Azure 生產網絡,windows azure

Azure生產網絡

Azure生產網絡的用戶包括訪問自己的Azure應用程序的外部客戶和管理生產網絡的Azure內部支持人員。介紹了與Azure生產網絡建立連接的安全訪問方法和保護機制。

互聯網路由和容錯

全局冗余的內部和外部Azure域名服務(DNS) 基礎結構與多個主要和輔助DNS服務器集群相結合，以提供容錯。同時，其他Azure網絡安全控制(如NetScaler)可以防止分布式拒絕服務(DDoS)攻擊，保護Azure DNS服務的完整性。

Azure DNS服務器位于多個數據中心設施中。Azure DNS實現集成了二級和一級DNS服務器的層次結構，可以公開解析Azure客戶域名。域名通常被解析為CloudApp.net地址，其中封裝了客戶服務的虛擬IP (VIP)地址。Azure的獨特之處在于，與租戶轉換的內部私有IP (DIP)地址相對應的VIP由負責VIP的微軟負載平衡器執行。

Azure托管在美國各地的Azure數據中心，構建在一流的路由平臺上，可以實現可靠的、可擴展的架構標準。它包含以下重要功能:

基于多協議標簽交換(MPLS)的流量工程可以在服務中斷時提供有效的鏈路利用和適當的服務降級。

在“按需加一”(N+1)冗余架構或更好的架構中實施網絡。

在外部，數據中心由專用的高帶寬網絡線路提供服務，這些線路將資產冗余地連接到全球1200多家互聯網服務提供商的多個對等互連點。連接后可提供超過2000 GB/s(GBps)的邊緣容量。

由于微軟在數據中心之間有自己的網絡線路，這些屬性有助于Azure產品/服務實現99.9%以上的網絡可用性，而不必與傳統的第三方互聯網服務提供商合作。

連接到生產網絡和相關的防火墻。

Azure Internet流量策略將流量定向到美國最近的區域數據中心的Azure生產網絡。由于Azure生產數據中心具有一致的網絡架構和硬件，以下流量流說明同樣適用于所有數據中心。

將Azure的互聯網流量路由到最近的數據中心后，它會與連接的路由器建立連接。這些接入路由器用于隔離Azure節點和客戶實例化虛擬機之間的流量。位于接入位置和邊緣位置的網絡基礎結構設備是應用入口和出口過濾器的邊界點。這些路由器通過分層訪問控制列表(ACL)進行配置，可以過濾不需要的網絡流量，并在必要時應用流量速率限制。ACL允許的流量將被路由到負載平衡器。分配路由器只允許微軟認可的IP地址，可以提供反欺騙功能，使用ACL建立TCP連接。

外部負載平衡設備位于接入路由器之后，執行從互聯網可路由IP到Azure內部IP的網絡地址轉換(NAT)。該設備還將數據包路由到有效的內部IP和生產端口，它們作為一種保護機制來限制內部生產網絡地址空間的泄露。

默認情況下，Microsoft對傳輸到客戶Web瀏覽器的所有流量(包括登錄和由此產生的所有流量)強制執行安全超文本傳輸協議(HTTPS)。使用TLS v1.2可以為傳輸的流量建立安全的隧道。接入路由器和核心路由器上的ACL確保流量的來源符合預期。

與傳統的安全架構相比，這種架構的重要區別在于，它沒有專用的硬件防火墻、專用的入侵檢測或防御設備，或者在連接Azure生產環境之前通常需要的其他安全設備。客戶通常期望這些硬件防火墻設備存在于Azure網絡中；但是，Azure中沒有這樣的設備。這些安全功能內置在運行Azure環境的軟件中，并提供了包括防火墻功能在內的可靠的多層安全機制，這幾乎是Azure獨有的。此外，如上圖所示，關鍵安全設備的邊界范圍和相關衍生功能更容易管理和盤點，因為它們是由運行Azure的軟件管理的。

核心安全和防火墻功能

Azure在所有級別實現了可靠的軟件安全和防火墻功能，以加強傳統環境中通常需要的安全功能，從而保護核心安全授權邊界。

Azure安全功能

在Azure生產網絡中實現基于主機的軟件防火墻。Azure核心環境包含各種核心安全和防火墻功能。這些安全特性反映了Azure環境中的深度防御策略。Azure中的客戶數據受到以下防火墻的保護:

虛擬機管理程序防火墻(包過濾):該防火墻在虛擬機管理程序中實現，并由結構控制器(FC)代理進行配置。這種防火墻可以保護在虛擬機中運行的租戶免受未經授權的訪問。默認情況下，創建虛擬機時，會阻止所有流量，然后FC代理會向過濾器添加規則和例外，以允許授權流量。

這里編程了兩種類型的規則:

電腦配置或基礎結構規則:默認情況下，所有通訊都會被阻斷。但是，也有例外情況，允許虛擬機發快遞和接收動態主機配置協議(DHCP)通信和DNS信息，向“公共”互聯網發快遞流量，以及向FC集群和操作系統激活服務器中的其他虛擬機發快遞流量。由于VM允許的傳出目的地列表不包括Azure路由器子網和其他Microsoft屬性，這些規則將作為它們的防御層。

角色配置文件規則:根據租戶的服務模型定義入站ACL。例如，如果租戶在特定虛擬機的端口80上有一個Web前端，端口80將對所有IP地址開放。如果虛擬機上正在運行輔助角色，則該角色僅對同一租戶中的虛擬機開放。

主機防火墻:Azure Service Fabric和Azure Storage運行在原生OS上，其中沒有hypervisor，所以Windows防火墻將使用上述兩組規則進行配置。

主機防火墻:主機防火墻保護運行虛擬機管理程序的主機分區。您可以通過編程方式設置規則，僅允許FC和jump box在特定端口上與主機分區通信。其他例外包括允許DHCP響應和DNS回復。使用Azure計算機配置文件，其中包括主機分區的防火墻規則模板。主機防火墻也有一個例外，它允許虛擬機通過特定的協議/端口與主機組件、網絡服務器和元數據服務器進行通信。

來賓防火墻:來賓操作系統的Windows防火墻部分，可由客戶在來賓虛擬機和存儲中進行配置。

Azure功能中內置的其他安全功能包括:

基礎結構組件，可從d IP分配IP地址。互聯網上的攻擊者無法向這些地址發快遞流量，因為他們無法訪問Microsoft。Internet路由器只過濾發往內部地址的數據包，因此這些數據包不會進入生產網絡。只有負載平衡器是接受定向到VIP的流量的組件。

在任何給定的場景中，在所有內部節點上實施的防火墻在安全架構方面有三個主要考慮因素:

的外圍設備訪問路由器將阻止發往Azure網絡中某個地址的出站數據包，因為它使用已配置的靜態路由。

防火墻位于負載平衡器的后面，接受來自任何地方的數據包。這些數據包可能暴露在外部，對應于傳統外圍防火墻中打開的端口。

防火墻只接受來自有限地址集的數據包。這種考慮是針對DDoS攻擊的防御策略的一部分。這種類型的連接通過加密進行身份驗證。

只能從選定的內部節點訪問防火墻。防火墻只接受源IP地址枚舉列表中的數據包，這些地址都是Azure network中的dip。例如，企業網絡中的攻擊可能會將請求定向到這些地址，但它會阻止攻擊，除非數據包的源地址是Azure network中枚舉列表中的地址。

特別聲明：以上文章內容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關于作品內容、版權或其它問題請于作品發表后的30日內與ESG跨境電商聯系。