【Azure安全】实施安全的混合网络

此参考架构显示了一个安全的混合网络，该网络将本地网络扩展到Azure。该架构在本地网络和Azure虚拟网络之间实现了一个外围网络，也称为DMZ。所有入站和出站流量都通过Azure防火墙。

架构

显示安全混合网络架构的图。

下载此体系结构的Visio文件。

组件

该架构由以下几个方面组成：

• 内部部署网络。在组织中实现的专用局域网。
• Azure虚拟网络。虚拟网络承载在Azure中运行的解决方案组件和其他资源。

虚拟网络路由定义了Azure虚拟网络中的IP流量。在图中，有两个用户定义的路由表。

在网关子网中，流量通过Azure防火墙实例路由。

笔记

根据VPN连接的要求，您可以配置边界网关协议（BGP）路由，以实现将流量引导回本地网络的转发规则。

• 网关。网关提供本地网络和虚拟网络中路由器之间的连接。网关放置在自己的子网中。
• Azure防火墙。Azure防火墙是一种托管防火墙即服务。防火墙实例放置在其自己的子网中。
• 网络安全组。使用安全组限制虚拟网络内的网络流量。
• Azure堡垒。Azure Bastion允许您通过SSH或远程桌面协议（RDP）登录虚拟网络中的虚拟机（VM），而无需将VM直接暴露于互联网。使用Bastion管理虚拟网络中的虚拟机。
• Bastion需要一个名为AzureBastionSubnet的专用子网。

潜在用例

此架构需要使用VPN网关或ExpressRoute连接连接到本地数据中心。这种架构的典型用途包括：

• 混合应用程序，其中工作负载部分在本地运行，部分在Azure中运行。
• 需要对从本地数据中心进入Azure虚拟网络的流量进行精细控制的基础架构。
• 必须审核传出流量的应用程序。审计通常是许多商业系统的监管要求，有助于防止私人信息的公开披露。
   

建议

以下建议适用于大多数情况。遵循这些建议，除非你有一个特定的要求来覆盖它们。

访问控制建议

使用Azure基于角色的访问控制（Azure RBAC）来管理应用程序中的资源。考虑创建以下自定义角色：

• DevOps角色，具有管理应用程序基础设施、部署应用程序组件以及监控和重启VM的权限。
• 一个集中的IT管理员角色，负责管理和监控网络资源。
• 安全IT管理员角色，负责管理防火墙等安全网络资源。

IT管理员角色不应有权访问防火墙资源。访问权限应仅限于安全IT管理员角色。

资源小组建议

通过将虚拟机、虚拟网络和负载均衡器等Azure资源分组到资源组中，可以轻松管理它们。为每个资源组分配Azure角色以限制访问。

我们建议创建以下资源组：

• 包含虚拟网络（不包括VM）、NSG和用于连接到本地网络的网关资源的资源组。将集中式IT管理员角色分配给此资源组。
• 包含Azure防火墙实例的VM和网关子网的用户定义路由的资源组。将安全IT管理员角色分配给此资源组。
• 为每个包含负载均衡器和VM的辐条虚拟网络单独设置资源组。
   

网络建议

若要接受来自internet的入站流量，请将目标网络地址转换（DNAT）规则添加到Azure防火墙。

• 目标地址=防火墙实例的公共IP地址。
• 转换后的地址=虚拟网络中的专用IP地址。
   

使用站点到站点VPN隧道强制所有出站互联网流量通过您的本地网络，并使用网络地址转换（NAT）路由到互联网。这种设计可以防止任何机密信息的意外泄露，并允许对所有传出流量进行检查和审计。

不要完全阻止来自辐条网络子网中资源的互联网流量。阻止流量将阻止这些资源使用依赖于公共IP地址的Azure PaaS服务，如VM诊断日志记录、VM扩展下载和其他功能。Azure诊断还要求组件可以读取和写入Azure存储帐户。

验证出站互联网流量是否已正确强制隧道传输。如果您在本地服务器上使用带有路由和远程访问服务的VPN连接，请使用WireShark等工具。

考虑使用应用程序网关或Azure前门进行SSL终止。

注意事项

这些考虑实现了Azure良好架构框架的支柱，这是一组可用于提高工作负载质量的指导原则。有关更多信息，请参阅Microsoft Azure架构良好的框架。

性能效率

性能效率是指工作负载以高效的方式扩展以满足用户对其提出的需求的能力。有关更多信息，请参阅性能效率支柱概述。

有关VPN网关带宽限制的详细信息，请参阅网关SKU。对于更高的带宽，请考虑升级到ExpressRoute网关。ExpressRoute提供高达10Gbps的带宽，延迟低于VPN连接。

有关Azure网关可扩展性的更多信息，请参阅中的可扩展性考虑部分：

• 使用Azure和本地VPN实现混合网络架构
• 使用Azure ExpressRoute实现混合网络体系结构
• Implementing a hybrid network architecture with Azure and on-premises VPN
• Implementing a hybrid network architecture with Azure ExpressRoute

有关大规模管理虚拟网络和NSG的详细信息，请参阅Azure虚拟网络管理器（AVNM）：创建安全的中心辐射网络，以创建新的（和现有的）中心辐射虚拟网络拓扑，用于集中管理连接和NSG规则。

可靠性

可靠性确保您的应用程序能够满足您对客户的承诺。有关更多信息，请参阅可靠性支柱概述。

如果您使用Azure ExpressRoute提供虚拟网络和本地网络之间的连接，请配置VPN网关，以便在ExpressRoute连接不可用时提供故障转移。

有关维护VPN和ExpressRoute连接可用性的信息，请参阅中的可用性注意事项：

• 使用Azure和本地VPN实现混合网络架构
• 使用Azure ExpressRoute实现混合网络体系结构
• Implementing a hybrid network architecture with Azure and on-premises VPN
• Implementing a hybrid network architecture with Azure ExpressRoute

卓越运营

卓越运营涵盖了部署应用程序并使其在生产中运行的运营流程。有关更多信息，请参阅卓越运营支柱概述。

如果从本地网络到Azure的网关连接中断，您仍然可以通过Azure Bastion访问Azure虚拟网络中的VM。

参考架构中每一层的子网都受到NSG规则的保护。您可能需要创建一个规则来打开端口3389，以便在Windows VM上进行远程桌面协议（RDP）访问，或打开端口22，以便在Linux VM上进行安全shell（SSH）访问。其他管理和监控工具可能需要规则来打开其他端口。

如果您使用ExpressRoute提供本地数据中心和Azure之间的连接，请使用Azure connectivity Toolkit（AzureCT）来监视和排除连接问题。

您可以在文章“使用Azure和本地VPN实现混合网络架构”中找到有关监视和管理VPN和ExpressRoute连接的更多信息。

安全

安全性提供了防止蓄意攻击和滥用您宝贵数据和系统的保证。有关更多信息，请参阅安全柱概述。

此参考架构实现了多级安全性。

通过Azure防火墙路由所有本地用户请求

网关子网中的用户定义路由会阻止除从本地接收到的请求之外的所有用户请求。该路由将允许的请求传递到防火墙。如果防火墙规则允许，这些请求将传递给辐条虚拟网络中的资源。您可以添加其他路由，但请确保它们不会无意中绕过防火墙或阻止用于管理子网的管理流量。

使用NSG阻止/传递到辐条虚拟网络子网的流量

通过使用NSG来限制轮辐虚拟网络中资源子网的流量。如果您需要扩展NSG规则以允许更广泛地访问这些资源，请将这些要求与安全风险进行权衡。每个新的入站路径都代表着意外或有目的的数据泄漏或应用程序损坏的机会。

DDoS防护

Azure DDoS保护与应用程序设计最佳实践相结合，提供了增强的DDoS缓解功能，以提供更多的DDoS攻击防御。您应该在任何外围虚拟网络上启用Azure DDOS保护。

使用AVNM创建基线安全管理规则

AVNM允许您创建安全规则的基线，这些基线可以优先于网络安全组规则。安全管理规则在NSG规则之前进行评估，具有与NSG相同的性质，支持优先级、服务标签和L3-L4协议。AVNM允许中央IT执行安全规则的基线，同时允许分支虚拟网络所有者独立于其他NSG规则。为了促进安全规则更改的受控推出，AVNM的部署功能允许您安全地将这些配置的破坏性更改发布到中心辐射环境中。

DevOps访问

使用Azure RBAC来限制DevOps可以在每一层上执行的操作。在授予权限时，使用最小特权原则。记录所有管理操作并定期进行审核，以确保任何配置更改都已计划好。

成本优化

成本优化是指寻找减少不必要费用和提高运营效率的方法。有关更多信息，请参阅成本优化支柱概述。

使用Azure定价计算器估算成本。其他考虑因素在Microsoft Azure良好架构框架的成本优化部分进行了描述。

以下是此架构中使用的服务的成本考虑因素。

Azure防火墙

在此架构中，Azure防火墙部署在虚拟网络中，以控制网关子网和分支虚拟网络中的资源之间的流量。通过这种方式，Azure防火墙具有成本效益，因为它被用作多个工作负载使用的共享解决方案。以下是Azure防火墙的定价模型：

• 每部署小时固定费率。
• 每GB处理的数据支持自动缩放。
  与网络虚拟设备（NVAs）相比，使用Azure防火墙可以节省高达30-50%的成本。有关更多信息，请参阅Azure防火墙与NVA。

Azure堡垒

Azure Bastion通过RDP和SSH安全地连接到您的虚拟机，无需在虚拟机上配置公共IP。

Bastion计费与配置为跳转框的基本低级虚拟机相当。Bastion比跳箱更具成本效益，因为它具有内置的安全功能，并且不会产生额外的存储和管理单独服务器的成本。

Azure虚拟网络

Azure虚拟网络是免费的。每个订阅都允许在所有地区创建多达50个虚拟网络。虚拟网络边界内发生的所有流量都是免费的。例如，同一虚拟网络中相互通信的虚拟机不会产生网络流量费用。

内部负载平衡器

驻留在同一虚拟网络中的虚拟机之间的基本负载平衡是免费的。

在这种架构中，内部负载均衡器用于在虚拟网络内对流量进行负载平衡。

部署此场景

此部署创建了两个资源组；第一个是模拟本地网络，第二个是一组中心辐射网络。模拟本地网络和集线器网络使用Azure虚拟网络网关连接，形成站点到站点的连接。此配置与您将本地数据中心连接到Azure的方式非常相似。

此部署可能需要45分钟才能完成。建议的部署方法是使用下面的门户选项。

Azure门户

使用以下按钮使用Azure门户部署引用。

部署到Azure

Azure CLI

 

az deployment sub create --location eastus --template-uri https://raw.githubusercontent.com/mspnp/samples/master/solutions/secure-hybrid-network/azuredeploy.json

PowerShell

 

New-AzSubscriptionDeployment -Location eastus -TemplateUri https://raw.githubusercontent.com/mspnp/samples/master/solutions/secure-hybrid-network/azuredeploy.json

 

部署完成后，通过查看新创建的连接资源来验证站点到站点的连接。在Azure门户中，搜索“连接”并注意每个连接的状态。

可以从位于模拟本地网络中的虚拟机访问辐条网络中的IIS实例。使用附带的Azure Bastion主机创建与虚拟机的连接，打开web浏览器，然后导航到应用程序网络负载平衡器的地址。

有关详细信息和其他部署选项，请参阅用于部署此解决方案的Azure资源管理器模板（ARM模板）：安全混合网络。

 

 

下一步

• The virtual datacenter: A network perspective.
• Azure security documentation.

相关资源

• Connect an on-premises network to Azure using ExpressRoute.
• Configure ExpressRoute and Site-to-Site coexisting connections using PowerShell
• Extend an on-premises network using ExpressRoute.