Azure 生產(chǎn)網(wǎng)絡(luò),windows azure-ESG跨境

Azure 生產(chǎn)網(wǎng)絡(luò),windows azure

Azure生產(chǎn)網(wǎng)絡(luò)

Azure生產(chǎn)網(wǎng)絡(luò)的用戶包括訪問自己的Azure應(yīng)用程序的外部客戶和管理生產(chǎn)網(wǎng)絡(luò)的Azure內(nèi)部支持人員。介紹了與Azure生產(chǎn)網(wǎng)絡(luò)建立連接的安全訪問方法和保護機制。

互聯(lián)網(wǎng)路由和容錯

全局冗余的內(nèi)部和外部Azure域名服務(wù)(DNS) 基礎(chǔ)結(jié)構(gòu)與多個主要和輔助DNS服務(wù)器集群相結(jié)合，以提供容錯。同時，其他Azure網(wǎng)絡(luò)安全控制(如NetScaler)可以防止分布式拒絕服務(wù)(DDoS)攻擊，保護Azure DNS服務(wù)的完整性。

Azure DNS服務(wù)器位于多個數(shù)據(jù)中心設(shè)施中。Azure DNS實現(xiàn)集成了二級和一級DNS服務(wù)器的層次結(jié)構(gòu)，可以公開解析Azure客戶域名。域名通常被解析為CloudApp.net地址，其中封裝了客戶服務(wù)的虛擬IP (VIP)地址。Azure的獨特之處在于，與租戶轉(zhuǎn)換的內(nèi)部私有IP (DIP)地址相對應(yīng)的VIP由負責VIP的微軟負載平衡器執(zhí)行。

Azure托管在美國各地的Azure數(shù)據(jù)中心，構(gòu)建在一流的路由平臺上，可以實現(xiàn)可靠的、可擴展的架構(gòu)標準。它包含以下重要功能:

基于多協(xié)議標簽交換(MPLS)的流量工程可以在服務(wù)中斷時提供有效的鏈路利用和適當?shù)姆?wù)降級。

在“按需加一”(N+1)冗余架構(gòu)或更好的架構(gòu)中實施網(wǎng)絡(luò)。

在外部，數(shù)據(jù)中心由專用的高帶寬網(wǎng)絡(luò)線路提供服務(wù)，這些線路將資產(chǎn)冗余地連接到全球1200多家互聯(lián)網(wǎng)服務(wù)提供商的多個對等互連點。連接后可提供超過2000 GB/s(GBps)的邊緣容量。

由于微軟在數(shù)據(jù)中心之間有自己的網(wǎng)絡(luò)線路，這些屬性有助于Azure產(chǎn)品/服務(wù)實現(xiàn)99.9%以上的網(wǎng)絡(luò)可用性，而不必與傳統(tǒng)的第三方互聯(lián)網(wǎng)服務(wù)提供商合作。

連接到生產(chǎn)網(wǎng)絡(luò)和相關(guān)的防火墻。

Azure Internet流量策略將流量定向到美國最近的區(qū)域數(shù)據(jù)中心的Azure生產(chǎn)網(wǎng)絡(luò)。由于Azure生產(chǎn)數(shù)據(jù)中心具有一致的網(wǎng)絡(luò)架構(gòu)和硬件，以下流量流說明同樣適用于所有數(shù)據(jù)中心。

將Azure的互聯(lián)網(wǎng)流量路由到最近的數(shù)據(jù)中心后，它會與連接的路由器建立連接。這些接入路由器用于隔離Azure節(jié)點和客戶實例化虛擬機之間的流量。位于接入位置和邊緣位置的網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)設(shè)備是應(yīng)用入口和出口過濾器的邊界點。這些路由器通過分層訪問控制列表(ACL)進行配置，可以過濾不需要的網(wǎng)絡(luò)流量，并在必要時應(yīng)用流量速率限制。ACL允許的流量將被路由到負載平衡器。分配路由器只允許微軟認可的IP地址，可以提供反欺騙功能，使用ACL建立TCP連接。

外部負載平衡設(shè)備位于接入路由器之后，執(zhí)行從互聯(lián)網(wǎng)可路由IP到Azure內(nèi)部IP的網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)。該設(shè)備還將數(shù)據(jù)包路由到有效的內(nèi)部IP和生產(chǎn)端口，它們作為一種保護機制來限制內(nèi)部生產(chǎn)網(wǎng)絡(luò)地址空間的泄露。

默認情況下，Microsoft對傳輸?shù)娇蛻鬢eb瀏覽器的所有流量(包括登錄和由此產(chǎn)生的所有流量)強制執(zhí)行安全超文本傳輸協(xié)議(HTTPS)。使用TLS v1.2可以為傳輸?shù)牧髁拷踩乃淼?。接入路由器和核心路由器上的ACL確保流量的來源符合預(yù)期。

與傳統(tǒng)的安全架構(gòu)相比，這種架構(gòu)的重要區(qū)別在于，它沒有專用的硬件防火墻、專用的入侵檢測或防御設(shè)備，或者在連接Azure生產(chǎn)環(huán)境之前通常需要的其他安全設(shè)備?？蛻敉ǔＦ谕@些硬件防火墻設(shè)備存在于Azure網(wǎng)絡(luò)中；但是，Azure中沒有這樣的設(shè)備。這些安全功能內(nèi)置在運行Azure環(huán)境的軟件中，并提供了包括防火墻功能在內(nèi)的可靠的多層安全機制，這幾乎是Azure獨有的。此外，如上圖所示，關(guān)鍵安全設(shè)備的邊界范圍和相關(guān)衍生功能更容易管理和盤點，因為它們是由運行Azure的軟件管理的。

核心安全和防火墻功能

Azure在所有級別實現(xiàn)了可靠的軟件安全和防火墻功能，以加強傳統(tǒng)環(huán)境中通常需要的安全功能，從而保護核心安全授權(quán)邊界。

Azure安全功能

在Azure生產(chǎn)網(wǎng)絡(luò)中實現(xiàn)基于主機的軟件防火墻。Azure核心環(huán)境包含各種核心安全和防火墻功能。這些安全特性反映了Azure環(huán)境中的深度防御策略。Azure中的客戶數(shù)據(jù)受到以下防火墻的保護:

虛擬機管理程序防火墻(包過濾):該防火墻在虛擬機管理程序中實現(xiàn)，并由結(jié)構(gòu)控制器(FC)代理進行配置。這種防火墻可以保護在虛擬機中運行的租戶免受未經(jīng)授權(quán)的訪問。默認情況下，創(chuàng)建虛擬機時，會阻止所有流量，然后FC代理會向過濾器添加規(guī)則和例外，以允許授權(quán)流量。

這里編程了兩種類型的規(guī)則:

電腦配置或基礎(chǔ)結(jié)構(gòu)規(guī)則:默認情況下，所有通訊都會被阻斷。但是，也有例外情況，允許虛擬機發(fā)快遞和接收動態(tài)主機配置協(xié)議(DHCP)通信和DNS信息，向“公共”互聯(lián)網(wǎng)發(fā)快遞流量，以及向FC集群和操作系統(tǒng)激活服務(wù)器中的其他虛擬機發(fā)快遞流量。由于VM允許的傳出目的地列表不包括Azure路由器子網(wǎng)和其他Microsoft屬性，這些規(guī)則將作為它們的防御層。

角色配置文件規(guī)則:根據(jù)租戶的服務(wù)模型定義入站ACL。例如，如果租戶在特定虛擬機的端口80上有一個Web前端，端口80將對所有IP地址開放。如果虛擬機上正在運行輔助角色，則該角色僅對同一租戶中的虛擬機開放。

主機防火墻:Azure Service Fabric和Azure Storage運行在原生OS上，其中沒有hypervisor，所以Windows防火墻將使用上述兩組規(guī)則進行配置。

主機防火墻:主機防火墻保護運行虛擬機管理程序的主機分區(qū)。您可以通過編程方式設(shè)置規(guī)則，僅允許FC和jump box在特定端口上與主機分區(qū)通信。其他例外包括允許DHCP響應(yīng)和DNS回復(fù)。使用Azure計算機配置文件，其中包括主機分區(qū)的防火墻規(guī)則模板。主機防火墻也有一個例外，它允許虛擬機通過特定的協(xié)議/端口與主機組件、網(wǎng)絡(luò)服務(wù)器和元數(shù)據(jù)服務(wù)器進行通信。

來賓防火墻:來賓操作系統(tǒng)的Windows防火墻部分，可由客戶在來賓虛擬機和存儲中進行配置。

Azure功能中內(nèi)置的其他安全功能包括:

基礎(chǔ)結(jié)構(gòu)組件，可從d IP分配IP地址?；ヂ?lián)網(wǎng)上的攻擊者無法向這些地址發(fā)快遞流量，因為他們無法訪問Microsoft。Internet路由器只過濾發(fā)往內(nèi)部地址的數(shù)據(jù)包，因此這些數(shù)據(jù)包不會進入生產(chǎn)網(wǎng)絡(luò)。只有負載平衡器是接受定向到VIP的流量的組件。

在任何給定的場景中，在所有內(nèi)部節(jié)點上實施的防火墻在安全架構(gòu)方面有三個主要考慮因素:

的外圍設(shè)備訪問路由器將阻止發(fā)往Azure網(wǎng)絡(luò)中某個地址的出站數(shù)據(jù)包，因為它使用已配置的靜態(tài)路由。

防火墻位于負載平衡器的后面，接受來自任何地方的數(shù)據(jù)包。這些數(shù)據(jù)包可能暴露在外部，對應(yīng)于傳統(tǒng)外圍防火墻中打開的端口。

防火墻只接受來自有限地址集的數(shù)據(jù)包。這種考慮是針對DDoS攻擊的防御策略的一部分。這種類型的連接通過加密進行身份驗證。

只能從選定的內(nèi)部節(jié)點訪問防火墻。防火墻只接受源IP地址枚舉列表中的數(shù)據(jù)包，這些地址都是Azure network中的dip。例如，企業(yè)網(wǎng)絡(luò)中的攻擊可能會將請求定向到這些地址，但它會阻止攻擊，除非數(shù)據(jù)包的源地址是Azure network中枚舉列表中的地址。

特別聲明：以上文章內(nèi)容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關(guān)于作品內(nèi)容、版權(quán)或其它問題請于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。