Az - Azure Network

Basic Information

Azure zapewnia wirtualne sieci (VNet), które pozwalają użytkownikom tworzyć izolowane sieci w chmurze Azure. W ramach tych VNet można bezpiecznie hostować i zarządzać zasobami, takimi jak maszyny wirtualne, aplikacje, bazy danych... Ponadto, sieci w Azure wspierają zarówno komunikację wewnątrz chmury (między usługami Azure), jak i połączenie z zewnętrznymi sieciami oraz internetem. Co więcej, możliwe jest połączenie VNet z innymi VNet oraz z sieciami lokalnymi.

Virtual Network (VNET) & Subnets

Wirtualna sieć Azure (VNet) jest reprezentacją twojej własnej sieci w chmurze, zapewniając logiczne izolowanie w ramach środowiska Azure dedykowanego twojej subskrypcji. VNet pozwala na provisionowanie i zarządzanie wirtualnymi sieciami prywatnymi (VPN) w Azure, hostując zasoby takie jak maszyny wirtualne (VM), bazy danych i usługi aplikacyjne. Oferują pełną kontrolę nad ustawieniami sieci, w tym zakresami adresów IP, tworzeniem podsieci, tabelami tras i bramami sieciowymi.

Podsieci to podziały w ramach VNet, definiowane przez konkretne zakresy adresów IP. Dzieląc VNet na wiele podsieci, możesz organizować i zabezpieczać zasoby zgodnie z architekturą swojej sieci. Domyślnie wszystkie podsieci w tej samej Wirtualnej Sieci Azure (VNet) mogą komunikować się ze sobą bez żadnych ograniczeń.

Przykład:

• MyVNet z zakresem adresów IP 10.0.0.0/16.

• Podsieć-1: 10.0.0.0/24 dla serwerów webowych.

• Podsieć-2: 10.0.1.0/24 dla serwerów baz danych.

Enumeration

Aby wylistować wszystkie VNet i podsieci w koncie Azure, możesz użyć interfejsu wiersza poleceń Azure (CLI). Oto kroki:

# List VNets
az network vnet list --query "[].{name:name, location:location, addressSpace:addressSpace}"

# List subnets of a VNet
az network vnet subnet list --resource-group <ResourceGroupName> --vnet-name <VNetName> --query "[].{name:name, addressPrefix:addressPrefix}" -o table

# List VNets
Get-AzVirtualNetwork | Select-Object Name, Location, @{Name="AddressSpace"; Expression={$_.AddressSpace.AddressPrefixes}}

# List subnets of a VNet
Get-AzVirtualNetwork -ResourceGroupName <ResourceGroupName> -Name <VNetName> |
Select-Object -ExpandProperty Subnets |
Select-Object Name, AddressPrefix

Grupy zabezpieczeń sieci (NSG)

Grupa zabezpieczeń sieci (NSG) filtruje ruch sieciowy zarówno do, jak i z zasobów Azure w ramach Wirtualnej Sieci Azure (VNet). Zawiera zestaw reguł zabezpieczeń, które mogą wskazywać które porty otworzyć dla ruchu przychodzącego i wychodzącego według portu źródłowego, adresu IP źródłowego, portu docelowego, a także możliwe jest przypisanie priorytetu (im niższy numer priorytetu, tym wyższy priorytet).

NSG mogą być przypisane do podsieci i NIC.

Przykład reguł:

• Reguła przychodząca zezwalająca na ruch HTTP (port 80) z dowolnego źródła do twoich serwerów webowych.

• Reguła wychodząca zezwalająca tylko na ruch SQL (port 1433) do określonego zakresu adresów IP docelowych.

Enumeracja

# List NSGs
az network nsg list --query "[].{name:name, location:location}" -o table
az network nsg show --name <nsg-name>

# Get NSG rules
az network nsg rule list --nsg-name <NSGName> --resource-group <ResourceGroupName> --query "[].{name:name, priority:priority, direction:direction, access:access, protocol:protocol, sourceAddressPrefix:sourceAddressPrefix, destinationAddressPrefix:destinationAddressPrefix, sourcePortRange:sourcePortRange, destinationPortRange:destinationPortRange}" -o table

# Get NICs and subnets using this NSG
az network nsg show --name MyLowCostVM-nsg --resource-group Resource_Group_1 --query "{subnets: subnets, networkInterfaces: networkInterfaces}"

# List NSGs
Get-AzNetworkSecurityGroup | Select-Object Name, Location
Get-AzNetworkSecurityGroup -Name <NSGName> -ResourceGroupName <ResourceGroupName>

# Get NSG rules
(Get-AzNetworkSecurityGroup -ResourceGroupName <NSGName> -Name <ResourceGroupName>).SecurityRules

# Get NICs and subnets using this NSG
(Get-AzNetworkSecurityGroup -Name <NSGName> -ResourceGroupName <ResourceGroupName>).Subnets

Azure Firewall

Azure Firewall to zarządzana usługa zabezpieczeń sieciowych w Azure, która chroni zasoby chmurowe poprzez inspekcję i kontrolowanie ruchu. Jest to stanowy zapora filtrująca ruch na podstawie reguł dla warstw 3 do 7, wspierająca komunikację zarówno w obrębie Azure (ruch wschód-zachód), jak i do/z sieci zewnętrznych (ruch północ-południe). Wdrażana na poziomie Wirtualnej Sieci (VNet), zapewnia scentralizowaną ochronę dla wszystkich podsieci w VNet. Azure Firewall automatycznie dostosowuje się do wymagań ruchu i zapewnia wysoką dostępność bez potrzeby ręcznej konfiguracji.

Jest dostępna w trzech SKU—Podstawowy, Standardowy i Premium, z których każdy jest dostosowany do specyficznych potrzeb klientów:

Enumeracja

# List Azure Firewalls
az network firewall list --query "[].{name:name, location:location, subnet:subnet, publicIp:publicIp}" -o table

# Get network rules of a firewall
az network firewall network-rule collection list --firewall-name <FirewallName> --resource-group <ResourceGroupName> --query "[].{name:name, rules:rules}" -o table

# Get application rules of a firewall
az network firewall application-rule collection list --firewall-name <FirewallName> --resource-group <ResourceGroupName> --query "[].{name:name, rules:rules}" -o table

# Get nat rules of a firewall
az network firewall nat-rule collection list --firewall-name <FirewallName> --resource-group <ResourceGroupName> --query "[].{name:name, rules:rules}" -o table

# List Azure Firewalls
Get-AzFirewall

# Get network rules of a firewall
(Get-AzFirewall -Name <FirewallName> -ResourceGroupName <ResourceGroupName>).NetworkRuleCollections

# Get application rules of a firewall
(Get-AzFirewall -Name <FirewallName> -ResourceGroupName <ResourceGroupName>).ApplicationRuleCollections

# Get nat rules of a firewall
(Get-AzFirewall -Name <FirewallName> -ResourceGroupName <ResourceGroupName>).NatRuleCollections

Tabele trasowania Azure

Tabele trasowania Azure są używane do kontrolowania trasowania ruchu sieciowego w obrębie podsieci. Definiują zasady, które określają, jak pakiety powinny być przesyłane, czy to do zasobów Azure, internetu, czy do konkretnego następnego skoku, takiego jak Wirtualne Urządzenie lub Zapora Azure. Możesz powiązać tabelę trasowania z podsiecią, a wszystkie zasoby w tej podsieci będą podążać za trasami w tabeli.

Przykład: Jeśli podsieć hostuje zasoby, które muszą kierować ruch wychodzący przez Wirtualne Urządzenie Sieciowe (NVA) w celu inspekcji, możesz utworzyć trasę w tabeli trasowania, aby przekierować cały ruch (np. 0.0.0.0/0) do prywatnego adresu IP NVA jako następnego skoku.

Enumeracja

# List Route Tables
az network route-table list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

# List routes for a table
az network route-table route list --route-table-name <RouteTableName> --resource-group <ResourceGroupName> --query "[].{name:name, addressPrefix:addressPrefix, nextHopType:nextHopType, nextHopIpAddress:nextHopIpAddress}" -o table

# List Route Tables
Get-AzRouteTable

# List routes for a table
(Get-AzRouteTable -Name <RouteTableName> -ResourceGroupName <ResourceGroupName>).Routes

Azure Private Link

Azure Private Link to usługa w Azure, która umożliwia prywatny dostęp do usług Azure, zapewniając, że ruch między Twoją wirtualną siecią Azure (VNet) a usługą odbywa się całkowicie w ramach sieci szkieletowej Microsoftu Azure. Efektywnie wprowadza usługę do Twojej VNet. Ta konfiguracja zwiększa bezpieczeństwo, nie narażając danych na publiczny internet.

Private Link może być używany z różnymi usługami Azure, takimi jak Azure Storage, Azure SQL Database i niestandardowymi usługami udostępnianymi za pośrednictwem Private Link. Zapewnia bezpieczny sposób korzystania z usług z poziomu własnej VNet lub nawet z różnych subskrypcji Azure.

Przykład:

Rozważ scenariusz, w którym masz Azure SQL Database, do której chcesz uzyskać bezpieczny dostęp z Twojej VNet. Zwykle może to wiązać się z przechodzeniem przez publiczny internet. Dzięki Private Link możesz utworzyć prywatny punkt końcowy w swojej VNet, który łączy się bezpośrednio z usługą Azure SQL Database. Ten punkt końcowy sprawia, że baza danych wydaje się częścią Twojej własnej VNet, dostępną za pośrednictwem prywatnego adresu IP, co zapewnia bezpieczny i prywatny dostęp.

Enumeracja

# List Private Link Services
az network private-link-service list --query "[].{name:name, location:location, resourceGroup:resourceGroup}" -o table

# List Private Endpoints
az network private-endpoint list --query "[].{name:name, location:location, resourceGroup:resourceGroup, privateLinkServiceConnections:privateLinkServiceConnections}" -o table

# List Private Link Services
Get-AzPrivateLinkService | Select-Object Name, Location, ResourceGroupName

# List Private Endpoints
Get-AzPrivateEndpoint | Select-Object Name, Location, ResourceGroupName, PrivateEndpointConnections

Punkty końcowe usługi Azure

Punkty końcowe usługi Azure rozszerzają prywatną przestrzeń adresową Twojej sieci wirtualnej i tożsamość Twojego VNet do usług Azure za pośrednictwem bezpośredniego połączenia. Włączając punkty końcowe usług, zasoby w Twoim VNet mogą bezpiecznie łączyć się z usługami Azure, takimi jak Azure Storage i Azure SQL Database, korzystając z sieci szkieletowej Azure. Zapewnia to, że ruch z VNet do usługi Azure pozostaje w sieci Azure, co zapewnia bardziej bezpieczną i niezawodną trasę.

Przykład:

Na przykład, konto Azure Storage domyślnie jest dostępne przez publiczny internet. Włączając punkt końcowy usługi dla Azure Storage w swoim VNet, możesz zapewnić, że tylko ruch z Twojego VNet może uzyskać dostęp do konta magazynowego. Zapora konta magazynowego może być następnie skonfigurowana tak, aby akceptowała ruch tylko z Twojego VNet.

Enumeracja

# List Virtual Networks with Service Endpoints
az network vnet list --query "[].{name:name, location:location, serviceEndpoints:serviceEndpoints}" -o table

# List Subnets with Service Endpoints
az network vnet subnet list --resource-group <ResourceGroupName> --vnet-name <VNetName> --query "[].{name:name, serviceEndpoints:serviceEndpoints}" -o table

# List Virtual Networks with Service Endpoints
Get-AzVirtualNetwork

# List Subnets with Service Endpoints
(Get-AzVirtualNetwork -ResourceGroupName <ResourceGroupName> -Name <VNetName>).Subnets

Różnice między punktami końcowymi usługi a prywatnymi łączami

Microsoft zaleca korzystanie z prywatnych łączy w dokumentacji:

Punkty końcowe usługi:

• Ruch z Twojej VNet do usługi Azure podróżuje przez sieć szkieletową Microsoft Azure, omijając publiczny internet.

• Punkt końcowy to bezpośrednie połączenie z usługą Azure i nie zapewnia prywatnego adresu IP dla usługi w VNet.

• Sama usługa jest nadal dostępna za pośrednictwem swojego publicznego punktu końcowego z zewnątrz Twojej VNet, chyba że skonfigurujesz zaporę usługi, aby zablokować taki ruch.

• To relacja jeden do jednego między podsiecią a usługą Azure.

• Tańsze niż prywatne łącza.

Prywatne łącza:

• Prywatne łącze mapuje usługi Azure do Twojej VNet za pośrednictwem prywatnego punktu końcowego, który jest interfejsem sieciowym z prywatnym adresem IP w Twojej VNet.

• Usługa Azure jest dostępna za pomocą tego prywatnego adresu IP, co sprawia, że wydaje się, iż jest częścią Twojej sieci.

• Usługi połączone za pośrednictwem prywatnego łącza mogą być dostępne tylko z Twojej VNet lub połączonych sieci; nie ma dostępu do usługi z publicznego internetu.

• Umożliwia bezpieczne połączenie z usługami Azure lub własnymi usługami hostowanymi w Azure, a także połączenie z usługami udostępnionymi przez innych.

• Zapewnia bardziej szczegółową kontrolę dostępu za pośrednictwem prywatnego punktu końcowego w Twojej VNet, w przeciwieństwie do szerszej kontroli dostępu na poziomie podsieci z punktami końcowymi usługi.

Podsumowując, chociaż zarówno punkty końcowe usługi, jak i prywatne łącza zapewniają bezpieczne połączenie z usługami Azure, prywatne łącza oferują wyższy poziom izolacji i bezpieczeństwa, zapewniając, że usługi są dostępne prywatnie, bez narażania ich na publiczny internet. Punkty końcowe usługi, z drugiej strony, są łatwiejsze do skonfigurowania w ogólnych przypadkach, gdzie wymagany jest prosty, bezpieczny dostęp do usług Azure bez potrzeby posiadania prywatnego adresu IP w VNet.

Azure Front Door (AFD) i AFD WAF

Azure Front Door to skalowalny i bezpieczny punkt wejścia do szybkiej dostawy Twoich globalnych aplikacji internetowych. Łączy różne usługi, takie jak globalne równoważenie obciążenia, przyspieszanie witryn, odciążanie SSL i możliwości zapory aplikacji internetowej (WAF) w jedną usługę. Azure Front Door zapewnia inteligentne routowanie na podstawie najbliższej lokalizacji brzegowej do użytkownika, zapewniając optymalną wydajność i niezawodność. Dodatkowo oferuje routowanie oparte na URL, hosting wielu witryn, afinityzację sesji i bezpieczeństwo na poziomie aplikacji.

Azure Front Door WAF jest zaprojektowany, aby chronić aplikacje internetowe przed atakami opartymi na sieci bez modyfikacji kodu zaplecza. Zawiera niestandardowe zasady i zarządzane zestawy zasad, aby chronić przed zagrożeniami takimi jak wstrzykiwanie SQL, skrypty międzywitrynowe i inne powszechne ataki.

Przykład:

Wyobraź sobie, że masz globalnie rozproszoną aplikację z użytkownikami na całym świecie. Możesz użyć Azure Front Door, aby przekierować żądania użytkowników do najbliższego regionalnego centrum danych hostującego Twoją aplikację, co zmniejsza opóźnienia, poprawia doświadczenia użytkowników i chroni ją przed atakami internetowymi dzięki możliwościom WAF. Jeśli w danym regionie wystąpi awaria, Azure Front Door może automatycznie przekierować ruch do następnej najlepszej lokalizacji, zapewniając wysoką dostępność.

Enumeracja

# List Azure Front Door Instances
az network front-door list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

# List Front Door WAF Policies
az network front-door waf-policy list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

# List Azure Front Door Instances
Get-AzFrontDoor

# List Front Door WAF Policies
Get-AzFrontDoorWafPolicy -Name <policyName> -ResourceGroupName <resourceGroupName>

Azure Application Gateway i Azure Application Gateway WAF

Azure Application Gateway to load balancer ruchu sieciowego, który umożliwia zarządzanie ruchem do Twoich aplikacji internetowych. Oferuje równoważenie obciążenia na warstwie 7, zakończenie SSL oraz możliwości zapory aplikacji internetowej (WAF) w ramach usługi Application Delivery Controller (ADC). Kluczowe funkcje obejmują routowanie oparte na URL, sesje oparte na ciasteczkach oraz odciążanie warstwy gniazd zabezpieczonych (SSL), które są kluczowe dla aplikacji wymagających złożonych możliwości równoważenia obciążenia, takich jak globalne routowanie i routowanie oparte na ścieżkach.

Przykład:

Rozważ scenariusz, w którym masz stronę e-commerce, która zawiera wiele subdomen dla różnych funkcji, takich jak konta użytkowników i przetwarzanie płatności. Azure Application Gateway może routować ruch do odpowiednich serwerów internetowych na podstawie ścieżki URL. Na przykład ruch do example.com/accounts mógłby być kierowany do usługi kont użytkowników, a ruch do example.com/pay mógłby być kierowany do usługi przetwarzania płatności. I chroń swoją stronę internetową przed atakami, korzystając z możliwości WAF.

Enumeracja

# List the Web Application Firewall configurations for your Application Gateways
az network application-gateway waf-config list --gateway-name <AppGatewayName> --resource-group <ResourceGroupName> --query "[].{name:name, firewallMode:firewallMode, ruleSetType:ruleSetType, ruleSetVersion:ruleSetVersion}" -o table

# List the Web Application Firewall configurations for your Application Gateways
(Get-AzApplicationGateway -Name <AppGatewayName> -ResourceGroupName <ResourceGroupName>).WebApplicationFirewallConfiguration

Azure Hub, Spoke i Peering VNet

Peering VNet to funkcja sieciowa w Azure, która pozwala na bezpośrednie i płynne łączenie różnych Wirtualnych Sieci (VNets). Dzięki peeringowi VNet zasoby w jednej VNet mogą komunikować się z zasobami w innej VNet, używając prywatnych adresów IP, jakby znajdowały się w tej samej sieci. Peering VNet może być również używany z sieciami lokalnymi poprzez skonfigurowanie VPN site-to-site lub Azure ExpressRoute.

Azure Hub i Spoke to topologia sieciowa używana w Azure do zarządzania i organizowania ruchu sieciowego. "Hub" to centralny punkt, który kontroluje i kieruje ruchem między różnymi "spokes". Hub zazwyczaj zawiera usługi wspólne, takie jak wirtualne urządzenia sieciowe (NVA), Azure VPN Gateway, Azure Firewall lub Azure Bastion. "Spokes" to VNety, które hostują obciążenia i łączą się z hubem za pomocą peeringu VNet, co pozwala im korzystać z usług wspólnych w hubie. Ten model promuje czysty układ sieci, redukując złożoność poprzez centralizację wspólnych usług, z których mogą korzystać różne obciążenia w różnych VNetach.

Przykład:

Wyobraź sobie firmę z oddzielnymi działami, takimi jak Sprzedaż, HR i Rozwój, z każdym z własną VNet (spokes). Te VNety wymagają dostępu do wspólnych zasobów takich jak centralna baza danych, zapora i brama internetowa, które znajdują się w innej VNet (hub). Korzystając z modelu Hub i Spoke, każde z działów może bezpiecznie łączyć się z wspólnymi zasobami przez VNet hub, nie narażając tych zasobów na publiczny internet ani nie tworząc złożonej struktury sieciowej z licznymi połączeniami.

Enumeracja

# List all VNets in your subscription
az network vnet list --query "[].{name:name, location:location, addressSpace:addressSpace}" -o table

# List VNet peering connections for a given VNet
az network vnet peering list --resource-group <ResourceGroupName> --vnet-name <VNetName> --query "[].{name:name, peeringState:peeringState, remoteVnetId:remoteVnetId}" -o table

# List Shared Resources (e.g., Azure Firewall) in the Hub
az network firewall list --query "[].{name:name, location:location, resourceGroup:resourceGroup}" -o table

# List all VNets in your subscription
Get-AzVirtualNetwork

# List VNet peering connections for a given VNet
(Get-AzVirtualNetwork -ResourceGroupName <ResourceGroupName> -Name <VNetName>).VirtualNetworkPeerings

# List Shared Resources (e.g., Azure Firewall) in the Hub
Get-AzFirewall

VPN Site-to-Site

VPN Site-to-Site w Azure pozwala na połączenie lokalnej sieci z Twoją Wirtualną Siecią (VNet) w Azure, umożliwiając zasobom takim jak VM w Azure, aby wydawały się, jakby były w Twojej lokalnej sieci. To połączenie jest ustanawiane przez bramę VPN, która szyfruje ruch między dwiema sieciami.

Przykład:

Firma, której główne biuro znajduje się w Nowym Jorku, ma lokalne centrum danych, które musi bezpiecznie połączyć się ze swoją VNet w Azure, która hostuje jej wirtualizowane obciążenia. Ustawiając VPN Site-to-Site, firma może zapewnić szyfrowane połączenie między lokalnymi serwerami a VM w Azure, umożliwiając bezpieczny dostęp do zasobów w obu środowiskach, jakby znajdowały się w tej samej lokalnej sieci.

Enumeracja

# List VPN Gateways
az network vnet-gateway list --query "[].{name:name, location:location, resourceGroup:resourceGroup}" -o table

# List VPN Connections
az network vpn-connection list --gateway-name <VpnGatewayName> --resource-group <ResourceGroupName> --query "[].{name:name, connectionType:connectionType, connectionStatus:connectionStatus}" -o table

# List VPN Gateways
Get-AzVirtualNetworkGateway -ResourceGroupName <ResourceGroupName>

# List VPN Connections
Get-AzVirtualNetworkGatewayConnection -ResourceGroupName <ResourceGroupName>

Azure ExpressRoute

Azure ExpressRoute to usługa, która zapewnia prywatne, dedykowane, szybkie połączenie między twoją infrastrukturą lokalną a centrami danych Azure. To połączenie realizowane jest przez dostawcę łączności, omijając publiczny internet i oferując większą niezawodność, szybsze prędkości, niższe opóźnienia oraz wyższe bezpieczeństwo niż typowe połączenia internetowe.

Przykład:

Międzynarodowa korporacja wymaga spójnego i niezawodnego połączenia z usługami Azure z powodu dużej ilości danych oraz potrzeby wysokiej przepustowości. Firma decyduje się na Azure ExpressRoute, aby bezpośrednio połączyć swoje lokalne centrum danych z Azure, ułatwiając transfery danych na dużą skalę, takie jak codzienne kopie zapasowe i analizy danych w czasie rzeczywistym, z poprawioną prywatnością i szybkością.

Enumeration

# List ExpressRoute Circuits
az network express-route list --query "[].{name:name, location:location, resourceGroup:resourceGroup, serviceProviderName:serviceProviderName, peeringLocation:peeringLocation}" -o table

# List ExpressRoute Circuits
Get-AzExpressRouteCircuit