.

För företagsorganisationer kan det externa nätverket vara det befintliga företagsnätverket. I det här scenariot måste du publicera slutpunkter för att använda Azure Stack Hub från företagsnätverket.

Översättning av nätverksadress

NAT (Network Address Translation) är den rekommenderade metoden för att tillåta att den virtuella distributionsdatorn (DVM) får åtkomst till externa resurser och Internet under distributionen samt virtuella DATORER med nödåterställningskonsolen (ERCS) eller privilegierad slutpunkt (PEP) under registrering och felsökning.

NAT kan också vara ett alternativ till offentliga IP-adresser i det externa nätverket eller offentliga VIP-adresser. Det rekommenderas dock inte att göra det eftersom det begränsar klientorganisationens användarupplevelse och ökar komplexiteten. Ett alternativ skulle vara en till en NAT som fortfarande kräver en offentlig IP-adress per användares IP-adress i poolen. Ett annat alternativ är många-till-en-NAT som kräver en NAT-regel per användar-VIP för alla portar som en användare kan använda.

Några av nackdelarna med att använda NAT för offentlig VIP är:

  • NAT lägger till mer omkostnader vid hantering av brandväggsregler eftersom användarna styr sina egna slutpunkter och sina egna publiceringsregler i den programvarudefinierade nätverksstacken (SDN). Användarna måste kontakta Azure Stack Hub-operatören för att få sina VIP-adresser publicerade och uppdatera portlistan.
  • Även om NAT-användningen begränsar användarupplevelsen ger den fullständig kontroll till operatören över publiceringsbegäranden.
  • För hybridmolnscenarier med Azure bör du tänka på att Azure inte stöder konfiguration av en VPN-tunnel till en slutpunkt med NAT.

SSL-avlyssning

Vi rekommenderar för närvarande att inaktivera all SSL-avlyssning (till exempel dekrypteringsavlastning) på all Azure Stack Hub-trafik. Om det stöds i framtida uppdateringar ges vägledning om hur du aktiverar SSL-avlyssning för Azure Stack Hub.

Scenario med Edge-brandvägg

I en edge-distribution distribueras Azure Stack Hub direkt bakom gränsroutern eller brandväggen. I dessa scenarier stöds det att brandväggen ligger ovanför kantlinjen (scenario 1) där den stöder både aktiv-aktiv och aktiv-passiv brandväggskonfiguration eller fungerar som gränsenhet (scenario 2) där den endast stöder aktiv-aktiv brandväggskonfiguration som förlitar sig på ecmp (equal-cost multi-path) med antingen BGP eller statisk routning för redundans.

Offentliga dirigerbara IP-adresser anges för den offentliga VIP-poolen från det externa nätverket vid distributionstillfället. I ett gränsscenario rekommenderar vi inte att du använder offentliga routningsbara IP-adresser i något annat nätverk i säkerhetssyfte. Det här scenariot gör det möjligt för en användare att uppleva den fullständiga självkontrollerade molnupplevelsen som i ett offentligt moln som Azure.

Azure Stack Hub Edge-brandväggsexempel

Scenario för företagsintranät eller perimeternätverksbrandvägg

I en företagsintranäts- eller perimeterdistribution distribueras Azure Stack Hub i en brandvägg med flera zoner eller mellan gränsbrandväggen och den interna brandväggen i företagsnätverket. Trafiken distribueras sedan mellan det säkra perimeternätverket (eller DMZ) och oskyddade zoner enligt beskrivningen nedan:

  • Säker zon: Det här är det interna nätverket som använder interna eller företagsroutningsbara IP-adresser. Det säkra nätverket kan delas upp, ha utgående internetåtkomst via NAT i brandväggen och är vanligtvis tillgängligt var som helst i ditt datacenter via det interna nätverket. Alla Azure Stack Hub-nätverk ska finnas i den säkra zonen förutom det externa nätverkets offentliga VIP-pool.
  • Perimeterzon. Perimeternätverket är där externa eller Internetuppkopplade appar som webbservrar vanligtvis distribueras. Den övervakas vanligtvis av en brandvägg för att undvika attacker som DDoS och intrång (hackning) samtidigt som angiven inkommande trafik tillåts från Internet. Endast det externa nätverkets offentliga VIP-pool i Azure Stack Hub ska finnas i DMZ-zonen.
  • Oskyddad zon. Det här är det externa nätverket, Internet. Vi rekommenderar inte att du distribuerar Azure Stack Hub i den osäkra zonen.

Exempel på perimeternätverk i Azure Stack Hub

Läs mer

Läs mer om portar och protokoll som används av Azure Stack Hub-slutpunkter.

Nästa steg

PKI-krav för Azure Stack Hub