Grundlegende Informationen

Netzwerke innerhalb von Azure fungieren als integraler Bestandteil seiner Cloud-Computing-Plattform und ermöglichen die Verbindung und Kommunikation zwischen verschiedenen Azure-Diensten und Ressourcen. Die Netzwerkarchitektur in Azure ist darauf ausgelegt, hoch skalierbar, sicher und anpassbar zu sein.

Azure bietet im Kern ein virtuelles Netzwerk (VNet), das es Benutzern ermöglicht, isolierte Netzwerke innerhalb der Azure-Cloud zu erstellen. Innerhalb dieser VNets können Ressourcen wie virtuelle Maschinen, Anwendungen und Datenbanken sicher gehostet und verwaltet werden. Das Networking in Azure unterstützt sowohl die Kommunikation innerhalb der Cloud (zwischen Azure-Diensten) als auch die Verbindung zu externen Netzwerken und dem Internet.

Sicherheit ist ein entscheidender Aspekt des Azure-Netzwerks, mit verschiedenen Tools und Diensten zum Schutz von Daten, zur Verwaltung des Zugriffs und zur Gewährleistung der Compliance. Diese Sicherheitsmaßnahmen umfassen Firewalls, Netzwerksicherheitsgruppen und Verschlüsselungs-Funktionen, die eine hohe Kontrolle über den Datenverkehr und den Zugriff ermöglichen.

Insgesamt sind die Netzwerkfunktionen von Azure darauf ausgelegt, Flexibilität zu bieten, sodass Benutzer eine Netzwerkumgebung erstellen können, die ihren spezifischen Anwendungs- und Arbeitslastanforderungen entspricht, während ein starker Schwerpunkt auf Sicherheit und Zuverlässigkeit gelegt wird.

Virtuelles Netzwerk (VNET) & Subnetze

Ein VNet in Azure ist im Wesentlichen eine Darstellung Ihres eigenen Netzwerks in der Cloud. Es handelt sich um eine logische Isolierung der Azure-Cloud, die Ihrem Abonnement gewidmet ist. Ein VNet ermöglicht es Ihnen, virtuelle private Netzwerke (VPNs) in Azure bereitzustellen und zu verwalten und kann verwendet werden, um verschiedene Arten von Azure-Ressourcen wie Virtuelle Maschinen (VMs), Datenbanken und Anwendungsdienste zu hosten und zu verwalten.

VNets bieten Ihnen volle Kontrolle über Ihre Netzwerkeinstellungen, einschließlich IP-Adressbereichen, Subnetzerstellung, Routentabellen und Netzwerkgateways.

Ein Subnetz ist ein Bereich von IP-Adressen in Ihrem VNet. Sie können ein VNet in mehrere Subnetze für Organisation und Sicherheit unterteilen. Jedes Subnetz in einem VNet kann verwendet werden, um Ressourcen gemäß Ihrer Netzwerk- und Anwendungsarchitektur zu isolieren und zu gruppieren.

Darüber hinaus ermöglichen Subnetze Ihnen, Ihr VNet in ein oder mehrere Teilnetze zu unterteilen, die einen Bereich von IP-Adressen bereitstellen, den Ressourcen nutzen können.

Beispiel

• Angenommen, Sie haben ein VNet mit dem Namen MyVNet mit einem IP-Adressbereich von 10.0.0.0/16. Sie können ein Subnetz innerhalb dieses VNets erstellen, sagen wir Subnet-1, mit einem IP-Adressbereich von 10.0.0.0/24 zur Bereitstellung Ihrer Webserver. Ein weiteres Subnetz, Subnet-2 mit einem Bereich von 10.0.1.0/24, könnte für Ihre Datenbankserver verwendet werden. Diese Segmentierung ermöglicht eine effiziente Verwaltung und Sicherheitskontrollen innerhalb des Netzwerks.

Enumeration

Um alle VNets und Subnetze in einem Azure-Konto aufzulisten, können Sie die Azure-Befehlszeilenschnittstelle (CLI) verwenden. Hier sind die Schritte:

# List VNets
az network vnet list --query "[].{name:name, location:location, addressSpace:addressSpace}" -o table

# List subnets of a VNet
az network vnet subnet list --resource-group <ResourceGroupName> --vnet-name <VNetName> --query "[].{name:name, addressPrefix:addressPrefix}" -o table

Netzwerksicherheitsgruppen (NSG)

In Azure dient eine Netzwerksicherheitsgruppe (NSG) hauptsächlich dazu, den Netzwerkverkehr zu filtern, der sowohl zu als auch von Azure-Ressourcen innerhalb eines Azure Virtual Network (VNet) fließt. Sie enthält eine Reihe von Sicherheitsregeln, die den Fluss des Netzwerkverkehrs genau festlegen.

Wichtige Aspekte von NSG sind:

• Verkehrssteuerung: Jede NSG enthält Regeln, die entweder dabei helfen, den eingehenden und ausgehenden Netzwerkverkehr von verschiedenen Azure-Ressourcen zu erlauben oder zu blockieren.

• Regelkomponenten: Die Regeln innerhalb einer NSG sind sehr spezifisch und filtern den Verkehr basierend auf Kriterien wie Quell-/Ziel-IP-Adresse, Port und Protokoll. Diese Spezifität ermöglicht eine granulare Verwaltung des Netzwerkverkehrs.

• Sicherheitsverbesserung: Indem nur autorisierter Verkehr Ihre Azure-Ressourcen betreten oder verlassen kann, spielen NSGs eine entscheidende Rolle bei der Stärkung der Sicherheitslage Ihrer Netzwerkinfrastruktur.

Beispiel

• Stellen Sie sich vor, Sie haben eine NSG mit dem Namen MeineNSG, die auf einem Subnetz oder einer spezifischen virtuellen Maschine in Ihrem VNet angewendet wird. Sie können Regeln erstellen wie:

• Eine eingehende Regel, die HTTP-Verkehr (Port 80) von jeder Quelle zu Ihren Webservern erlaubt.

• Eine ausgehende Regel, die nur SQL-Verkehr (Port 1433) zu einem bestimmten Ziel-IP-Adressbereich erlaubt.

Enumeration

# List NSGs
az network nsg list --query "[].{name:name, location:location}" -o table

# Get NSG rules
az network nsg rule list --nsg-name <NSGName> --resource-group <ResourceGroupName> --query "[].{name:name, priority:priority, direction:direction, access:access, protocol:protocol, sourceAddressPrefix:sourceAddressPrefix, destinationAddressPrefix:destinationAddressPrefix, sourcePortRange:sourcePortRange, destinationPortRange:destinationPortRange}" -o table

Azure Firewall

Azure Firewall ist ein verwalteter, cloudbasierter Netzwerksicherheitsdienst, der Ihre Azure Virtual Network-Ressourcen schützt. Es handelt sich um eine vollständig zustandsbehaftete Firewall als Dienst mit integrierten Funktionen für hohe Verfügbarkeit und Skalierbarkeit.

Azure Firewall bietet fortgeschrittenere Funktionen als NSGs, einschließlich Filterung auf Anwendungsebene, Filterung auf Netzwerkebene, Filterung auf der Grundlage von Bedrohungsintelligenz sowie Integration mit Azure Monitor für Protokollierung und Analyse. Es kann ausgehenden, eingehenden, Sprechen-zu-Sprechen-, VPN- und ExpressRoute-Verkehr filtern. Firewall-Regeln können basierend auf FQDN (Vollständiger Domänenname), IP-Adressen und Ports erstellt werden.

Unterschiede zwischen Azure Firewall und NSGs

1. Umfang:

• NSG: Funktioniert auf der Subnetz- oder Netzwerkschnittstellenebene. Es soll grundlegende Filterung des ein- und ausgehenden Datenverkehrs von Netzwerkschnittstellen (NIC), VMs oder Subnetzen bereitstellen.

• Azure Firewall: Arbeitet auf der VNet-Ebene und bietet einen breiteren Schutzumfang. Es ist darauf ausgelegt, Ihre virtuellen Netzwerkressourcen zu sichern und den Datenverkehr in und aus dem VNet zu verwalten.

2. Fähigkeiten:

• NSG: Bietet grundlegende Filterfunktionen basierend auf IP-Adresse, Port und Protokoll. Es unterstützt keine fortgeschrittenen Funktionen wie Überprüfung auf Anwendungsebene oder Bedrohungsintelligenz.

• Azure Firewall: Bietet fortgeschrittene Funktionen wie Filterung des Datenverkehrs auf Anwendungsebene (Layer 7), Filterung auf der Grundlage von Bedrohungsintelligenz, Netzwerkdatenverkehr-Filterung und mehr. Es unterstützt auch mehrere öffentliche IP-Adressen.

3. Anwendungsfälle:

• NSG: Ideal für grundlegende Filterung des Netzwerkdatenverkehrs auf Ebene des Netzwerks.

• Azure Firewall: Geeignet für komplexere Filterungsszenarien, bei denen Steuerung auf Anwendungsebene, Protokollierung und Bedrohungsintelligenz erforderlich sind.

4. Verwaltung und Überwachung:

• NSG: Bietet grundlegende Protokollierung und Integration mit Azure Monitor.

• Azure Firewall: Bietet erweiterte Protokollierungs- und Analysefunktionen über Azure Monitor, die für das Verständnis der Art und des Musters des Datenverkehrs unerlässlich sind.

Enumeration

# List Azure Firewalls
az network firewall list --query "[].{name:name, location:location, subnet:subnet, publicIp:publicIp}" -o table

# Get network rules of a firewall
az network firewall network-rule collection list --firewall-name <FirewallName> --resource-group <ResourceGroupName> --query "[].{name:name, rules:rules}" -o table

# Get application rules of a firewall
az network firewall application-rule collection list --firewall-name <FirewallName> --resource-group <ResourceGroupName> --query "[].{name:name, rules:rules}" -o table

# Get nat rules of a firewall
az network firewall nat-rule collection list --firewall-name <FirewallName> --resource-group <ResourceGroupName> --query "[].{name:name, rules:rules}" -o table

Netzwerk-Virtualisierungsgerät (NVA)

Ein Netzwerk-Virtualisierungsgerät (NVA) in Azure ist ein virtuelles Gerät, das Netzwerkfunktionen innerhalb eines virtuellen Netzwerks ausführt. NVAs werden typischerweise für Netzwerkfunktionen verwendet, die in Azure nicht nativ verfügbar sind oder wenn mehr Anpassung erforderlich ist. Sie sind im Wesentlichen VMs, die Netzwerkanwendungen oder -dienste ausführen, wie z. B. Firewalls, WAN-Optimierer oder Lastenausgleicher.

NVAs werden für komplexe Routing-, Sicherheits- und Netzwerkverkehrsverwaltungsaufgaben verwendet. Sie können aus dem Azure Marketplace bereitgestellt werden, wo viele Drittanbieter ihre Geräte anbieten, die für die Integration in Azure-Umgebungen bereit sind.

Beispiel

• Eine Organisation kann ein NVA in Azure bereitstellen, um eine benutzerdefinierte Firewall-Lösung zu erstellen. Dieses NVA könnte eine Firewall-Software von Drittanbietern ausführen und erweiterte Funktionen wie Eindringungserkennung, Paketinspektion oder VPN-Konnektivität bieten. Das NVA kann so konfiguriert werden, dass es den durchlaufenden Datenverkehr überprüft und filtert, um sicherzustellen, dass erweiterte Sicherheitsmaßnahmen gemäß den Richtlinien der Organisation implementiert sind.

Enumeration

# Usually NVAs are named or tagged in a way to distinguish them from other VMs
az vm list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

# For a specific VM identified as an NVA, list its network interfaces
az vm nic list --vm-name <VMName> --resource-group <ResourceGroupName> --query "[].{id:id}" -o table

Azure Routentabellen & Benutzerdefinierte Routen (UDR)

Azure Routentabellen sind eine Funktion innerhalb von Microsoft Azure, die die Steuerung der Netzwerkverkehrsweiterleitung innerhalb von Azure Virtual Networks (VNets) ermöglicht. Sie definieren im Wesentlichen, wie Pakete zwischen Subnetzen innerhalb von VNets, zwischen VNets oder zu externen Netzwerken weitergeleitet werden. Jede Routentabelle enthält eine Reihe von Regeln, bekannt als Routen, die angeben, wie Pakete basierend auf ihren Ziel-IP-Adressen geroutet werden sollen.

Benutzerdefinierte Routen (UDR) in Azure sind benutzerdefinierte Routen, die Sie innerhalb von Azure Routentabellen erstellen, um den Fluss des Netzwerkverkehrs innerhalb und zwischen Azure Virtual Networks (VNets) sowie zu externen Verbindungen zu steuern. UDRs geben Ihnen die Flexibilität, den Netzwerkverkehr gemäß Ihren spezifischen Anforderungen zu leiten und Azure's Standard-Routingentscheidungen außer Kraft zu setzen.

Diese Routen sind besonders nützlich für Szenarien, in denen Sie den Verkehr durch eine virtuelle Appliance routen müssen, einen bestimmten Pfad für Sicherheits- oder Richtlinienkonformität durchsetzen müssen oder mit On-Premises-Netzwerken integrieren müssen.

Beispiel

• Angenommen, Sie haben eine Network Virtual Appliance (NVA) bereitgestellt, um den Verkehr zwischen Subnetzen innerhalb eines VNets zu inspizieren. Sie können eine UDR erstellen, die den gesamten Verkehr von einem Subnetz zu einem anderen Subnetz durch die NVA leitet. Diese UDR stellt sicher, dass die NVA den Verkehr zu Sicherheitszwecken inspiziert, bevor er sein Ziel erreicht.

Enumeration

# List Route Tables
az network route-table list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

# List UDRs for a table
az network route-table route list --route-table-name <RouteTableName> --resource-group <ResourceGroupName> --query "[].{name:name, addressPrefix:addressPrefix, nextHopType:nextHopType, nextHopIpAddress:nextHopIpAddress}" -o table

Azure Private Link

Azure Private Link ist ein Dienst in Azure, der privaten Zugriff auf Azure-Dienste ermöglicht, indem sichergestellt wird, dass der Datenverkehr zwischen Ihrem Azure Virtual Network (VNet) und dem Dienst ausschließlich innerhalb des Azure-Backbonenetzes von Microsoft verläuft. Es bringt den Dienst effektiv in Ihr VNet. Diese Konfiguration erhöht die Sicherheit, da die Daten nicht dem öffentlichen Internet ausgesetzt sind.

Private Link kann mit verschiedenen Azure-Diensten wie Azure Storage, Azure SQL-Datenbank und benutzerdefinierten Diensten, die über Private Link freigegeben sind, verwendet werden. Es bietet eine sichere Möglichkeit, Dienste aus Ihrem eigenen VNet oder sogar aus verschiedenen Azure-Abonnements zu nutzen.

Beispiel

• Nehmen Sie ein Szenario an, in dem Sie auf eine Azure SQL-Datenbank sicher von Ihrem VNet aus zugreifen möchten. Normalerweise würde dies die Nutzung des öffentlichen Internets beinhalten. Mit Private Link können Sie einen privaten Endpunkt in Ihrem VNet erstellen, der direkt mit dem Azure SQL-Datenbankdienst verbunden ist. Dieser Endpunkt lässt die Datenbank so erscheinen, als ob sie Teil Ihres eigenen VNet ist, erreichbar über eine private IP-Adresse, was einen sicheren und privaten Zugriff gewährleistet.

Enumeration

# List Private Link Services
z network private-link-service list --query "[].{name:name, location:location, resourceGroup:resourceGroup}" -o table

# List Private Endpoints
az network private-endpoint list --query "[].{name:name, location:location, resourceGroup:resourceGroup, privateLinkServiceConnections:privateLinkServiceConnections}" -o table

Azure-Dienstendpunkte

Azure-Dienstendpunkte erweitern Ihren privaten Adressbereich des virtuellen Netzwerks und die Identität Ihres VNets über eine direkte Verbindung auf Azure-Dienste. Durch Aktivieren von Dienstendpunkten können Ressourcen in Ihrem VNet sicher mit Azure-Diensten wie Azure Storage und Azure SQL-Datenbank über das Backbone-Netzwerk von Azure verbunden werden. Dies stellt sicher, dass der Datenverkehr vom VNet zum Azure-Dienst innerhalb des Azure-Netzwerks bleibt, was einen sichereren und zuverlässigeren Pfad bietet.

Beispiel

• Zum Beispiel ist ein Azure Storage-Konto standardmäßig über das öffentliche Internet erreichbar. Durch Aktivieren eines Dienstendpunkts für Azure Storage innerhalb Ihres VNets können Sie sicherstellen, dass nur der Datenverkehr aus Ihrem VNet auf das Speicherkonto zugreifen kann. Die Firewall des Speicherkontos kann dann so konfiguriert werden, dass nur Datenverkehr aus Ihrem VNet akzeptiert wird.

Enumeration

# List Virtual Networks with Service Endpoints
az network vnet list --query "[].{name:name, location:location, serviceEndpoints:serviceEndpoints}" -o table

# List Subnets with Service Endpoints
az network vnet subnet list --resource-group <ResourceGroupName> --vnet-name <VNetName> --query "[].{name:name, serviceEndpoints:serviceEndpoints}" -o table

Unterschiede zwischen Service-Endpunkten und privaten Verknüpfungen

Microsoft empfiehlt die Verwendung von privaten Verknüpfungen in der Dokumentation:\

Service-Endpunkte:

• Der Datenverkehr von Ihrem VNet zum Azure-Dienst erfolgt über das Microsoft Azure-Backbonenetzwerk und umgeht das öffentliche Internet.

• Der Endpunkt ist eine direkte Verbindung zum Azure-Dienst und stellt keine private IP für den Dienst innerhalb des VNet bereit.

• Der Dienst selbst ist weiterhin über seinen öffentlichen Endpunkt von außerhalb Ihres VNet erreichbar, es sei denn, Sie konfigurieren die Dienstfirewall, um einen solchen Datenverkehr zu blockieren.

• Es besteht eine Eins-zu-Eins-Beziehung zwischen dem Subnetz und dem Azure-Dienst.

• Günstiger als private Verknüpfungen.

Private Verknüpfungen:

• Private Link ordnet Azure-Dienste über einen privaten Endpunkt in Ihr VNet ein, der eine Netzwerkschnittstelle mit einer privaten IP-Adresse innerhalb Ihres VNet ist.

• Der Azure-Dienst wird über diese private IP-Adresse aufgerufen, sodass er wie ein Teil Ihres Netzwerks erscheint.

• Über Private Link verbundene Dienste können nur von Ihrem VNet oder verbundenen Netzwerken aus zugegriffen werden; es gibt keinen öffentlichen Internetzugriff auf den Dienst.

• Es ermöglicht eine sichere Verbindung zu Azure-Diensten oder Ihren eigenen in Azure gehosteten Diensten sowie eine Verbindung zu von anderen geteilten Diensten.

• Es bietet eine genauere Zugriffssteuerung über einen privaten Endpunkt in Ihrem VNet im Gegensatz zu einer breiteren Zugriffssteuerung auf Subnetzebene mit Service-Endpunkten.

Zusammenfassend bieten sowohl Service-Endpunkte als auch private Verknüpfungen eine sichere Konnektivität zu Azure-Diensten, Private Links bieten jedoch ein höheres Maß an Isolation und Sicherheit, indem sichergestellt wird, dass Dienste privat zugegriffen werden, ohne sie dem öffentlichen Internet auszusetzen. Service-Endpunkte hingegen sind einfacher einzurichten für allgemeine Fälle, in denen ein einfacher, sicherer Zugriff auf Azure-Dienste erforderlich ist, ohne die Notwendigkeit einer privaten IP im VNet.

Azure Front Door (AFD) & AFD WAF

Azure Front Door ist ein skalierbarer und sicherer Einstiegspunkt für die schnelle Bereitstellung Ihrer globalen Webanwendungen. Es kombiniert verschiedene Dienste wie globales Lastenausgleich, Seitenbeschleunigung, SSL-Entlastung und Web Application Firewall (WAF)-Funktionen in einem einzigen Dienst. Azure Front Door bietet eine intelligente Routenführung basierend auf dem nächsten Edge-Standort des Benutzers, um optimale Leistung und Zuverlässigkeit zu gewährleisten. Darüber hinaus bietet es routenbasierte Routenführung, Hosting mehrerer Websites, Sitzungsaffinität und Sicherheit auf Anwendungsebene.

Azure Front Door WAF ist darauf ausgelegt, Webanwendungen vor webbasierten Angriffen zu schützen, ohne dass Änderungen am Backend-Code erforderlich sind. Es enthält benutzerdefinierte Regeln und verwaltete Regelsets zum Schutz vor Bedrohungen wie SQL-Injektion, Cross-Site-Scripting und anderen gängigen Angriffen.

Beispiel

• Stellen Sie sich vor, Sie haben eine global verteilte Anwendung mit Benutzern auf der ganzen Welt. Sie können Azure Front Door verwenden, um Benutzeranfragen zum nächstgelegenen regionalen Rechenzentrum zu leiten, das Ihre Anwendung hostet, um die Latenz zu reduzieren, die Benutzererfahrung zu verbessern und sie vor Webangriffen mit den WAF-Funktionen zu schützen. Wenn eine bestimmte Region Ausfallzeiten hat, kann Azure Front Door den Datenverkehr automatisch zum nächsten besten Standort umleiten, um eine hohe Verfügbarkeit sicherzustellen.

Enumeration

# List Azure Front Door Instances
az network front-door list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

# List Front Door WAF Policies
az network front-door waf-policy list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

Azure Application Gateway und Azure Application Gateway WAF

Azure Application Gateway ist ein Web-Traffic-Lastenausgleicher, der es Ihnen ermöglicht, den Verkehr zu Ihren Web-Anwendungen zu verwalten. Es bietet Layer 7-Lastenausgleich, SSL-Terminierung und Web Application Firewall (WAF)-Funktionen im Application Delivery Controller (ADC) als Service. Zu den wichtigsten Funktionen gehören routing basierend auf URLs, session affinity basierend auf Cookies und SSL-Offloading, die für Anwendungen, die komplexe Lastenausgleichsfunktionen wie globales Routing und routing basierend auf Pfaden erfordern, entscheidend sind.

Beispiel

• Betrachten Sie ein Szenario, in dem Sie eine E-Commerce-Website haben, die mehrere Subdomains für verschiedene Funktionen wie Benutzerkonten und Zahlungsabwicklung enthält. Azure Application Gateway kann den Verkehr zu den entsprechenden Webservern basierend auf dem URL-Pfad routen. Zum Beispiel könnte der Verkehr zu beispiel.com/konten zum Benutzerkonten-Service geleitet werden und der Verkehr zu beispiel.com/zahlung zum Zahlungsabwicklungs-Service. Und schützen Sie Ihre Website vor Angriffen mithilfe der WAF-Funktionen.

Enumeration

# List the Web Application Firewall configurations for your Application Gateways
az network application-gateway waf-config list --gateway-name <AppGatewayName> --resource-group <ResourceGroupName> --query "[].{name:name, firewallMode:firewallMode, ruleSetType:ruleSetType, ruleSetVersion:ruleSetVersion}" -o table

Azure Hub, Spoke & VNet Peering

VNet Peering ist ein Netzwerkfeature in Azure, das es verschiedenen virtuellen Netzwerken (VNets) ermöglicht, direkt und nahtlos verbunden zu werden. Durch VNet-Peering können Ressourcen in einem VNet mit Ressourcen in einem anderen VNet über private IP-Adressen kommunizieren, als ob sie sich im selben Netzwerk befinden würden. VNet-Peering kann auch mit On-Premise-Netzwerken verwendet werden, indem eine Site-to-Site-VPN oder Azure ExpressRoute eingerichtet wird.

Azure Hub und Spoke ist eine Netzwerktopologie, die in Azure zur Verwaltung und Organisation des Netzwerkverkehrs verwendet wird. Der "Hub" ist ein zentraler Punkt, der den Verkehr zwischen verschiedenen "Spokes" steuert und routet. Der Hub enthält in der Regel gemeinsam genutzte Dienste wie Netzwerk-Virtual-Appliances (NVAs), Azure VPN Gateway, Azure Firewall oder Azure Bastion. Die "Spokes" sind VNets, die Workloads hosten und über VNet-Peering mit dem Hub verbunden sind, was es ihnen ermöglicht, die gemeinsam genutzten Dienste im Hub zu nutzen. Dieses Modell fördert ein sauberes Netzwerklayout, reduziert die Komplexität, indem gemeinsame Dienste zentralisiert werden, die von mehreren Workloads in verschiedenen VNets genutzt werden können.

Beispiele

• Stellen Sie sich ein Unternehmen mit separaten Abteilungen wie Vertrieb, Personalwesen und Entwicklung vor, jede mit ihrem eigenen VNet (den Spokes). Diese VNets benötigen Zugriff auf gemeinsam genutzte Ressourcen wie eine zentrale Datenbank, eine Firewall und ein Internet-Gateway, die sich alle in einem anderen VNet (dem Hub) befinden. Durch Verwendung des Hub- und Spoke-Modells kann jede Abteilung sicher mit den gemeinsam genutzten Ressourcen über das Hub-VNet verbunden werden, ohne diese Ressourcen dem öffentlichen Internet auszusetzen oder eine komplexe Netzwerkstruktur mit zahlreichen Verbindungen zu erstellen.

Enumeration

# List all VNets in your subscription
az network vnet list --query "[].{name:name, location:location, addressSpace:addressSpace}" -o table

# List VNet peering connections for a given VNet
az network vnet peering list --resource-group <ResourceGroupName> --vnet-name <VNetName> --query "[].{name:name, peeringState:peeringState, remoteVnetId:remoteVnetId}" -o table

# List Shared Resources (e.g., Azure Firewall) in the Hub
az network firewall list --query "[].{name:name, location:location, resourceGroup:resourceGroup}" -o table

Standort-zu-Standort-VPN

Ein Standort-zu-Standort-VPN in Azure ermöglicht es Ihnen, Ihr lokales Netzwerk mit Ihrem Azure Virtual Network (VNet) zu verbinden, sodass Ressourcen wie VMs innerhalb von Azure so erscheinen, als wären sie in Ihrem lokalen Netzwerk. Diese Verbindung wird über ein VPN-Gateway hergestellt, das den Datenverkehr zwischen den beiden Netzwerken verschlüsselt.

Beispiel

• Ein Unternehmen mit seinem Hauptsitz in New York verfügt über ein lokales Rechenzentrum, das sicher mit seinem VNet in Azure verbunden werden muss, in dem seine virtualisierten Workloads gehostet werden. Durch die Einrichtung eines Standort-zu-Standort-VPNs kann das Unternehmen eine verschlüsselte Verbindung zwischen den lokalen Servern und den Azure-VMs sicherstellen, sodass Ressourcen sicher in beiden Umgebungen abgerufen werden können, als ob sie sich im selben lokalen Netzwerk befinden.

Enumeration

# List VPN Gateways
az network vnet-gateway list --query "[].{name:name, location:location, resourceGroup:resourceGroup}" -o table

# List VPN Connections
az network vpn-connection list --gateway-name <VpnGatewayName> --resource-group <ResourceGroupName> --query "[].{name:name, connectionType:connectionType, connectionStatus:connectionStatus}" -o table

Azure ExpressRoute

Azure ExpressRoute ist ein Dienst, der eine private, dedizierte, Hochgeschwindigkeitsverbindung zwischen Ihrer lokalen Infrastruktur und den Azure-Rechenzentren bereitstellt. Diese Verbindung erfolgt über einen Konnektivitätsanbieter, umgeht das öffentliche Internet und bietet mehr Zuverlässigkeit, schnellere Geschwindigkeiten, geringere Latenzen und höhere Sicherheit als typische Internetverbindungen.

Beispiel

• Ein multinationales Unternehmen benötigt eine konsistente und zuverlässige Verbindung zu seinen Azure-Diensten aufgrund des hohen Datenvolumens und des Bedarfs an hoher Durchsatzleistung. Das Unternehmen entscheidet sich für Azure ExpressRoute, um sein lokales Rechenzentrum direkt mit Azure zu verbinden, um groß angelegte Datentransfers wie tägliche Backups und Echtzeit-Datenanalysen mit verbesserter Privatsphäre und Geschwindigkeit zu ermöglichen.

Enumeration

# List ExpressRoute Circuits
az network express-route list --query "[].{name:name, location:location, resourceGroup:resourceGroup, serviceProviderName:serviceProviderName, peeringLocation:peeringLocation}" -o table