| 

.NET C# Java Javascript Exception

8
Hallo Azure Community, wie ihr ja bestimmt schon wisst, beschäftige ich mich seit einiger Zeit mit Netzwerken rund um Azure und globaler Data Center Nutzung allgemein. Aus dieser Zeit sind nun mittlerweile einige Konzepte entstanden. Nach und nach möchte ich euch diese Konzepte vorstellen. Das erste in dieser Reihe ist mein DMZ Sicherheitskonzept auf Basis […]

Hallo Azure Community,

wie ihr ja bestimmt schon wisst, beschäftige ich mich seit einiger Zeit mit Netzwerken rund um Azure und globaler Data Center Nutzung allgemein. Aus dieser Zeit sind nun mittlerweile einige Konzepte entstanden. Nach und nach möchte ich euch diese Konzepte vorstellen.

Das erste in dieser Reihe ist mein DMZ Sicherheitskonzept auf Basis von Virtual Network Appliances und VNet Peering.

Kurz eine kleine Geschichte wie ich darauf kam, so etwas zu bauen. Ich war früher sehr unzufrieden mit dem Netzwerk Konzept von Azure. Sprich ein VNet mit verschiedenen Subnetzen. Wie viele meiner Kollegen habe auch ich aus einem VNet, mehrere Subnetze wie DMZ, Server LAN etc. herausgebrochen.

Ganz ehrlich … DMZ im gleichen „physischen“ Netzwerk wie meine Server? Finde ich persönlich nicht so super.

Bis dato habe ich dann einfach zwei VNet aufgebaut, VNet DMZ und VNet internal. Diese dann entsprechend über VPN Tunnel verbunden und mittels User Defined Routes und Network Security Rules gesteuert. Damit konnte ich dann leben, allerdings hatte ich halt Traffic Kosten.

Mittlerweile habe ich das Konzept auf VNet Peering übertragen und steuere auch hier, die Kommunikation mittels UDR, NSR und neu mit Gateway Transit Konfigurationen.

Nun werden aber mit einer steigenden Netzwerkaktivität in Azure und dementsprechend mehr kritischen Services, die Anfragen nach Sicherheit auch größer. Was für mich dazu führte mein Konzepte weiter zu verfeinern und weitere Schichten an Systemsicherheit hinzuzufügen.

Mir kommt nun bei meinen Konzepten mittlerweile zugute, dass viele Netzwerk und Firewall Hersteller, ihre Systeme auch über den Azure Marktplatz anbieten.

Was habe ich also gemacht? Eigentlich ganz simpel, ich habe in jedes Virtuelle Netzwerk eine zusätzliche Firewall konfiguriert. Durch diese, lasse ich alle mittels UDR entsprechend den Traffic laufen.

Zusätzlich ziehe ich auch noch in den virtuellen Netzwerken einen zusätzlichen IP Layer ein. Auf der einen IP Range arbeitet die Firewall mit Ihren interfaces und auf der anderen arbeiten die VMs.

Da es nicht möglich ist, auf VM Basis die IP zu ändern und ein normaler Server Admin oder User keinen Zugriff auf die Azure Umgebung haben sollte, ist des damit fast unmöglich sich dem Routing zu entziehen.

Was ich euch noch zusätzlich empfehlen würde, nehmt als inneren und äußeren Firewall immer zwei unterschiedliche Hersteller. Damit entgeht ihr der Umstand, dass wenn ein Hersteller eine Sicherheitslücke oder einen Bug hat, ein Angreifer direkt durch beide Firewalls bricht.

So ich hoffe der Blogpost war aufschlussreich für euch. In meinem nächsten Post geht es dann um Verschlüsselung in einer ExpressRoute Strecke. Wer auf meinem Vortrag zum Office365 Businesstag war, der hat schon etwas davon hören dürfen.

Beste Grüße
Flo


news microsoft-azure azure-architecture
Schreibe einen Kommentar:
Themen:
azure-architecture microsoft-azure news
Entweder einloggen... ...oder ohne Wartezeit registrieren
Benutzername
Passwort
Passwort wiederholen
E-Mail