Azure 生产网络,windows azure-ESG跨境

Azure 生产网络,windows azure

Azure生产网络

Azure生产网络的用户包括访问自己的Azure应用程序的外部客户和管理生产网络的Azure内部支持人员。介绍了与Azure生产网络建立连接的安全访问方法和保护机制。

互联网路由和容错

全局冗余的内部和外部Azure域名服务(DNS) 基础结构与多个主要和辅助DNS服务器集群相结合，以提供容错。同时，其他Azure网络安全控制(如NetScaler)可以防止分布式拒绝服务(DDoS)攻击，保护Azure DNS服务的完整性。

Azure DNS服务器位于多个数据中心设施中。Azure DNS实现集成了二级和一级DNS服务器的层次结构，可以公开解析Azure客户域名。域名通常被解析为CloudApp.net地址，其中封装了客户服务的虚拟IP (VIP)地址。Azure的独特之处在于，与租户转换的内部私有IP (DIP)地址相对应的VIP由负责VIP的微软负载平衡器执行。

Azure托管在美国各地的Azure数据中心，构建在一流的路由平台上，可以实现可靠的、可扩展的架构标准。它包含以下重要功能:

基于多协议标签交换(MPLS)的流量工程可以在服务中断时提供有效的链路利用和适当的服务降级。

在“按需加一”(N+1)冗余架构或更好的架构中实施网络。

在外部，数据中心由专用的高带宽网络线路提供服务，这些线路将资产冗余地连接到全球1200多家互联网服务提供商的多个对等互连点。连接后可提供超过2000 GB/s(GBps)的边缘容量。

由于微软在数据中心之间有自己的网络线路，这些属性有助于Azure产品/服务实现99.9%以上的网络可用性，而不必与传统的第三方互联网服务提供商合作。

连接到生产网络和相关的防火墙。

Azure Internet流量策略将流量定向到美国最近的区域数据中心的Azure生产网络。由于Azure生产数据中心具有一致的网络架构和硬件，以下流量流说明同样适用于所有数据中心。

将Azure的互联网流量路由到最近的数据中心后，它会与连接的路由器建立连接。这些接入路由器用于隔离Azure节点和客户实例化虚拟机之间的流量。位于接入位置和边缘位置的网络基础结构设备是应用入口和出口过滤器的边界点。这些路由器通过分层访问控制列表(ACL)进行配置，可以过滤不需要的网络流量，并在必要时应用流量速率限制。ACL允许的流量将被路由到负载平衡器。分配路由器只允许微软认可的IP地址，可以提供反欺骗功能，使用ACL建立TCP连接。

外部负载平衡设备位于接入路由器之后，执行从互联网可路由IP到Azure内部IP的网络地址转换(NAT)。该设备还将数据包路由到有效的内部IP和生产端口，它们作为一种保护机制来限制内部生产网络地址空间的泄露。

默认情况下，Microsoft对传输到客户Web浏览器的所有流量(包括登录和由此产生的所有流量)强制执行安全超文本传输协议(HTTPS)。使用TLS v1.2可以为传输的流量建立安全的隧道。接入路由器和核心路由器上的ACL确保流量的来源符合预期。

与传统的安全架构相比，这种架构的重要区别在于，它没有专用的硬件防火墙、专用的入侵检测或防御设备，或者在连接Azure生产环境之前通常需要的其他安全设备。客户通常期望这些硬件防火墙设备存在于Azure网络中；但是，Azure中没有这样的设备。这些安全功能内置在运行Azure环境的软件中，并提供了包括防火墙功能在内的可靠的多层安全机制，这几乎是Azure独有的。此外，如上图所示，关键安全设备的边界范围和相关衍生功能更容易管理和盘点，因为它们是由运行Azure的软件管理的。

核心安全和防火墙功能

Azure在所有级别实现了可靠的软件安全和防火墙功能，以加强传统环境中通常需要的安全功能，从而保护核心安全授权边界。

Azure安全功能

在Azure生产网络中实现基于主机的软件防火墙。Azure核心环境包含各种核心安全和防火墙功能。这些安全特性反映了Azure环境中的深度防御策略。Azure中的客户数据受到以下防火墙的保护:

虚拟机管理程序防火墙(包过滤):该防火墙在虚拟机管理程序中实现，并由结构控制器(FC)代理进行配置。这种防火墙可以保护在虚拟机中运行的租户免受未经授权的访问。默认情况下，创建虚拟机时，会阻止所有流量，然后FC代理会向过滤器添加规则和例外，以允许授权流量。

这里编程了两种类型的规则:

电脑配置或基础结构规则:默认情况下，所有通讯都会被阻断。但是，也有例外情况，允许虚拟机发快递和接收动态主机配置协议(DHCP)通信和DNS信息，向“公共”互联网发快递流量，以及向FC集群和操作系统激活服务器中的其他虚拟机发快递流量。由于VM允许的传出目的地列表不包括Azure路由器子网和其他Microsoft属性，这些规则将作为它们的防御层。

角色配置文件规则:根据租户的服务模型定义入站ACL。例如，如果租户在特定虚拟机的端口80上有一个Web前端，端口80将对所有IP地址开放。如果虚拟机上正在运行辅助角色，则该角色仅对同一租户中的虚拟机开放。

主机防火墙:Azure Service Fabric和Azure Storage运行在原生OS上，其中没有hypervisor，所以Windows防火墙将使用上述两组规则进行配置。

主机防火墙:主机防火墙保护运行虚拟机管理程序的主机分区。您可以通过编程方式设置规则，仅允许FC和jump box在特定端口上与主机分区通信。其他例外包括允许DHCP响应和DNS回复。使用Azure计算机配置文件，其中包括主机分区的防火墙规则模板。主机防火墙也有一个例外，它允许虚拟机通过特定的协议/端口与主机组件、网络服务器和元数据服务器进行通信。

来宾防火墙:来宾操作系统的Windows防火墙部分，可由客户在来宾虚拟机和存储中进行配置。

Azure功能中内置的其他安全功能包括:

基础结构组件，可从d IP分配IP地址。互联网上的攻击者无法向这些地址发快递流量，因为他们无法访问Microsoft。Internet路由器只过滤发往内部地址的数据包，因此这些数据包不会进入生产网络。只有负载平衡器是接受定向到VIP的流量的组件。

在任何给定的场景中，在所有内部节点上实施的防火墙在安全架构方面有三个主要考虑因素:

的外围设备访问路由器将阻止发往Azure网络中某个地址的出站数据包，因为它使用已配置的静态路由。

防火墙位于负载平衡器的后面，接受来自任何地方的数据包。这些数据包可能暴露在外部，对应于传统外围防火墙中打开的端口。

防火墙只接受来自有限地址集的数据包。这种考虑是针对DDoS攻击的防御策略的一部分。这种类型的连接通过加密进行身份验证。

只能从选定的内部节点访问防火墙。防火墙只接受源IP地址枚举列表中的数据包，这些地址都是Azure network中的dip。例如，企业网络中的攻击可能会将请求定向到这些地址，但它会阻止攻击，除非数据包的源地址是Azure network中枚举列表中的地址。

特别声明：以上文章内容仅代表作者本人观点，不代表ESG跨境电商观点或立场。如有关于作品内容、版权或其它问题请于作品发表后的30日内与ESG跨境电商联系。