Azure 生產(chǎn)網(wǎng)絡(luò),創(chuàng)建azure免費(fèi)賬戶流程-ESG跨境

Azure 生產(chǎn)網(wǎng)絡(luò),創(chuàng)建azure免費(fèi)賬戶流程

Azure 生產(chǎn)網(wǎng)絡(luò)

Azure 生產(chǎn)網(wǎng)絡(luò)的用戶包括訪問其自己的 Azure 應(yīng)用程序的外部客戶以及管理生產(chǎn)網(wǎng)絡(luò)的 Azure 內(nèi)部支持人員。本文介紹了用于與 Azure 生產(chǎn)網(wǎng)絡(luò)建立連接的安全接入方法和保護(hù)機(jī)制。

Internet 路由和容錯(cuò)

全局冗余的內(nèi)部和外部 Azure 域名服務(wù) (DNS) 基礎(chǔ)結(jié)構(gòu)與多個(gè)主要和輔助 DNS 服務(wù)器群集相結(jié)合，可提供容錯(cuò)功能。與此同時(shí)，其他 Azure 網(wǎng)絡(luò)安全控件（如 NetScaler）可預(yù)防分布式拒絕服務(wù) (DDoS) 攻擊并保護(hù) Azure DNS 服務(wù)的完整性。

Azure DNS 服務(wù)器位于多個(gè)數(shù)據(jù)中心設(shè)施。Azure DNS 實(shí)現(xiàn)整合了輔助和主要 DNS 服務(wù)器的層次結(jié)構(gòu)，可公開解析 Azure 客戶域名。域名通常解析成 CloudApp.net 地址，其中包裝了客戶服務(wù)的虛擬 IP (VIP) 地址。Azure 的獨(dú)特之處在于，與租戶轉(zhuǎn)換的內(nèi)部專用 IP (DIP) 地址對應(yīng)的 VIP 由負(fù)責(zé)該 VIP 的 Microsoft 負(fù)載均衡器執(zhí)行。

Azure 托管在分布于美國境內(nèi)各處的 Azure 數(shù)據(jù)中心，且基于一流路由平臺(tái)構(gòu)建，可實(shí)施可靠、可縮放體系結(jié)構(gòu)標(biāo)準(zhǔn)。其中包含如下重要功能：

基于多協(xié)議標(biāo)簽交換 (MPLS) 的流量工程，在發(fā)生服務(wù)中斷時(shí)，可提供高效的鏈路利用率和妥善的服務(wù)降級。

以“需求加一”(N+1) 冗余體系結(jié)構(gòu)或更佳的方式實(shí)施網(wǎng)絡(luò)。

從外部看，數(shù)據(jù)中心由專用的高帶寬網(wǎng)絡(luò)線路提供服務(wù)，這些線路以冗余方式將資產(chǎn)連接到全球 1,200 多個(gè) Internet 服務(wù)提供商的多個(gè)對等互連點(diǎn)。連接后可提供超過 2,000 GB/秒 (GBps) 的邊緣容量。

由于 Microsoft 在數(shù)據(jù)中心之間擁有自身的網(wǎng)絡(luò)線路，因此，這些屬性有助于 Azure 產(chǎn)品/服務(wù)實(shí)現(xiàn) 99.9% 以上的網(wǎng)絡(luò)可用性，而無需與傳統(tǒng)的第三方 Internet 服務(wù)提供商合作。

連接到生產(chǎn)網(wǎng)絡(luò)和關(guān)聯(lián)的防火墻

Azure 網(wǎng)絡(luò) Internet 流量流策略將流量定向到美國境內(nèi)最靠近的區(qū)域數(shù)據(jù)中心內(nèi)的 Azure 生產(chǎn)網(wǎng)絡(luò)。由于 Azure 生產(chǎn)數(shù)據(jù)中心擁有一致的網(wǎng)絡(luò)體系結(jié)構(gòu)和硬件，下面的流量流說明同樣適用于所有數(shù)據(jù)中心。

將 Azure 的 Internet 流量路由到最近的數(shù)據(jù)中心后，將與接入的路由器建立連接。這些接入路由器用于隔離 Azure 節(jié)點(diǎn)與客戶實(shí)例化 VM 之間的流量。位于接入位置和邊緣位置的網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)設(shè)備是應(yīng)用入口和出口篩選器的邊界點(diǎn)。這些路由器已通過分層的訪問口控制列表 (ACL) 進(jìn)行配置，在必要時(shí)可以篩選不需要的網(wǎng)絡(luò)流量并應(yīng)用流量速率限制。ACL 允許的流量將路由到負(fù)載均衡器。分配路由器只允許 Microsoft 批準(zhǔn)的 IP 地址，可提供反欺騙功能，并建立使用 ACL 的 TCP 連接。

外部負(fù)載均衡設(shè)備位于接入路由器后方，執(zhí)行從 Internet 可路由 IP 到 Azure 內(nèi)部 IP 的網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT)。設(shè)備還將數(shù)據(jù)包路由到有效的生產(chǎn)內(nèi)部 IP 和端口，并且它們充當(dāng)保護(hù)機(jī)制，限制內(nèi)部生產(chǎn)網(wǎng)絡(luò)地址空間的公開。

默認(rèn)情況下，Microsoft 針對傳輸?shù)娇蛻?Web 瀏覽器的所有流量（包括登錄和由此產(chǎn)生的所有流量）強(qiáng)制實(shí)施安全超文本傳輸協(xié)議 (HTTPS)。使用 TLS v1.2 能夠?yàn)閭骺爝f的流量建立安全隧道。接入路由器和核心路由器上的 ACL 確保流量的源符合預(yù)期。

與傳統(tǒng)的安全體系結(jié)構(gòu)相比，此體系結(jié)構(gòu)的重要區(qū)別在于沒有專用的硬件防火墻、專用的入侵檢測或預(yù)防設(shè)備，或者在與 Azure 生產(chǎn)環(huán)境建立連接之前通常需要的其他安全設(shè)備?？蛻敉ǔｎA(yù)期 Azure 網(wǎng)絡(luò)中存在這些硬件防火墻設(shè)備；但是，Azure 中并未采用任何此類設(shè)備。這些安全功能內(nèi)置在運(yùn)行 Azure 環(huán)境的軟件中，提供包括防火墻功能在內(nèi)的可靠多層安全機(jī)制，這幾乎是 Azure 獨(dú)有的特色。此外，如上圖所示，關(guān)鍵安全設(shè)備的邊界范圍和關(guān)聯(lián)衍生功能更易于管理和清點(diǎn)，因?yàn)樗鼈冇蛇\(yùn)行 Azure 的軟件管理。

核心安全性和防火墻功能

Azure 在各個(gè)級別實(shí)現(xiàn)可靠的軟件安全性和防火墻功能來強(qiáng)制執(zhí)行傳統(tǒng)環(huán)境中通常需要的安全功能，以保護(hù)核心安全授權(quán)邊界。

Azure 安全功能

Azure 在生產(chǎn)網(wǎng)絡(luò)內(nèi)實(shí)現(xiàn)基于主機(jī)的軟件防火墻。核心 Azure 環(huán)境中包含多種核心安全性和防火墻功能。這些安全功能反映了 Azure 環(huán)境中的深層防御策略。Azure 中的客戶數(shù)據(jù)受以下防火墻的保護(hù)：

虛擬機(jī)監(jiān)控程序防火墻（數(shù)據(jù)包篩選器）：在虛擬機(jī)監(jiān)控程序中實(shí)現(xiàn)此防火墻并由結(jié)構(gòu)控制器 (FC) 代理配置。此防火墻可保護(hù)在 VM 內(nèi)運(yùn)行的租戶免受未經(jīng)授權(quán)的訪問。默認(rèn)情況下，創(chuàng)建 VM 時(shí)，將阻止所有流量，然后 FC 代理在篩選器中添加規(guī)則和例外，以允許獲得授權(quán)的流量。

此處對兩類規(guī)則進(jìn)行了編程：

計(jì)算機(jī)配置或基礎(chǔ)結(jié)構(gòu)規(guī)則：默認(rèn)情況下，將阻止所有通信。但也存在例外情況，可允許 VM 發(fā)快遞和接收動(dòng)態(tài)主機(jī)配置協(xié)議 (DHCP) 通信和 DNS 信息，并將流量發(fā)國際快遞“公共”Internet 并出站到 FC 群集與 OS 激活服務(wù)器內(nèi)的其他 VM。由于 VM 允許的傳出目標(biāo)列表不包括 Azure 路由器子網(wǎng)和其他 Microsoft 屬性，因此這些規(guī)則將充當(dāng)它們的一道防御層。

角色配置文件規(guī)則：根據(jù)租戶的服務(wù)模型定義入站 ACL。例如，如果某個(gè)租戶在某個(gè)特定 VM 的端口 80 上有一個(gè) Web 前端，則會(huì)向所有 IP 地址開放端口 80。如果 VM 上正在運(yùn)行某個(gè)輔助角色，則只向同一租戶中的 VM 開放該輔助角色。

本機(jī)主機(jī)防火墻：Azure Service Fabric 和 Azure 存儲(chǔ)在本機(jī) OS 上運(yùn)行，其中沒有虛擬機(jī)監(jiān)控程序，因此會(huì)使用上述兩組規(guī)則配置 Windows 防火墻。

主機(jī)防火墻：主機(jī)防火墻保護(hù)運(yùn)行虛擬機(jī)監(jiān)控程序的主機(jī)分區(qū)?？梢酝ㄟ^編程方式對規(guī)則進(jìn)行設(shè)置，只允許 FC 和跳轉(zhuǎn)盒在特定端口上與主機(jī)分區(qū)通信。其他例外包括允許 DHCP 響應(yīng)和 DNS 回復(fù)。Azure 使用計(jì)算機(jī)配置文件，其中包括主機(jī)分區(qū)的防火墻規(guī)則模板。還有一種主機(jī)防火墻例外情況，可允許 VM 通過特定協(xié)議/端口與主機(jī)組件、網(wǎng)絡(luò)服務(wù)器和元數(shù)據(jù)服務(wù)器進(jìn)行通信。

來賓防火墻：來賓 OS 的 Windows 防火墻部分，可由客戶在客戶 VM 和存儲(chǔ)中配置。

內(nèi)置于 Azure 功能中的其他安全功能包括：

基礎(chǔ)結(jié)構(gòu)組件，可為其分配來自 DIP 的 IP 地址。Internet 上的攻擊者無法將流量發(fā)往這些地址，因其無法訪問 Microsoft。Internet 網(wǎng)關(guān)路由器篩選僅發(fā)往內(nèi)部地址的數(shù)據(jù)包，因此這些數(shù)據(jù)包不會(huì)進(jìn)入生產(chǎn)網(wǎng)絡(luò)。只有負(fù)載均衡器才是接受定向到 VIP 的流量的組件。

在任何給定的場景下，所有內(nèi)部節(jié)點(diǎn)上實(shí)現(xiàn)的防火墻在安全體系結(jié)構(gòu)方面都存在三個(gè)主要注意事項(xiàng)：

外圍的接入路由器會(huì)阻止發(fā)往 Azure 網(wǎng)絡(luò)中某個(gè)地址的出站數(shù)據(jù)包，因?yàn)樗褂门渲玫撵o態(tài)路由。

防火墻位于負(fù)載均衡器后方，接受來自任何位置的數(shù)據(jù)包。這些數(shù)據(jù)包可在外部公開，對應(yīng)于傳統(tǒng)外圍防火墻中打開的端口。

防火墻僅接受來自一組有限地址的數(shù)據(jù)包。此考慮是針對 DDoS 攻擊的防御性深入戰(zhàn)略的一部分。此類連接以加密方式進(jìn)行身份驗(yàn)證。

僅可從選定的內(nèi)部節(jié)點(diǎn)訪問防火墻。防火墻僅接受源 IP 地址枚舉列表中的數(shù)據(jù)包，所有這些都是 Azure 網(wǎng)絡(luò)中的 DIP。例如，企業(yè)網(wǎng)絡(luò)中出現(xiàn)的攻擊可能會(huì)將請求定向到這些地址，但將阻止攻擊，除非數(shù)據(jù)包的源地址是 Azure 網(wǎng)絡(luò)內(nèi)枚舉列表中的某個(gè)地址。

特別聲明：以上文章內(nèi)容僅代表作者本人觀點(diǎn)，不代表ESG跨境電商觀點(diǎn)或立場。如有關(guān)于作品內(nèi)容、版權(quán)或其它問題請于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。