Azure Stack Hub güvenlik duvarı tümleştirmesi

Azure Stack Hub'ın güvenliğini sağlamaya yardımcı olması için bir güvenlik duvarı cihazı kullanmanız önerilir. Güvenlik duvarları dağıtılmış hizmet reddi (DDOS) saldırılarına, yetkisiz erişim algılamaya ve içerik denetimine karşı savunmaya yardımcı olabilir. Ancak bloblar, tablolar ve kuyruklar gibi Azure depolama hizmetlerinde de aktarım hızı sorununa neden olabilir.

Bağlantısız dağıtım modu kullanılıyorsa AD FS uç noktasını yayımlamanız gerekir. Daha fazla bilgi için veri merkezi tümleştirme kimliği makalesinebakın.

Azure Resource Manager (yönetici), yönetici portalı ve Key Vault (yönetici) uç noktaları dış yayımlama gerektirmez. Örneğin, bir hizmet sağlayıcısı olarak saldırı yüzeyini İnternet'ten değil yalnızca ağınızın içinden Azure Stack Hub'ı yöneterek sınırlayabilirsiniz.

Kurumsal kuruluşlar için dış ağ mevcut kurumsal ağ olabilir. Bu senaryoda, şirket ağından Azure Stack Hub'ı çalıştırmak için uç noktaları yayımlamanız gerekir.

Ağ Adresi Çevirisi

Ağ Adresi Çevirisi (NAT), dağıtım sanal makinesinin (DVM) dağıtım sırasında dış kaynaklara ve İnternet'e, ayrıca kayıt ve sorun giderme sırasında Acil Durum Kurtarma Konsolu (ERCS) VM'lerine veya ayrıcalıklı uç noktaya (PEP) erişmesine izin vermek için önerilen yöntemdir.

NAT, dış ağdaki genel IP adreslerine veya genel VIP'lere de alternatif olabilir. Ancak, kiracı kullanıcı deneyimini sınırladığı ve karmaşıklığı artırdığı için bunu yapmanız önerilmez. Bir seçenek, havuzdaki kullanıcı IP'sine bir genel IP gerektiren bire bir NAT olabilir. Bir diğer seçenek, bir kullanıcının kullanabileceği tüm bağlantı noktaları için kullanıcı VIP'si başına NAT kuralına ihtiyaç duyan çoktan bire bir NAT'tır.

Genel VIP için NAT kullanmanın bazı dezavantajları şunlardır:

  • Nat, güvenlik duvarı kurallarını yönetirken ek yük ekler çünkü kullanıcılar yazılım tanımlı ağ (SDN) yığınında kendi uç noktalarını ve kendi yayımlama kurallarını denetler. Kullanıcıların VIP'lerini yayımlamak ve bağlantı noktası listesini güncelleştirmek için Azure Stack Hub operatörüne başvurması gerekir.
  • NAT kullanımı kullanıcı deneyimini sınırlandırsa da, yayımlama istekleri üzerinde operatöre tam kontrol sağlar.
  • Azure ile karma bulut senaryoları için Azure'ın NAT kullanarak uç noktaya VPN tüneli ayarlamayı desteklemediğini göz önünde bulundurun.

SSL engelleme ve dinleme

Şu anda, Azure Stack Hub trafiğinin tamamında SSL kesmesini (örneğin, şifre çözme yükünün aktarılması) devre dışı bırakmanız önerilir. Gelecekteki güncelleştirmelerde destekleniyorsa, Azure Stack Hub için SSL kesme özelliğini etkinleştirme hakkında rehberlik sağlanacaktır.

Edge güvenlik duvarı senaryosu

Bir uç dağıtımında, Azure Stack Hub doğrudan uç yönlendiricisinin veya güvenlik duvarının arkasına dağıtılır. Bu senaryolarda, güvenlik duvarının sınırın üzerinde olması desteklenir; burada, bir yandan hem aktif-aktif hem de aktif-pasif güvenlik duvarı yapılandırmalarını destekleyen bir pozisyonda olabilir (Senaryo 1), diğer yandan yalnızca aktif-aktif güvenlik duvarı yapılandırmasını, yalnızca BGP veya statik yönlendirme ile eşit maliyetli çoklu yol (ECMP) kullanarak yük devretmeye dayanan bir sınır cihazı olarak işlev görebilir (Senaryo 2).

Genel yönlendirilebilir IP adresleri, dağıtım zamanında dış ağdan genel VIP havuzu için belirtilir. Uç senaryolarda, güvenlik amacıyla başka bir ağda genel yönlendirilebilir IP'lerin kullanılması önerilmez. Bu senaryo, kullanıcının Azure gibi genel bir bulutta olduğu gibi kendi kendini denetlediği bulut deneyiminin tamamını yaşamasını sağlar.

azure stack hub edge güvenlik duvarı örneğiAzure Stack Hub edge firewall exampleAzure Stack Hub edge firewall example

Kurumsal intranet veya çevre ağı güvenlik duvarı senaryosu

Kurumsal intranet veya çevre dağıtımında, Azure Stack Hub çok bölgeli bir güvenlik duvarına veya uç güvenlik duvarı ile şirket içi ağ güvenlik duvarı arasında dağıtılır. Trafiği daha sonra aşağıda açıklandığı gibi güvenli, çevre ağı (veya DMZ) ve güvenli olmayan bölgeler arasında dağıtılır:

  • Güvenli bölge: Bu, iç veya şirket yönlendirilebilir IP adreslerini kullanan iç ağdır. Güvenli ağ bölünebilir, Güvenlik Duvarı'nda NAT üzerinden İnternet'e giden erişime sahip olabilir ve genellikle veri merkezinizin içindeki her yerden iç ağ üzerinden erişilebilir. Dış ağın genel VIP havuzu dışında tüm Azure Stack Hub ağları güvenli bölgede bulunmalıdır.
  • çevre bölgesi. Çevre ağı, Web sunucuları gibi dış veya İnternet'e yönelik uygulamaların genellikle dağıtıldığı yerdir. İnternet'ten belirtilen gelen trafiğe izin verirken DDoS ve izinsiz giriş (hackleme) gibi saldırılardan kaçınmak için genellikle bir güvenlik duvarı tarafından izlenir. DMZ bölgesinde yalnızca Azure Stack Hub'ın dış ağ genel VIP havuzu bulunmalıdır.
  • güvenli olmayan bölge . Bu dış ağ, internet. Azure Stack Hub'ın güvenli olmayan bölgeye dağıtılması önerilmez.

Azure Stack Hub çevre ağı örneğiAzure Stack Hub perimeter network exampleAzure Stack Hub perimeter network example

Daha fazla bilgi edinin

Azure Stack Hub uç noktaları tarafından kullanılanbağlantı noktaları ve protokoller hakkında daha fazla bilgi edinin.

Sonraki adımlar

Azure Stack Hub PKI gereksinimleri