Implementieren eines sicheren Hybridnetzwerks

Azure Firewall
Azure Load Balancer
Azure Virtual Machines
Azure Virtual Network

Diese Referenzarchitektur zeigt ein sicheres Hybridnetzwerk, das ein lokales Netzwerk in Azure erweitert. Die Architektur implementiert ein Umkreisnetzwerk, auch als DMZ bezeichnet, zwischen dem lokalen Netzwerk und einem virtuellen Azure-Netzwerk. Sämtlicher eingehender und ausgehender Datenverkehr durchläuft die Azure Firewall.

Aufbau

Diagram that shows the secure hybrid network architecture.

Laden Sie eine Visio-Datei dieser Architektur herunter.

Komponenten

Die Architektur umfasst die folgenden Komponenten:

  • Lokales Netzwerk. Ein privates lokales Netzwerk innerhalb einer Organisation.

  • Virtuelles Azure-Netzwerk. Das virtuelle Netzwerk hostet die Lösungskomponenten und weitere Ressourcen, die in Azure ausgeführt werden.

    Virtuelle Netzwerkrouten definieren den IP-Datenverkehrsfluss innerhalb des virtuellen Azure-Netzwerks. Es gibt zwei benutzerdefinierte Routingtabellen, wie im Diagramm dargestellt.

    Im Gatewaysubnetz wird der Datenverkehr über die Azure Firewall-Instanz weitergeleitet.

    Hinweis

    Je nach den Anforderungen Ihrer VPN-Verbindung können Sie BGP-Routen (Border Gateway Protocol) konfigurieren, um die Weiterleitungsregeln zu implementieren, die Datenverkehr zurück durch das lokale Netzwerk leiten.

  • Gateway: Das Gateway stellt Verbindungen zwischen den Routern im lokalen Netzwerk und dem virtuellen Netzwerk bereit. Das Gateway befindet sich in einem eigenen Subnetz.

  • Azure Firewall. Die Azure Firewall ist eine verwaltete Firewall, die als Dienst eingesetzt wird. Die Firewallinstanz befindet sich in einem eigenen Subnetz.

  • Netzwerksicherheitsgruppen. Verwenden Sie Sicherheitsgruppen, um den Netzwerkdatenverkehr im virtuellen Netzwerk zu beschränken.

  • Azure Bastion. Azure Bastion ermöglicht Ihnen, sich über SSH oder RDP (Remotedesktopprotokoll) bei den virtuellen Computern (VMs) im virtuellen Netzwerk anzumelden, ohne die VMs direkt im Internet verfügbar zu machen. Mit Bastion können Sie die VMs im virtuellen Netzwerk verwalten.

    Bastion erfordert ein dediziertes Subnetz: AzureBastionSubnet.

Mögliche Anwendungsfälle

Für diese Architektur ist eine Verbindung mit Ihrem lokalen Rechenzentrum erforderlich, entweder mithilfe eines VPN-Gateways oder einer ExpressRoute-Verbindung. Typische Einsatzmöglichkeiten für diese Architektur sind:

  • Hybridanwendungen, in denen Workloads teilweise lokal und teilweise in Azure ausgeführt werden.
  • Infrastruktur, die eine differenzierte Kontrolle des aus einem lokalen Rechenzentrum in ein virtuelles Azure-Netzwerk eingehenden Datenverkehrs erfordert.
  • Anwendungen, die ausgehenden Verkehr überwachen müssen. Überwachung ist ein oftmals auf behördliche Bestimmungen zurückgehendes Erfordernis vieler kommerzieller Systeme und kann dabei helfen, die Offenlegung privater Informationen zu verhindern.

Empfehlungen

Die folgenden Empfehlungen gelten für die meisten Szenarios. Sofern Sie keine besonderen Anforderungen haben, die Vorrang haben, sollten Sie diese Empfehlungen befolgen.

Empfehlungen für die Zugriffssteuerung

Verwenden Sie die rollenbasierte Zugriffssteuerung in Azure (Azure Role-Based Access Control, Azure RBAC), um die Ressourcen in Ihrer Anwendung zu verwalten. Ziehen Sie die Erstellung der folgenden benutzerdefinierten Rollen in Erwägung:

  • Eine DevOps-Rolle mit Berechtigungen zum Verwalten der Infrastruktur für die Anwendung, zum Bereitstellen der Anwendungskomponenten und zum Überwachen und Neustarten von VMs.

  • Eine zentrale IT-Administratorrolle zum Verwalten und Überwachen von Netzwerkressourcen.

  • Eine IT-Sicherheitsadministratorrolle zum Verwalten der sicheren Netzwerkressourcen, wie etwa der Firewall.

Die IT-Administratorrolle sollte keinen Zugriff auf die Firewallressourcen haben. Der Zugriff sollte auf die IT-Sicherheitsadministratorrolle beschränkt sein.

Empfehlungen für Ressourcengruppen

Azure-Ressourcen wie VMs, virtuelle Netzwerke und Lastenausgleichsmodule können durch Zusammenfassung in Ressourcengruppen ganz einfach verwaltet werden. Weisen Sie jeder Ressourcengruppe Azure-Rollen zu, um den Zugriff einzuschränken.

Es empfiehlt sich, die folgenden Ressourcengruppen zu erstellen:

  • Eine Ressourcengruppe, die das virtuelle Netzwerk (ohne die VMs), die Netzwerksicherheitsgruppen und die Gatewayressourcen für die Verbindung mit dem lokalen Netzwerk enthält. Weisen Sie dieser Ressourcengruppe die zentrale IT-Administratorrolle zu.
  • Eine Ressourcengruppe, die die VMs für die Azure Firewall-Instanz und benutzerdefinierten Routen für das Gatewaysubnetz enthält. Weisen Sie dieser Ressourcengruppe die IT-Sicherheitsadministratorrolle zu.
  • Getrennte Ressourcengruppen für jedes virtuelle Spoke-Netzwerk, das den Load Balancer und die VMs enthält.

Netzwerkempfehlungen

Um eingehenden Datenverkehr aus dem Internet zuzulassen, fügen Sie der Azure Firewall eine Regel für die Zielnetzwerk-Adressübersetzung (Destination Network Address Translation, DNAT) hinzu.

  • Zieladresse = öffentliche IP-Adresse der Firewallinstanz
  • Übersetzte Adresse = private IP-Adresse innerhalb des virtuellen Netzwerks

Verwenden Sie die Tunnelerzwingung für den gesamten ausgehenden Internetdatenverkehr durch Ihr lokales Netzwerk, indem Sie einen Site-zu-Site-VPN-Tunnel verwenden, und nutzen Sie für die Weiterleitung ins Internet die Netzwerkadressenübersetzung (Network Address Translation, NAT). Dieses Design verhindert die versehentliche Offenlegung jeglicher vertraulicher Informationen und ermöglicht zugleich die Untersuchung und Überwachung des gesamten ausgehenden Datenverkehrs.

Blockieren Sie den Internetdatenverkehr von den Ressourcen in den Subnetzen des Spoke-Netzwerks nicht vollständig. Durch das Blockieren des Datenverkehrs werden diese Ressourcen an der Verwendung von Azure PaaS-Diensten gehindert, die auf öffentlichen IP-Adressen beruhen, wie etwa die VM-Diagnoseprotokollierung, das Herunterladen von VM-Erweiterungen sowie weitere Funktionen. Für Azure-Diagnose ist außerdem erforderlich, dass Komponenten Lese- und Schreibzugriff auf ein Azure Storage-Konto besitzen.

Überprüfen Sie, ob der ausgehende Internetdatenverkehr ordnungsgemäß zwangsweise getunnelt wird. Wenn Sie eine VPN-Verbindung mit dem Routing- und RAS-Dienst auf einem lokalen Server verwenden, setzen Sie ein Tool wie WireShark ein.

Verwenden Sie ggf. Application Gateway oder Azure Front Door für die SSL-Beendigung.

Überlegungen

Diese Überlegungen beruhen auf den Säulen des Azure Well-Architected Frameworks, d. h. einer Reihe von Grundsätzen, mit denen die Qualität von Workloads verbessert werden kann. Weitere Informationen finden Sie unter Microsoft Azure Well-Architected Framework.

Effiziente Leistung

Leistungseffizienz ist die Fähigkeit Ihrer Workload, auf effiziente Weise eine den Anforderungen der Benutzer entsprechende Skalierung auszuführen. Weitere Informationen finden Sie unter Übersicht über die Säule „Leistungseffizienz“.

Weitere Informationen über die Bandbreitengrenzwerte von VPN Gateway finden Sie unter Gateway-SKUs. Für größere Bandbreiten können Sie das Upgrade auf ein ExpressRoute-Gateway in Erwägung ziehen. ExpressRoute stellt bis zu 10 Gb/s Bandbreite mit geringerer Wartezeit als eine VPN-Verbindung zur Verfügung.

Weitere Informationen über die Skalierbarkeit von Azure-Gateways finden Sie in den Abschnitten zur Skalierbarkeit unter:

Ausführliche Informationen zum Verwalten virtueller Netzwerke und NSGs im großen Stil finden Sie unter Tutorial: Erstellen eines geschützten Hub-and-Spoke-Netzwerks. In diesem Artikel wird erläutert, wie Sie neue Hub-and-Spoke-Topologien von virtuellen Netzwerken für die zentrale Verwaltung von Konnektivitäts- und NSG-Regeln erstellen (bzw. das Onboarding für vorhandene Topologien durchführen).

Zuverlässigkeit

Zuverlässigkeit stellt sicher, dass Ihre Anwendung Ihre Verpflichtungen gegenüber den Kunden erfüllen kann. Weitere Informationen finden Sie in der Überblick über die Säule „Zuverlässigkeit“.

Wenn Sie Azure ExpressRoute verwenden, um eine Verbindung zwischen dem virtuellen und dem lokalen Netzwerk bereitzustellen, konfigurieren Sie ein VPN-Gateway zur Failoverbereitstellung für den Fall, dass die ExpressRoute-Verbindung nicht verfügbar ist.

Informationen zur Aufrechterhaltung der Verfügbarkeit von VPN- und ExpressRoute-Verbindungen finden Sie in den Überlegungen zur Verfügbarkeit unter:

Optimaler Betrieb

Die Säule „Optimaler Betrieb“ deckt die Betriebsprozesse ab, die für die Bereitstellung einer Anwendung und deren Ausführung in der Produktion sorgen. Weitere Informationen finden Sie unter Übersicht über die Säule „Optimaler Betrieb“.

Wenn die Gatewaykonnektivität zwischen Ihrem lokalen Netzwerk und Azure unterbrochen ist, können Sie die VMs im virtuellen Azure-Netzwerk weiterhin über Azure Bastion erreichen.

Das Subnetz jeder einzelnen Schicht in der Referenzarchitektur wird durch NSG-Regeln geschützt. Möglicherweise müssen Sie eine Regel zum Öffnen von Port 3389 für RDP-Zugriff (Remote Desktop Protocol) auf Windows-VMs oder Port 22 für SSH-Zugriff (Secure Shell) auf Linux-VMs erstellen. Andere Verwaltungs- und Überwachungstools erfordern möglicherweise Regeln zum Öffnen zusätzlicher Ports.

Wenn Sie die Konnektivität zwischen Ihrem lokalen Rechenzentrum und Azure mithilfe von ExpressRoute bereitstellen, verwenden Sie das Azure Connectivity Toolkit (AzureCT) für die Überwachung und Problembehandlung von Verbindungsproblemen.

Weitere Informationen zum Überwachen und Verwalten von VPN- und ExpressRoute-Verbindungen finden Sie im Artikel Erweitern eines lokalen Netzwerks per VPN.

Sicherheit

Sicherheit bietet Schutz vor vorsätzlichen Angriffen und dem Missbrauch Ihrer wertvollen Daten und Systeme. Weitere Informationen finden Sie unter Übersicht über die Säule „Sicherheit“.

Diese Referenzarchitektur implementiert mehrere Sicherheitsebenen.

Routen aller lokalen Benutzeranforderungen durch eine Azure Firewall

Die benutzerdefinierte Route im Gatewaysubnetz blockiert alle Benutzeranforderungen, die nicht aus dem lokalen Netzwerk stammen. Die Route leitet zulässige Anforderungen an die Firewall weiter. Die Anforderungen werden an die Ressourcen in den virtuellen Spoke-Netzwerken weitergeleitet, wenn sie durch die Firewallregeln zulässig sind. Sie können weitere Routen hinzufügen, achten Sie jedoch darauf, dass diese nicht nicht unabsichtlich die Firewall umgehen oder Verwaltungsdatenverkehr für das Verwaltungssubnetz blockieren.

Verwenden von NSGs zum Blockieren/Übergeben des Datenverkehrs zu virtuellen Netzwerknetzen

Der Verkehr zu und von Ressourcensubnetzen in virtuellen Spoke-Netzwerken wird durch die Verwendung von NSGs eingeschränkt. Wenn bei Ihnen das Erfordernis besteht, die NSG-Regeln zu erweitern, um einen breiteren Zugriff auf diese Ressourcen zuzulassen, wägen Sie diese Erfordernisse gegen die Sicherheitsrisiken ab. Jeder neue eingehende Kommunikationsweg stellt eine Gelegenheit für die zufällige oder absichtliche Offenlegung von Daten oder Beschädigung von Anwendungen dar.

DDoS-Schutz

Azure DDoS Protection, kombiniert mit bewährten Methoden für den Anwendungsentwurf, bietet erweiterte Features zur DDoS-Risikominderung, um besser vor DDoS-Angriffen zu schützen. Sie sollten Azure DDOS Protection in allen virtuellen Umkreisnetzwerken aktivieren.

Verwenden von AVNM zum Erstellen von grundlegenden Sicherheitsverwaltungsregeln

AVNM ermöglicht es Ihnen, Baselines für Sicherheitsregeln zu erstellen, die Vorrang vor Netzwerksicherheitsgruppen-Regeln haben können. Sicherheitsverwaltungsregeln werden vor NSG-Regeln ausgewertet und haben den gleichen Charakter wie NSGs, mit Unterstützung für Priorisierung, Diensttags und L3-L4-Protokolle. Dies ermöglicht es der zentralen IT, grundlegende Sicherheitsregeln durchzusetzen, die von zusätzlichen NSG-Regeln der Spoke-VNet-Besitzer unabhängig sind. Sie können zur Erleichterung eines kontrollierten Rollouts von Änderungen an Sicherheitsregeln die Funktion Bereitstellungen von AVNM verwenden, um die Breaking Changes dieser Konfigurationen sicher in den Hub-and-Spoke-Umgebungen freizugeben.

DevOps-Zugriff

Verwenden Sie Azure RBAC, um die Vorgänge einzuschränken, die DevOps auf den einzelnen Ebenen ausführen kann. Verwenden Sie beim Erteilen von Berechtigungen den Ansatz der geringsten Rechte. Protokollieren Sie alle Verwaltungsvorgänge, und führen Sie regelmäßig Überwachungen durch, um sicherzustellen, dass alle Konfigurationsänderungen auf Planung beruhen.

Kostenoptimierung

Bei der Kostenoptimierung geht es um die Suche nach Möglichkeiten, unnötige Ausgaben zu reduzieren und die Betriebseffizienz zu verbessern. Weitere Informationen finden Sie unter Übersicht über die Säule „Kostenoptimierung“.

Verwenden Sie den Azure-Preisrechner, um die voraussichtlichen Kosten zu ermitteln. Weitere Überlegungen finden Sie im Microsoft Azure Well-Architected Framework im Abschnitt zur Kostenoptimierung.

Hier sind die Überlegungen zu den Kosten für die Dienste angegeben, die in dieser Architektur verwendet werden.

Azure Firewall

In dieser Architektur wird die Azure Firewall im virtuellen Netzwerk eingesetzt, um den Datenverkehr zwischen dem Subnetz des Gateways und den Ressourcen in den virtuellen Spoke-Netzwerken zu steuern. Bei diesem Ansatz ist Azure Firewall kostengünstig, weil eine gemeinsame Lösung für mehrere Workloads verwendet wird. Hier sind die Preismodelle für Azure Firewall angegeben:

  • Festpreis pro Bereitstellungsstunde.
  • Verarbeitete Daten pro GB zur Unterstützung der automatischen Skalierung.

Im Vergleich zu virtuellen Netzwerkgeräten (Network Virtual Appliances, NVAs) können Sie mit Azure Firewall Kosten in Höhe von bis zu 30 - 50 % sparen. Weitere Informationen finden Sie in der Gegenüberstellung von Azure Firewall und NVA.

Azure Bastion

Mit Azure Bastion wird per RDP und SSH eine sichere Verbindung mit Ihrem virtuellen Computer hergestellt, ohne dass auf dem virtuellen Computer eine öffentliche IP-Adresse konfiguriert werden muss.

Die Bastion-Abrechnung ist mit einem einfachen virtuellen Low-Level-Computer vergleichbar, der als Jumpbox konfiguriert ist. Bastion ist kostengünstiger als eine Jumpbox, da es über integrierte Sicherheitsfunktionen verfügt und keine zusätzlichen Kosten für Speicher und die Verwaltung eines separaten Servers verursacht.

Virtuelles Azure-Netzwerk

Azure Virtual Network ist kostenlos. Mit jedem Abonnement können bis zu 50 virtuelle Netzwerke in allen Regionen erstellt werden. Der gesamte Datenverkehr, der innerhalb der Grenzen einer Virtual Network-Instanz entsteht, ist kostenlos. So fallen beispielsweise für VMs im selben virtuellen Netzwerk, die miteinander kommunizieren, keine Gebühren für den Netzwerkdatenverkehr an.

Interner Lastenausgleich

Der grundlegende Lastenausgleich zwischen virtuellen Computern in demselben virtuellen Netzwerk ist kostenlos.

Bei dieser Architektur werden interne Lastenausgleichsmodule verwendet, um einen Lastenausgleich für Datenverkehr innerhalb eines virtuellen Netzwerks vorzunehmen.

Bereitstellen dieses Szenarios

Bei dieser Bereitstellung werden zwei Ressourcengruppen erstellt: die erste enthält ein simuliertes lokales Netzwerk, und das zweite einen Satz mit Hub-and-Spoke-Netzwerken. Das simulierte lokale Netzwerk und das Hub-Netzwerk werden mit Azure Virtual Network-Gateways verbunden, um eine Site-to-Site-Verbindung zu ermöglichen. Diese Konfiguration weist eine starke Ähnlichkeit mit der Verbindungsherstellung für Ihr lokales Rechenzentrum mit Azure auf.

Der Bereitstellungsvorgang kann bis zu 45 Minuten dauern. Die empfohlene Bereitstellungsmethode ist die unten beschriebene Nutzung der Option über das Portal.

Verwenden Sie die folgende Schaltfläche, um die Referenz mithilfe des Azure-Portals bereitzustellen.

Deploy to Azure

Überprüfen Sie nach Abschluss der Bereitstellung die Site-to-Site-Konnektivität, indem Sie sich die neu erstellten Verbindungsressourcen ansehen. Suchen Sie im Azure-Portal nach „Verbindungen“, und achten Sie jeweils auf den Status der einzelnen Verbindungen.

Screenshot showing the status of connections.

Auf die IIS-Instanz im Spoke-Netzwerk kann über den virtuellen Computer zugegriffen werden, der sich im simulierten lokalen Netzwerk befindet. Erstellen Sie eine Verbindung mit dem virtuellen Computer, indem Sie den vorhandenen Azure Bastion-Host verwenden, öffnen Sie einen Webbrowser, und navigieren Sie zur Adresse des Netzwerk-Lastenausgleichsmoduls für die Anwendung.

Ausführliche Informationen und zusätzliche Bereitstellungsoptionen finden Sie in den ARM-Vorlagen (Azure Resource Manager), die für die Bereitstellung dieser Lösung verwendet werden: Sicheres Hybridnetzwerk .

Nächste Schritte