Az - Azure Network

Basic Information

Azure надає віртуальні мережі (VNet), які дозволяють користувачам створювати ізольовані мережі в межах хмари Azure. У межах цих VNet ресурси, такі як віртуальні машини, програми, бази даних... можуть бути безпечно розміщені та керовані. Мережеве з'єднання в Azure підтримує як комунікацію в межах хмари (між службами Azure), так і з'єднання з зовнішніми мережами та Інтернетом. Більше того, можливо з'єднувати VNet з іншими VNet та з локальними мережами.

Virtual Network (VNET) & Subnets

Віртуальна мережа Azure (VNet) є уявленням вашої власної мережі в хмарі, що забезпечує логічну ізоляцію в середовищі Azure, присвяченому вашій підписці. VNet дозволяє вам створювати та керувати віртуальними приватними мережами (VPN) в Azure, розміщуючи ресурси, такі як віртуальні машини (VM), бази даних та служби додатків. Вони пропонують повний контроль над налаштуваннями мережі, включаючи діапазони IP-адрес, створення підмереж, таблиці маршрутів та мережеві шлюзи.

Підмережі є підрозділами в межах VNet, визначеними конкретними діапазонами IP-адрес. Сегментуючи VNet на кілька підмереж, ви можете організувати та захистити ресурси відповідно до вашої мережевої архітектури. За замовчуванням всі підмережі в межах однієї віртуальної мережі Azure (VNet) можуть спілкуватися одна з одною без будь-яких обмежень.

Приклад:

• MyVNet з діапазоном IP-адрес 10.0.0.0/16.

• Підмережа-1: 10.0.0.0/24 для веб-серверів.

• Підмережа-2: 10.0.1.0/24 для серверів бази даних.

Enumeration

Щоб перерахувати всі VNet та підмережі в обліковому записі Azure, ви можете використовувати командний рядок Azure (CLI). Ось кроки:

# List VNets
az network vnet list --query "[].{name:name, location:location, addressSpace:addressSpace}"

# List subnets of a VNet
az network vnet subnet list --resource-group <ResourceGroupName> --vnet-name <VNetName> --query "[].{name:name, addressPrefix:addressPrefix}" -o table

Групи безпеки мережі (NSG)

Група безпеки мережі (NSG) фільтрує мережевий трафік як до, так і з ресурсів Azure в межах віртуальної мережі Azure (VNet). Вона містить набір правил безпеки, які можуть вказувати які порти відкривати для вхідного та вихідного трафіку за вихідним портом, вихідною IP-адресою, портом призначення, і можливо призначити пріоритет (чим нижче число пріоритету, тим вищий пріоритет).

NSG можуть бути асоційовані з підмережами та NIC.

Приклад правил:

• Вхідне правило, що дозволяє HTTP-трафік (порт 80) з будь-якого джерела до ваших веб-серверів.

• Вихідне правило, що дозволяє лише SQL-трафік (порт 1433) до конкретного діапазону IP-адрес призначення.

Перерахування

# List NSGs
az network nsg list --query "[].{name:name, location:location}" -o table
az network nsg show --name <nsg-name>

# Get NSG rules
az network nsg rule list --nsg-name <NSGName> --resource-group <ResourceGroupName> --query "[].{name:name, priority:priority, direction:direction, access:access, protocol:protocol, sourceAddressPrefix:sourceAddressPrefix, destinationAddressPrefix:destinationAddressPrefix, sourcePortRange:sourcePortRange, destinationPortRange:destinationPortRange}" -o table

# Get NICs and subnets using this NSG
az network nsg show --name MyLowCostVM-nsg --resource-group Resource_Group_1 --query "{subnets: subnets, networkInterfaces: networkInterfaces}"

Azure Firewall

Azure Firewall - це керована служба безпеки мережі в Azure, яка захищає хмарні ресурси, перевіряючи та контролюючи трафік. Це станова брандмауер, який фільтрує трафік на основі правил для рівнів з 3 по 7, підтримуючи зв'язок як всередині Azure (східно-західний трафік), так і з/до зовнішніх мереж (північно- південний трафік). Розгорнутий на рівні віртуальної мережі (VNet), він забезпечує централізований захист для всіх підмереж у VNet. Azure Firewall автоматично масштабується для обробки вимог до трафіку та забезпечує високу доступність без необхідності ручного налаштування.

Він доступний у трьох SKU—Basic, Standard та Premium, кожен з яких адаптований до специфічних потреб клієнтів:

Enumeration

# List Azure Firewalls
az network firewall list --query "[].{name:name, location:location, subnet:subnet, publicIp:publicIp}" -o table

# Get network rules of a firewall
az network firewall network-rule collection list --firewall-name <FirewallName> --resource-group <ResourceGroupName> --query "[].{name:name, rules:rules}" -o table

# Get application rules of a firewall
az network firewall application-rule collection list --firewall-name <FirewallName> --resource-group <ResourceGroupName> --query "[].{name:name, rules:rules}" -o table

# Get nat rules of a firewall
az network firewall nat-rule collection list --firewall-name <FirewallName> --resource-group <ResourceGroupName> --query "[].{name:name, rules:rules}" -o table

Azure Route Tables

Azure Route Tables використовуються для контролю маршрутизації мережевого трафіку в межах підмережі. Вони визначають правила, які вказують, як пакети повинні пересилатися, або до ресурсів Azure, в інтернет, або до конкретного наступного хопа, такого як Віртуальний Пристрій або Azure Firewall. Ви можете асоціювати таблицю маршрутів з підмережею, і всі ресурси в цій підмережі будуть слідувати маршрутам у таблиці.

Приклад: Якщо підмережа містить ресурси, які потребують маршрутизації вихідного трафіку через Мережевий Віртуальний Пристрій (NVA) для перевірки, ви можете створити маршрут у таблиці маршрутів, щоб перенаправити весь трафік (наприклад, 0.0.0.0/0) на приватну IP-адресу NVA як наступний хоп.

Enumeration

# List Route Tables
az network route-table list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

# List routes for a table
az network route-table route list --route-table-name <RouteTableName> --resource-group <ResourceGroupName> --query "[].{name:name, addressPrefix:addressPrefix, nextHopType:nextHopType, nextHopIpAddress:nextHopIpAddress}" -o table

Azure Private Link

Azure Private Link - це сервіс в Azure, який дозволяє приватний доступ до сервісів Azure, забезпечуючи, що трафік між вашою віртуальною мережею Azure (VNet) та сервісом повністю проходить через мережу Microsoft Azure. Це ефективно інтегрує сервіс у вашу VNet. Така конфігурація підвищує безпеку, не піддаючи дані публічному інтернету.

Private Link можна використовувати з різними сервісами Azure, такими як Azure Storage, Azure SQL Database та користувацькими сервісами, які діляться через Private Link. Це забезпечує безпечний спосіб споживання сервісів з вашої власної VNet або навіть з різних підписок Azure.

Приклад:

Розгляньте сценарій, коли у вас є Azure SQL Database, до якої ви хочете отримати безпечний доступ з вашої VNet. Зазвичай це може включати проходження через публічний інтернет. З Private Link ви можете створити приватну кінцеву точку у вашій VNet, яка безпосередньо підключається до сервісу Azure SQL Database. Ця кінцева точка робить базу даних такою, що вона виглядає як частина вашої власної VNet, доступна через приватну IP-адресу, що забезпечує безпечний і приватний доступ.

Enumeration

# List Private Link Services
az network private-link-service list --query "[].{name:name, location:location, resourceGroup:resourceGroup}" -o table

# List Private Endpoints
az network private-endpoint list --query "[].{name:name, location:location, resourceGroup:resourceGroup, privateLinkServiceConnections:privateLinkServiceConnections}" -o table

Azure Service Endpoints

Azure Service Endpoints розширюють приватний адресний простір вашої віртуальної мережі та ідентичність вашої VNet до Azure сервісів через пряме з'єднання. Увімкнувши кінцеві точки сервісу, ресурси у вашій VNet можуть безпечно підключатися до Azure сервісів, таких як Azure Storage та Azure SQL Database, використовуючи магістральну мережу Azure. Це забезпечує, що трафік з VNet до Azure сервісу залишається в межах мережі Azure, забезпечуючи більш безпечний та надійний шлях.

Приклад:

Наприклад, обліковий запис Azure Storage за замовчуванням доступний через публічний інтернет. Увімкнувши кінцеву точку сервісу для Azure Storage у вашій VNet, ви можете забезпечити, що лише трафік з вашої VNet може отримати доступ до облікового запису зберігання. Брандмауер облікового запису зберігання може бути налаштований для прийому трафіку лише з вашої VNet.

Enumeration

# List Virtual Networks with Service Endpoints
az network vnet list --query "[].{name:name, location:location, serviceEndpoints:serviceEndpoints}" -o table

# List Subnets with Service Endpoints
az network vnet subnet list --resource-group <ResourceGroupName> --vnet-name <VNetName> --query "[].{name:name, serviceEndpoints:serviceEndpoints}" -o table

Відмінності між Service Endpoints та Private Links

Microsoft рекомендує використовувати Private Links у документації:

Service Endpoints:

• Трафік з вашої VNet до служби Azure проходить через мережу Microsoft Azure backbone, обходячи публічний інтернет.

• Endpoint є прямим з'єднанням зі службою Azure і не надає приватну IP-адресу для служби в межах VNet.

• Служба все ще доступна через свій публічний endpoint ззовні вашої VNet, якщо ви не налаштуєте брандмауер служби для блокування такого трафіку.

• Це відносини один до одного між підмережею та службою Azure.

• Менш витратні, ніж Private Links.

Private Links:

• Private Link відображає служби Azure у вашій VNet через приватний endpoint, який є мережевим інтерфейсом з приватною IP-адресою в межах вашої VNet.

• Служба Azure доступна за цією приватною IP-адресою, що робить її частиною вашої мережі.

• Служби, підключені через Private Link, можуть бути доступні лише з вашої VNet або підключених мереж; доступу до служби з публічного інтернету немає.

• Це забезпечує безпечне з'єднання зі службами Azure або вашими власними службами, розміщеними в Azure, а також з'єднання зі службами, якими діляться інші.

• Це забезпечує більш детальний контроль доступу через приватний endpoint у вашій VNet, на відміну від більш широкого контролю доступу на рівні підмережі з service endpoints.

У підсумку, хоча як Service Endpoints, так і Private Links забезпечують безпечне з'єднання зі службами Azure, Private Links пропонують вищий рівень ізоляції та безпеки, забезпечуючи доступ до служб приватно без їх відкриття для публічного інтернету. Service Endpoints, з іншого боку, легші у налаштуванні для загальних випадків, коли потрібен простий, безпечний доступ до служб Azure без необхідності в приватній IP-адресі у VNet.

Azure Front Door (AFD) та AFD WAF

Azure Front Door є масштабованою та безпечною точкою входу для швидкої доставки ваших глобальних веб-додатків. Він поєднує різні служби, такі як глобальне балансування навантаження, прискорення сайтів, SSL offloading та можливості Web Application Firewall (WAF) в одну службу. Azure Front Door забезпечує інтелектуальну маршрутизацію на основі найближчого краєвого місця до користувача, забезпечуючи оптимальну продуктивність та надійність. Крім того, він пропонує маршрутизацію на основі URL, хостинг кількох сайтів, афінність сесій та безпеку на рівні додатків.

Azure Front Door WAF призначений для захисту веб-додатків від атак з вебу без модифікації коду на бекенді. Він включає в себе користувацькі правила та керовані набори правил для захисту від загроз, таких як SQL-ін'єкції, міжсайтове скриптування та інші поширені атаки.

Приклад:

Уявіть, що у вас є глобально розподілений додаток з користувачами по всьому світу. Ви можете використовувати Azure Front Door для маршрутизації запитів користувачів до найближчого регіонального дата-центру, що хостить ваш додаток, тим самим зменшуючи затримки, покращуючи досвід користувачів та захищаючи його від веб-атак за допомогою можливостей WAF. Якщо в певному регіоні виникають проблеми, Azure Front Door може автоматично перенаправити трафік до наступного найкращого місця, забезпечуючи високу доступність.

Enumeration

# List Azure Front Door Instances
az network front-door list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

# List Front Door WAF Policies
az network front-door waf-policy list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

Azure Application Gateway та Azure Application Gateway WAF

Azure Application Gateway - це балансувальник навантаження веб-трафіку, який дозволяє вам керувати трафіком до ваших веб додатків. Він пропонує балансування навантаження на рівні 7, завершення SSL та можливості веб-додатків брандмауера (WAF) у контролері доставки додатків (ADC) як послуга. Ключові функції включають маршрутизацію на основі URL, прив'язку сесій на основі cookie та зняття навантаження з безпечного сокета (SSL), що є критично важливими для додатків, які потребують складних можливостей балансування навантаження, таких як глобальна маршрутизація та маршрутизація на основі шляху.

Приклад:

Розгляньте сценарій, коли у вас є веб-сайт електронної комерції, який включає кілька піддоменів для різних функцій, таких як облікові записи користувачів та обробка платежів. Azure Application Gateway може маршрутизувати трафік до відповідних веб-серверів на основі URL-адреси. Наприклад, трафік до example.com/accounts може бути направлений до служби облікових записів користувачів, а трафік до example.com/pay може бути направлений до служби обробки платежів. І захистіть ваш веб-сайт від атак, використовуючи можливості WAF.

Перерахування

# List the Web Application Firewall configurations for your Application Gateways
az network application-gateway waf-config list --gateway-name <AppGatewayName> --resource-group <ResourceGroupName> --query "[].{name:name, firewallMode:firewallMode, ruleSetType:ruleSetType, ruleSetVersion:ruleSetVersion}" -o table

Azure Hub, Spoke & VNet Peering

VNet Peering - це мережевий функціонал в Azure, який дозволяє різним Віртуальним Мережам (VNets) підключатися безпосередньо та безперешкодно. Завдяки VNet peering, ресурси в одній VNet можуть спілкуватися з ресурсами в іншій VNet, використовуючи приватні IP-адреси, ніби вони були в одній мережі. VNet Peering також може використовуватися з локальними мережами шляхом налаштування VPN з сайту на сайт або Azure ExpressRoute.

Azure Hub and Spoke - це мережевий топологія, що використовується в Azure для управління та організації мережевого трафіку. "Хаб" є центральною точкою, яка контролює та маршрутизує трафік між різними "спицями". Хаб зазвичай містить спільні сервіси, такі як мережеві віртуальні пристрої (NVA), Azure VPN Gateway, Azure Firewall або Azure Bastion. "Спиці" - це VNets, які хостять навантаження та підключаються до хабу за допомогою VNet peering, що дозволяє їм використовувати спільні сервіси в межах хабу. Ця модель сприяє чистій мережевій структурі, зменшуючи складність шляхом централізації загальних сервісів, які можуть використовувати кілька навантажень через різні VNets.

Приклад:

Уявіть компанію з окремими відділами, такими як Продажі, HR та Розробка, кожен з яких має свою власну VNet (спиці). Ці VNets потребують доступу до спільних ресурсів, таких як центральна база даних, брандмауер та шлюз до Інтернету, які всі розташовані в іншій VNet (хаб). Використовуючи модель Hub and Spoke, кожен відділ може надійно підключатися до спільних ресурсів через VNet хабу, не піддаючи ці ресурси публічному Інтернету або створюючи складну мережеву структуру з численними з'єднаннями.

Enumeration

# List all VNets in your subscription
az network vnet list --query "[].{name:name, location:location, addressSpace:addressSpace}" -o table

# List VNet peering connections for a given VNet
az network vnet peering list --resource-group <ResourceGroupName> --vnet-name <VNetName> --query "[].{name:name, peeringState:peeringState, remoteVnetId:remoteVnetId}" -o table

# List Shared Resources (e.g., Azure Firewall) in the Hub
az network firewall list --query "[].{name:name, location:location, resourceGroup:resourceGroup}" -o table

Site-to-Site VPN

Site-to-Site VPN в Azure дозволяє вам підключити вашу локальну мережу до вашої Azure Virtual Network (VNet), що дозволяє ресурсам, таким як ВМ в Azure, з'являтися так, ніби вони знаходяться у вашій локальній мережі. Це з'єднання встановлюється через VPN-шлюз, який шифрує трафік між двома мережами.

Приклад:

Компанія з головним офісом у Нью-Йорку має локальний дата-центр, який потрібно безпечно підключити до свого VNet в Azure, що хостить її віртуалізовані навантаження. Налаштувавши Site-to-Site VPN, компанія може забезпечити зашифроване з'єднання між локальними серверами та Azure ВМ, що дозволяє безпечно отримувати доступ до ресурсів у обох середовищах, ніби вони знаходяться в одній локальній мережі.

Enumeration

# List VPN Gateways
az network vnet-gateway list --query "[].{name:name, location:location, resourceGroup:resourceGroup}" -o table

# List VPN Connections
az network vpn-connection list --gateway-name <VpnGatewayName> --resource-group <ResourceGroupName> --query "[].{name:name, connectionType:connectionType, connectionStatus:connectionStatus}" -o table

Azure ExpressRoute

Azure ExpressRoute - це сервіс, який забезпечує приватне, виділене, високошвидкісне з'єднання між вашою локальною інфраструктурою та центрами обробки даних Azure. Це з'єднання здійснюється через постачальника зв'язку, обходячи публічний інтернет і пропонуючи більшу надійність, швидші швидкості, нижчі затримки та вищу безпеку, ніж звичайні інтернет-з'єднання.

Приклад:

Багатонаціональна корпорація потребує послідовного та надійного з'єднання з її сервісами Azure через великий обсяг даних та необхідність високої пропускної здатності. Компанія обирає Azure ExpressRoute для прямого з'єднання свого локального центру обробки даних з Azure, що полегшує великомасштабні передачі даних, такі як щоденні резервні копії та аналітика даних в реальному часі, з підвищеною конфіденційністю та швидкістю.

Enumeration

# List ExpressRoute Circuits
az network express-route list --query "[].{name:name, location:location, resourceGroup:resourceGroup, serviceProviderName:serviceProviderName, peeringLocation:peeringLocation}" -o table