Azure 生產網絡,創建azure免費賬戶流程

Azure 生產網絡

Azure 生產網絡的用戶包括訪問其自己的 Azure 應用程序的外部客戶以及管理生產網絡的 Azure 內部支持人員。本文介紹了用于與 Azure 生產網絡建立連接的安全接入方法和保護機制。

Internet 路由和容錯

全局冗余的內部和外部 Azure 域名服務 (DNS) 基礎結構與多個主要和輔助 DNS 服務器群集相結合，可提供容錯功能。與此同時，其他 Azure 網絡安全控件（如 NetScaler）可預防分布式拒絕服務 (DDoS) 攻擊并保護 Azure DNS 服務的完整性。

Azure DNS 服務器位于多個數據中心設施。Azure DNS 實現整合了輔助和主要 DNS 服務器的層次結構，可公開解析 Azure 客戶域名。域名通常解析成 CloudApp.net 地址，其中包裝了客戶服務的虛擬 IP (VIP) 地址。Azure 的獨特之處在于，與租戶轉換的內部專用 IP (DIP) 地址對應的 VIP 由負責該 VIP 的 Microsoft 負載均衡器執行。

Azure 托管在分布于美國境內各處的 Azure 數據中心，且基于一流路由平臺構建，可實施可靠、可縮放體系結構標準。其中包含如下重要功能：

基于多協議標簽交換 (MPLS) 的流量工程，在發生服務中斷時，可提供高效的鏈路利用率和妥善的服務降級。

以“需求加一”(N+1) 冗余體系結構或更佳的方式實施網絡。

從外部看，數據中心由專用的高帶寬網絡線路提供服務，這些線路以冗余方式將資產連接到全球 1,200 多個 Internet 服務提供商的多個對等互連點。連接后可提供超過 2,000 GB/秒 (GBps) 的邊緣容量。

由于 Microsoft 在數據中心之間擁有自身的網絡線路，因此，這些屬性有助于 Azure 產品/服務實現 99.9% 以上的網絡可用性，而無需與傳統的第三方 Internet 服務提供商合作。

連接到生產網絡和關聯的防火墻

Azure 網絡 Internet 流量流策略將流量定向到美國境內最靠近的區域數據中心內的 Azure 生產網絡。由于 Azure 生產數據中心擁有一致的網絡體系結構和硬件，下面的流量流說明同樣適用于所有數據中心。

將 Azure 的 Internet 流量路由到最近的數據中心后，將與接入的路由器建立連接。這些接入路由器用于隔離 Azure 節點與客戶實例化 VM 之間的流量。位于接入位置和邊緣位置的網絡基礎結構設備是應用入口和出口篩選器的邊界點。這些路由器已通過分層的訪問口控制列表 (ACL) 進行配置，在必要時可以篩選不需要的網絡流量并應用流量速率限制。ACL 允許的流量將路由到負載均衡器。分配路由器只允許 Microsoft 批準的 IP 地址，可提供反欺騙功能，并建立使用 ACL 的 TCP 連接。

外部負載均衡設備位于接入路由器后方，執行從 Internet 可路由 IP 到 Azure 內部 IP 的網絡地址轉換 (NAT)。設備還將數據包路由到有效的生產內部 IP 和端口，并且它們充當保護機制，限制內部生產網絡地址空間的公開。

默認情況下，Microsoft 針對傳輸到客戶 Web 瀏覽器的所有流量（包括登錄和由此產生的所有流量）強制實施安全超文本傳輸協議 (HTTPS)。使用 TLS v1.2 能夠為傳快遞的流量建立安全隧道。接入路由器和核心路由器上的 ACL 確保流量的源符合預期。

與傳統的安全體系結構相比，此體系結構的重要區別在于沒有專用的硬件防火墻、專用的入侵檢測或預防設備，或者在與 Azure 生產環境建立連接之前通常需要的其他安全設備。客戶通常預期 Azure 網絡中存在這些硬件防火墻設備；但是，Azure 中并未采用任何此類設備。這些安全功能內置在運行 Azure 環境的軟件中，提供包括防火墻功能在內的可靠多層安全機制，這幾乎是 Azure 獨有的特色。此外，如上圖所示，關鍵安全設備的邊界范圍和關聯衍生功能更易于管理和清點，因為它們由運行 Azure 的軟件管理。

核心安全性和防火墻功能

Azure 在各個級別實現可靠的軟件安全性和防火墻功能來強制執行傳統環境中通常需要的安全功能，以保護核心安全授權邊界。

Azure 安全功能

Azure 在生產網絡內實現基于主機的軟件防火墻。核心 Azure 環境中包含多種核心安全性和防火墻功能。這些安全功能反映了 Azure 環境中的深層防御策略。Azure 中的客戶數據受以下防火墻的保護：

虛擬機監控程序防火墻（數據包篩選器）：在虛擬機監控程序中實現此防火墻并由結構控制器 (FC) 代理配置。此防火墻可保護在 VM 內運行的租戶免受未經授權的訪問。默認情況下，創建 VM 時，將阻止所有流量，然后 FC 代理在篩選器中添加規則和例外，以允許獲得授權的流量。

此處對兩類規則進行了編程：

計算機配置或基礎結構規則：默認情況下，將阻止所有通信。但也存在例外情況，可允許 VM 發快遞和接收動態主機配置協議 (DHCP) 通信和 DNS 信息，并將流量發國際快遞“公共”Internet 并出站到 FC 群集與 OS 激活服務器內的其他 VM。由于 VM 允許的傳出目標列表不包括 Azure 路由器子網和其他 Microsoft 屬性，因此這些規則將充當它們的一道防御層。

角色配置文件規則：根據租戶的服務模型定義入站 ACL。例如，如果某個租戶在某個特定 VM 的端口 80 上有一個 Web 前端，則會向所有 IP 地址開放端口 80。如果 VM 上正在運行某個輔助角色，則只向同一租戶中的 VM 開放該輔助角色。

本機主機防火墻：Azure Service Fabric 和 Azure 存儲在本機 OS 上運行，其中沒有虛擬機監控程序，因此會使用上述兩組規則配置 Windows 防火墻。

主機防火墻：主機防火墻保護運行虛擬機監控程序的主機分區。可以通過編程方式對規則進行設置，只允許 FC 和跳轉盒在特定端口上與主機分區通信。其他例外包括允許 DHCP 響應和 DNS 回復。Azure 使用計算機配置文件，其中包括主機分區的防火墻規則模板。還有一種主機防火墻例外情況，可允許 VM 通過特定協議/端口與主機組件、網絡服務器和元數據服務器進行通信。

來賓防火墻：來賓 OS 的 Windows 防火墻部分，可由客戶在客戶 VM 和存儲中配置。

內置于 Azure 功能中的其他安全功能包括：

基礎結構組件，可為其分配來自 DIP 的 IP 地址。Internet 上的攻擊者無法將流量發往這些地址，因其無法訪問 Microsoft。Internet 網關路由器篩選僅發往內部地址的數據包，因此這些數據包不會進入生產網絡。只有負載均衡器才是接受定向到 VIP 的流量的組件。

在任何給定的場景下，所有內部節點上實現的防火墻在安全體系結構方面都存在三個主要注意事項：

外圍的接入路由器會阻止發往 Azure 網絡中某個地址的出站數據包，因為它使用配置的靜態路由。

防火墻位于負載均衡器后方，接受來自任何位置的數據包。這些數據包可在外部公開，對應于傳統外圍防火墻中打開的端口。

防火墻僅接受來自一組有限地址的數據包。此考慮是針對 DDoS 攻擊的防御性深入戰略的一部分。此類連接以加密方式進行身份驗證。

僅可從選定的內部節點訪問防火墻。防火墻僅接受源 IP 地址枚舉列表中的數據包，所有這些都是 Azure 網絡中的 DIP。例如，企業網絡中出現的攻擊可能會將請求定向到這些地址，但將阻止攻擊，除非數據包的源地址是 Azure 網絡內枚舉列表中的某個地址。

特別聲明：以上文章內容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關于作品內容、版權或其它問題請于作品發表后的30日內與ESG跨境電商聯系。