8 tipů na posílení bezpečnosti v Microsoft Azure

Cloudové služby přináší flexibilitu a přístup k inovacím. Klíčová je ale jejich síťová bezpečnost. V předchozím článku Jak zabezpečit infrastrukturu v Microsoft Azure jste se dozvěděli, jaké jsou typické kybernetické hrozby, které v prostředí Microsoft Azure nastávají a jak se před nimi chránit.

Při návrhu architektury datového řešení (nejen) na Azure Cloudu je však nezbytné zabývat se také topologií sítě a s tím spojenými výrazy jako Vnet, P2S, S2S, Express Route a Hub-to-Spoke. Co tyto výrazy znamenají a jak ovlivňují tvorbu cloudové infrastruktury?

Virtuální síť (Vnet)

Virtuální síť je základním stavebním kamenem síťové infrastruktury na Azuru. Jednotlivými Vnety segmentujeme adresový prostor a tím omezujeme dostupnost jednotlivých koncových bodů (databáze, server, webová aplikace atd.). Segmentace adresového prostoru na fyzické vrstvě pomáhá, formou izolace, zajistit bezpečnost datového provozu mezi různými virtuálními sítěmi a zabezpečuje efektivní správu síťových zdrojů. Podúrovní Vnetů jsou Subnety, které dělí Vnet na menší prostory. Vhodnou aplikací je například virtuální oddělení prostředí DEV/TEST/PROD do samostatných Vnetů.

Na schéma výše je zobrazen příklad virtuální sítě, která v sobě obsahuje 4 Subnety, které již mají svoje specifické zaměření a účel.

Komunikace mezi komponenty (VMs, Azure SQL Database, Azure Data Factory, Function App) uvnitř jednoho Vnetu již probíhá na interní síti služby Azure. Tím není datový přenos vystaven hrozbám jako při přenosu dat přes veřejný internet.

Virtual Network Gateway

Jedná se o cloudovou službu umožňující vytvářet zabezpečené spojení mezi on-premises sítěmi a Azure Vnety nebo také mezi Vnety z různých regionálních zón v Azure cloudu. Virtual Network Gateway může být konfigurována jako VPN Gateway (umožnuje služby S2S a P2S viz. dále) nebo ExpressRoute Gateway v závislosti na různých faktorech, jako například požadované rychlosti přenosu či úrovni zabezpečení. Celkově komponenta poskytuje možnost hybridního připojení on-premise sítí a multi-cloudu.

Point-to-site (P2S)

Služba P2S umožnuje zabezpečenou komunikaci jednotlivých zařízení (pracovní počítač, mobilní telefon) s koncovými body umístěnými ve virtuální síti.

Na pozadí této služby pracují VMs, které přijímají šifrovanou komunikaci na veřejnou IP adresu (pro dosažení lepší dostupnosti jsou dvě veřejné IP, active-active mode) a dále ji trasují s přidělenou privátní IP adresou do virtuální sítě. Komunikace probíhá přes veřejný internet a je zabezpečena pomocí tunelu mezi virtuální sítí a on-premise zařízením. Služba aktuálně podporuje tunely typu OpenVPN, SSTP, IKEv2 anebo kombinaci jednotlivých variant. Výběr by měl být proveden na základě podpory zařízení, které budou VPN využívat. Výkon datového přenosu se odvíjí na základě úrovně zvoleného SKU (od 100Mbps až 10Gbps).

Site-to-Site (S2S)

S2S je služba, která je pro spojení využívá stejnou komponentu jako v P2S, tj. VPN Gateway. Na rozdíl od předchozího případu, kdy dochází ke komunikaci jednotlivých zařízení samostatně (pomocí VPN klienta) je v pro S2S vytvořen tunel mezi on-premise VPN zařízením a Azure VPN Gateway. V cloudu tedy musí být vytvořena reference reprezentující on-premise VPN zařízení, pomocí které se vytvoří spojení mezi on-premise sítí a virtuální sítí na cloudu.

Při návrhu S2S je důležité vyhnout se překrývání adresových prostorů mezi on-premise a cloudem, jinak může docházet k potížím během trasování. Výkon datového přenosu se odvíjí jako v předchozím případě na základě úrovně zvoleného SKU (od 100Mbps až 10Gbps).

Express Route

Express Route je služba, která umožňuje vytvoření soukromého propojení mezi on-premise sítí a virtuální sítí na cloudu bez použití veřejného internetu. Služba umožňuje vytvořit privátní propojení přes síťové poskytovatele (typicky poskytovatele internetu) partnerské se společností Microsoft.

ExpressRoute poskytuje garantovanou propustnost a nízkou latenci díky přímému propojení s datovými centry Azure (šířka pásma přenosu je od 50 Mbps až do 100 Gbps). To je důležité pro aplikace, které vyžadují konzistentní výkon a spolehlivost. S vyšším celkovým výkonem a spolehlivostí jde s rukou v ruce růst nákladů, proto je Express Route primárně využíván jen v oblastech s vysokou garancí stabilního přenosu.

Hub-to-Spoke model

(Volně přeloženo na HUB-Centrum a SPOKE-Rameno)

Tento architektonický vzor, známý jako „Hub and Spoke“, je síťová topologie používaná při navrhování síťových infrastruktur, která umožňuje oddělení klíčových komponent (VPN, Firewall, Bastion) od ostatních (SQL Database, Managed Instance, VMs atd.).

Tímto způsobem dochází k segmentaci virtuálních sítí, přičemž jedna centrální virtuální síť, tzv. HUB, integruje hlavní síťové prvky, jako jsou Virtual Network Gateway, Azure Firewall a Bastion. Ostatní virtuální sítě, označované jako „SPOKES“ (Ramena), jsou propojeny s tímto centrem. Každé rameno může být specializované pro konkrétní část aplikace nebo oddělení organizace (např. DEV/TEST/PROD). Tento přístup umožňuje centralizovanou správu a zabezpečení síťových zdrojů a zároveň poskytuje flexibilitu pro organizaci a škálovatelnost podle potřeby.

Reference

https://learn.microsoft.com/en-us/azure/virtual-network/
https://learn.microsoft.com/en-us/azure/vpn-gateway/point-to-site-about
https://learn.microsoft.com/en-us/azure/vpn-gateway/design#s2smulti
https://learn.microsoft.com/en-us/azure/expressroute/expressroute-introduction
https://learn.microsoft.com/en-us/azure/architecture/networking/architecture/hub-spoke?tabs=cli


Autor článku je specialista na Microsoft Azure Matouš Vondál ze společnosti Ness Czech.