Βασικές Πληροφορίες

Τα δίκτυα εντός του Azure λειτουργούν ως αναπόσπαστο μέρος της πλατφόρμας υπολογιστικού νέφους του, επιτρέποντας τη σύνδεση και επικοινωνία μεταξύ διάφορων υπηρεσιών και πόρων του Azure. Η αρχιτεκτονική δικτύου στο Azure σχεδιάστηκε να είναι υψηλά κλιμακούμενη, ασφαλής και προσαρμόσιμη.

Στην ουσία του, το Azure παρέχει ένα εικονικό δίκτυο (VNet) που επιτρέπει στους χρήστες να δημιουργήσουν απομονωμένα δίκτυα μέσα στο νέφος του Azure. Μέσα σε αυτά τα VNet, πόροι όπως εικονικές μηχανές, εφαρμογές και βάσεις δεδομένων μπορούν να φιλοξενούνται και να διαχειρίζονται με ασφάλεια. Το δίκτυο στο Azure υποστηρίζει τόσο την επικοινωνία εντός του νέφους (μεταξύ υπηρεσιών του Azure) όσο και τη σύνδεση με εξωτερικά δίκτυα και το διαδίκτυο.

Η ασφάλεια είναι ένα κρίσιμο στοιχείο του δικτύου Azure, με διάφορα εργαλεία και υπηρεσίες διαθέσιμα για την προστασία δεδομένων, τη διαχείριση πρόσβασης και τη διασφάλιση συμμόρφωσης. Αυτά τα μέτρα ασφαλείας περιλαμβάνουν firewalls, ομάδες ασφαλείας δικτύου και δυνατότητες κρυπτογράφησης, επιτρέποντας έτσι ένα υψηλό επίπεδο ελέγχου της κίνησης και της πρόσβασης.

Συνολικά, οι δυνατότητες δικτύωσης του Azure σχεδιάστηκαν για να προσφέρουν ευελιξία, επιτρέποντας στους χρήστες να δημιουργήσουν ένα περιβάλλον δικτύου που να ταιριάζει με τις συγκεκριμένες ανάγκες της εφαρμογής και του φορτίου εργασίας τους, διατηρώντας ταυτόχρονα έντονη έμφαση στην ασφάλεια και την αξιοπιστία.

Εικονικό Δίκτυο (VNET) & Υποδίκτυα

Ένα VNet στο Azure είναι ουσιαστικά μια αναπαράσταση του δικού σας δικτύου στο νέφος. Αποτελεί μια λογική απομόνωση του νέφους του Azure που είναι αφιερωμένη στη συνδρομή σας. Ένα VNet σάς επιτρέπει να προβλέπετε και να διαχειρίζεστε εικονικά ιδιωτικά δίκτυα (VPNs) στο Azure και μπορεί να χρησιμοποιηθεί για τη φιλοξενία και τη διαχείριση πολλών τύπων πόρων του Azure, όπως Εικονικές Μηχανές (VMs), βάσεις δεδομένων και υπηρεσίες εφαρμογών.

Τα VNet σάς παρέχουν πλήρη έλεγχο επί των ρυθμίσεων του δικτύου σας, συμπεριλαμβανομένων των εύρων διευθύνσεων IP, τη δημιουργία υποδικτύων, των πινάκων δρομολόγησης και των πυλών δικτύου.

Ένα υποδίκτυο είναι ένα εύρος διευθύνσεων IP στο VNet σας. Μπορείτε να διαιρέσετε ένα VNet σε πολλά υποδίκτυα για οργάνωση και ασφάλεια. Κάθε υποδίκτυο σε ένα VNet μπορεί να χρησιμοποιηθεί για την απομόνωση και την ομαδοποίηση πόρων σύμφωνα με τη δικτυακή και αρχιτεκτονική εφαρμογών σας.

Επιπλέον, τα υποδίκτυα σάς επιτρέπουν να διαχωρίσετε το VNet σας σε ένα ή περισσότερα υπο-δίκτυα, παρέχοντας ένα εύρος διευθύνσεων IP που μπορούν να χρησιμοποιήσουν οι πόροι.

Παράδειγμα

• Υποθέστε ότι έχετε ένα VNet με το όνομα MyVNet με ένα εύρος διευθύνσεων IP 10.0.0.0/16. Μπορείτε να δημιουργήσετε ένα υποδίκτυο μέσα σε αυτό το VNet, ας πούμε Subnet-1, με ένα εύρος διευθύνσεων IP 10.0.0.0/24 για τη φιλοξενία των διακομιστών ιστού σας. Ένα άλλο υποδίκτυο, Subnet-2 με ένα εύρος 10.0.1.0/24, θα μπορούσε να χρησιμοποιηθεί για τους διακομιστές βάσεων δεδομένων σας. Αυτή η διαίρεση επιτρέπει αποτελεσματική διαχείριση και έλεγχο ασφαλείας μέσα στο δίκτυο.

Απαρίθμηση

Για να εμφανίσετε όλα τα VNets και τα υποδίκτυα σε ένα λογαριασμό Azure, μπορείτε να χρησιμοποιήσετε το Περιβάλλον Εντολών του Azure (CLI). Εδώ είναι τα βήματα:

# List VNets
az network vnet list --query "[].{name:name, location:location, addressSpace:addressSpace}" -o table

# List subnets of a VNet
az network vnet subnet list --resource-group <ResourceGroupName> --vnet-name <VNetName> --query "[].{name:name, addressPrefix:addressPrefix}" -o table

Ομάδες Ασφαλείας Δικτύου (NSG)

Στο Azure, μια Ομάδα Ασφαλείας Δικτύου (NSG) εξυπηρετεί την κύρια λειτουργία του φιλτραρίσματος της κίνησης δικτύου τόσο προς όσο και από τους πόρους Azure εντός ενός Εικονικού Δικτύου Azure (VNet). Περιλαμβάνει ένα σύνολο κανόνων ασφαλείας που διατάσσουν λεπτομερώς τη ροή της κίνησης δικτύου.

Κύρια χαρακτηριστικά των NSG περιλαμβάνουν:

• Έλεγχος Κίνησης: Κάθε NSG περιέχει κανόνες που είναι ουσιώδεις είτε για την επιτροπή είτε για τον φραγμό της εισερχόμενης και εξερχόμενης κίνησης δικτύου που σχετίζεται με διάφορους πόρους Azure.

• Στοιχεία Κανόνων: Οι κανόνες εντός μιας NSG είναι υψηλά συγκεκριμένοι, φιλτράροντας την κίνηση βάσει κριτηρίων όπως διεύθυνση IP προέλευσης/προορισμού, θύρα και πρωτόκολλο. Αυτή η συγκεκριμένοτητα επιτρέπει τη διαχείριση της κίνησης δικτύου με γρανουλόμετρο.

• Ενίσχυση Ασφάλειας: Με το να εξασφαλίζουν ότι μόνο εξουσιοδοτημένη κίνηση μπορεί να εισέλθει ή να εξέλθει από τους πόρους Azure σας, οι NSG παίζουν ένα κρίσιμο ρόλο στην ενίσχυση της ασφάλειας της υποδομής δικτύου σας.

Παράδειγμα

• Φανταστείτε ότι έχετε μια NSG με το όνομα MyNSG που εφαρμόζεται σε ένα υποδίκτυο ή ένα συγκεκριμένο εικονικό μηχάνημα εντός του VNet σας. Μπορείτε να δημιουργήσετε κανόνες όπως:

• Έναν εισερχόμενο κανόνα που επιτρέπει την κίνηση HTTP (θύρα 80) από οποιαδήποτε πηγή προς τους διακομιστές web σας.

• Έναν εξερχόμενο κανόνα που επιτρέπει μόνο κίνηση SQL (θύρα 1433) προς ένα συγκεκριμένο εύρος διευθύνσεων IP προορισμού.

Απαρίθμηση

# List NSGs
az network nsg list --query "[].{name:name, location:location}" -o table

# Get NSG rules
az network nsg rule list --nsg-name <NSGName> --resource-group <ResourceGroupName> --query "[].{name:name, priority:priority, direction:direction, access:access, protocol:protocol, sourceAddressPrefix:sourceAddressPrefix, destinationAddressPrefix:destinationAddressPrefix, sourcePortRange:sourcePortRange, destinationPortRange:destinationPortRange}" -o table

Azure Firewall

Το Azure Firewall είναι ένα υπηρεσία δικτύου διαχειριζόμενη στο cloud που προστατεύει τους πόρους του εικονικού δικτύου Azure σας. Είναι ένα πλήρως stateful firewall ως υπηρεσία με ενσωματωμένες δυνατότητες υψηλής διαθεσιμότητας και επεκτασιμότητας.

Το Azure Firewall παρέχει πιο προηγμένες λειτουργίες από τα NSGs, συμπεριλαμβανομένης της φιλτράρισης σε επίπεδο εφαρμογής, φιλτράρισης σε επίπεδο δικτύου, φιλτράρισης βασισμένης σε απειλές και ολοκλήρωσης με το Azure Monitor για καταγραφή και αναλύσεις. Μπορεί να φιλτράρει την εξερχόμενη, εισερχόμενη, από spoke σε spoke, VPN και κυκλοφορία ExpressRoute. Οι κανόνες του firewall μπορούν να δημιουργηθούν βασιζόμενοι σε FQDN (Fully Qualified Domain Name), διευθύνσεις IP και θύρες.

Διαφορές μεταξύ Azure Firewall και NSGs

1. Εύρος:

• NSG: Λειτουργεί στο επίπεδο του υποδικτύου ή της διεπαφής δικτύου. Προορίζεται να παρέχει βασική φιλτράριση της εισερχόμενης και εξερχόμενης κυκλοφορίας από τις διεπαφές δικτύου (NIC), τις εικονικές μηχανές (VMs) ή τα υποδίκτυα.

• Azure Firewall: Λειτουργεί στο επίπεδο του VNet, παρέχοντας ένα ευρύτερο εύρος προστασίας. Σχεδιάστηκε για να ασφαλίζει τους πόρους του εικονικού δικτύου σας και να διαχειρίζεται την κυκλοφορία που ρέει μέσα και έξω από το VNet.

2. Δυνατότητες:

• NSG: Παρέχει βασικές δυνατότητες φιλτράρισης βασισμένες σε διεύθυνση IP, θύρα και πρωτόκολλο. Δεν υποστηρίζει προηγμένες λειτουργίες όπως έλεγχος σε επίπεδο εφαρμογής ή ανάλυση απειλών.

• Azure Firewall: Προσφέρει προηγμένες λειτουργίες όπως φιλτράριση κυκλοφορίας σε επίπεδο εφαρμογής (Επίπεδο 7), φιλτράριση βασισμένη σε απειλές, φιλτράριση κυκλοφορίας δικτύου και άλλα. Υποστηρίζει επίσης πολλαπλές δημόσιες διευθύνσεις IP.

3. Περιπτώσεις Χρήσης:

• NSG: Ιδανικό για βασική φιλτράριση κυκλοφορίας σε επίπεδο δικτύου.

• Azure Firewall: Κατάλληλο για πιο πολύπλοκες περιπτώσεις φιλτράρισης όπου απαιτείται έλεγχος σε επίπεδο εφαρμογής, καταγραφή και ανάλυση απειλών.

4. Διαχείριση και Παρακολούθηση:

• NSG: Προσφέρει βασική καταγραφή και ολοκλήρωση με το Azure Monitor.

• Azure Firewall: Παρέχει προηγμένες δυνατότητες καταγραφής και αναλύσεων μέσω του Azure Monitor, το οποίο είναι ουσιώδες για την κατανόηση της φύσης και του προτύπου της κυκλοφορίας.

Απαρίθμηση

# List Azure Firewalls
az network firewall list --query "[].{name:name, location:location, subnet:subnet, publicIp:publicIp}" -o table

# Get network rules of a firewall
az network firewall network-rule collection list --firewall-name <FirewallName> --resource-group <ResourceGroupName> --query "[].{name:name, rules:rules}" -o table

# Get application rules of a firewall
az network firewall application-rule collection list --firewall-name <FirewallName> --resource-group <ResourceGroupName> --query "[].{name:name, rules:rules}" -o table

# Get nat rules of a firewall
az network firewall nat-rule collection list --firewall-name <FirewallName> --resource-group <ResourceGroupName> --query "[].{name:name, rules:rules}" -o table

Δικτυακή Εικονική Συσκευή (NVA)

Μια Δικτυακή Εικονική Συσκευή (NVA) στο Azure είναι μια εικονική συσκευή που εκτελεί λειτουργίες δικτύου εντός ενός εικονικού δικτύου. Οι NVA χρησιμοποιούνται τυπικά για λειτουργίες δικτύου που δεν είναι διαθέσιμες φυσικά στο Azure ή όταν απαιτείται μεγαλύτερη προσαρμογή. Ουσιαστικά είναι Εικονικές Μηχανές που εκτελούν εφαρμογές ή υπηρεσίες δικτύου, όπως firewall, βελτιωτές WAN ή εξισορροπητές φορτίου.

Οι NVA χρησιμοποιούνται για πολύπλοκο δρομολόγηση, ασφάλεια και διαχείριση κίνησης δικτύου. Μπορούν να αναπτυχθούν από το Azure Marketplace, όπου πολλοί προμηθευτές τρίτων προσφέρουν τις συσκευές τους έτοιμες για ενσωμάτωση στο περιβάλλον του Azure.

Παράδειγμα

• Μια οργάνωση μπορεί να αναπτύξει ένα NVA στο Azure για να δημιουργήσει μια προσαρμοσμένη λύση firewall. Αυτό το NVA μπορεί να εκτελέσει λογισμικό firewall τρίτου μέρους, παρέχοντας προηγμένες λειτουργίες όπως ανίχνευση διείσδυσης, έλεγχο πακέτων ή συνδεσιμότητα VPN. Το NVA μπορεί να ρυθμιστεί να ελέγχει και να φιλτράρει την κίνηση που διέρχεται μέσω του, εξασφαλίζοντας ότι έχουν ληφθεί βελτιωμένα μέτρα ασφαλείας σύμφωνα με τις πολιτικές της οργάνωσης.

Απαρίθμηση

# Usually NVAs are named or tagged in a way to distinguish them from other VMs
az vm list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

# For a specific VM identified as an NVA, list its network interfaces
az vm nic list --vm-name <VMName> --resource-group <ResourceGroupName> --query "[].{id:id}" -o table

Πίνακες Δρομολόγησης Azure & Προσαρμοσμένες Διαδρομές Χρήστη (UDR)

Οι Πίνακες Δρομολόγησης Azure είναι μια λειτουργία εντός του Microsoft Azure που επιτρέπει τον έλεγχο της δρομολόγησης κίνησης δικτύου εντός των Εικονικών Δικτύων Azure (VNets). Βασικά, καθορίζουν πώς οι πακέτα προωθούνται μεταξύ υποδικτύων εντός των VNets, μεταξύ των VNets, ή προς εξωτερικά δίκτυα. Κάθε πίνακας δρομολόγησης περιέχει ένα σύνολο κανόνων, γνωστών ως διαδρομές, που καθορίζουν πώς θα πρέπει να δρομολογούνται τα πακέτα με βάση τις διευθύνσεις IP προορισμού τους.

Οι Προσαρμοσμένες Διαδρομές Χρήστη (UDR) στο Azure είναι προσαρμοσμένες διαδρομές που δημιουργείτε εντός των Πινάκων Δρομολόγησης Azure για τον έλεγχο της ροής της κίνησης δικτύου εντός και μεταξύ των Εικονικών Δικτύων Azure (VNets), καθώς και προς εξωτερικές συνδέσεις. Οι UDR σάς δίνουν την ευελιξία να κατευθύνετε την κίνηση δικτύου σύμφωνα με τις συγκεκριμένες απαιτήσεις σας, αντικαθιστώντας τις προεπιλεγμένες αποφάσεις δρομολόγησης του Azure.

Αυτές οι διαδρομές είναι ιδιαίτερα χρήσιμες για περιπτώσεις όπου χρειάζεται να δρομολογήσετε την κίνηση μέσω ενός εικονικού συσκευής, να επιβάλετε ένα συγκεκριμένο μονοπάτι για λόγους ασφάλειας ή συμμόρφωσης με πολιτικές, ή να ενσωματωθείτε με δίκτυα εντός των τοπικών εγκαταστάσεων.

Παράδειγμα

• Υποθέστε ότι έχετε αναπτύξει μια Εικονική Δικτυακή Συσκευή (NVA) για τον έλεγχο της κίνησης μεταξύ υποδικτύων εντός ενός VNet. Μπορείτε να δημιουργήσετε μια UDR που καθοδηγεί όλη την κίνηση από ένα υποδίκτυο σε ένα άλλο υποδίκτυο να περνά μέσω της NVA. Αυτή η UDR εξασφαλίζει ότι η NVA ελέγχει την κίνηση για λόγους ασφάλειας πριν φτάσει στον προορισμό της.

Απαρίθμηση

# List Route Tables
az network route-table list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

# List UDRs for a table
az network route-table route list --route-table-name <RouteTableName> --resource-group <ResourceGroupName> --query "[].{name:name, addressPrefix:addressPrefix, nextHopType:nextHopType, nextHopIpAddress:nextHopIpAddress}" -o table

Azure Ιδιωτική Σύνδεση

Η Azure Ιδιωτική Σύνδεση είναι ένα υπηρεσία στην Azure που επιτρέπει την ιδιωτική πρόσβαση σε υπηρεσίες Azure εξασφαλίζοντας ότι η κίνηση μεταξύ του εικονικού δικτύου Azure (VNet) σας και της υπηρεσίας διαδραματίζεται εξολοκλήρου εντός του δικτύου της Microsoft Azure. Αποτελεσματικά φέρνει την υπηρεσία στο VNet σας. Αυτή η ρύθμιση βελτιώνει την ασφάλεια μην εκθέτοντας τα δεδομένα στο δημόσιο internet.

Η Ιδιωτική Σύνδεση μπορεί να χρησιμοποιηθεί με διάφορες υπηρεσίες Azure, όπως Azure Storage, Azure SQL Database, και προσαρμοσμένες υπηρεσίες που κοινοποιούνται μέσω Ιδιωτικής Σύνδεσης. Παρέχει έναν ασφαλή τρόπο για την κατανάλωση υπηρεσιών από το εσωτερικό του δικού σας VNet ή ακόμα και από διαφορετικές συνδρομές Azure.

Παράδειγμα

• Ας υποθέσουμε ένα σενάριο όπου έχετε μια Βάση Δεδομένων Azure SQL που θέλετε να έχετε πρόσβαση με ασφάλεια από το VNet σας. Συνήθως, αυτό θα περιλάμβανε τη διέλευση από το δημόσιο internet. Με την Ιδιωτική Σύνδεση, μπορείτε να δημιουργήσετε ένα ιδιωτικό άκρο στο VNet σας που συνδέεται απευθείας με την υπηρεσία Azure SQL Database. Αυτό το άκρο κάνει τη βάση δεδομένων να φαίνεται ως μέρος του δικού σας VNet, προσβάσιμη μέσω ενός ιδιωτικού διευθύνσεως IP, εξασφαλίζοντας έτσι μια ασφαλή και ιδιωτική πρόσβαση.

Απαρίθμηση

# List Private Link Services
z network private-link-service list --query "[].{name:name, location:location, resourceGroup:resourceGroup}" -o table

# List Private Endpoints
az network private-endpoint list --query "[].{name:name, location:location, resourceGroup:resourceGroup, privateLinkServiceConnections:privateLinkServiceConnections}" -o table

Σημεία Υπηρεσιών Azure

Τα Σημεία Υπηρεσιών Azure επεκτείνουν τον ιδιωτικό χώρο διευθύνσεων του εικονικού δικτύου σας και την ταυτότητα του VNet σε υπηρεσίες Azure μέσω μιας άμεσης σύνδεσης. Ενεργοποιώντας τα σημεία υπηρεσιών, οι πόροι στο VNet σας μπορούν να συνδεθούν με ασφάλεια σε υπηρεσίες Azure, όπως το Azure Storage και η βάση δεδομένων Azure SQL, χρησιμοποιώντας το δίκτυο υποστήριξης του Azure. Αυτό εξασφαλίζει ότι η κίνηση από το VNet προς την υπηρεσία Azure παραμένει εντός του δικτύου Azure, παρέχοντας έναν πιο ασφαλή και αξιόπιστο δρόμο.

Παράδειγμα

• Για παράδειγμα, ένας λογαριασμός Azure Storage είναι προσβάσιμος από προεπιλογή μέσω του δημόσιου διαδικτύου. Ενεργοποιώντας ένα σημείο υπηρεσίας για το Azure Storage μέσα στο VNet σας, μπορείτε να εξασφαλίσετε ότι μόνο η κίνηση από το VNet σας μπορεί να έχει πρόσβαση στον λογαριασμό αποθήκευσης. Το τείχος πυρασφάλειας του λογαριασμού αποθήκευσης μπορεί στη συνέχεια να ρυθμιστεί ώστε να δέχεται κίνηση μόνο από το VNet σας.

Απαρίθμηση

# List Virtual Networks with Service Endpoints
az network vnet list --query "[].{name:name, location:location, serviceEndpoints:serviceEndpoints}" -o table

# List Subnets with Service Endpoints
az network vnet subnet list --resource-group <ResourceGroupName> --vnet-name <VNetName> --query "[].{name:name, serviceEndpoints:serviceEndpoints}" -o table

Διαφορές Μεταξύ Σημείων Υπηρεσίας και Ιδιωτικών Συνδέσεων

Η Microsoft συνιστά τη χρήση των Ιδιωτικών Συνδέσεων στα έγγραφα:\

Σημεία Υπηρεσίας:

• Η κίνηση από το VNet στην υπηρεσία Azure διέρχεται μέσω του δικτύου Microsoft Azure backbone, παρακάμπτοντας το δημόσιο internet.

• Το σημείο είναι μια άμεση σύνδεση με την υπηρεσία Azure και δεν παρέχει ιδιωτική IP για την υπηρεσία εντός του VNet.

• Η υπηρεσία αυτή εξακολουθεί να είναι προσβάσιμη μέσω του δημόσιου σημείου πρόσβασης της από έξω από το VNet σας εκτός εάν ρυθμίσετε το τείχος προστασίας της υπηρεσίας για να αποκλείσετε τέτοια κίνηση.

• Υπάρχει μια μονό-προς-μια σχέση μεταξύ του υποδικτύου και της υπηρεσίας Azure.

• Είναι λιγότερο ακριβό από τις Ιδιωτικές Συνδέσεις.

Ιδιωτικές Συνδέσεις:

• Οι Ιδιωτικές Συνδέσεις αντιστοιχούν τις υπηρεσίες Azure στο VNet σας μέσω ενός ιδιωτικού σημείου πρόσβασης, το οποίο είναι μια διεπαφή δικτύου με μια ιδιωτική διεύθυνση IP εντός του VNet σας.

• Η υπηρεσία Azure προσπελαύνεται χρησιμοποιώντας αυτήν την ιδιωτική διεύθυνση IP, κάνοντάς τη να φαίνεται ότι ανήκει στο δίκτυό σας.

• Οι υπηρεσίες που συνδέονται μέσω Ιδιωτικών Συνδέσεων μπορούν να προσπελαστούν μόνο από το VNet σας ή από συνδεδεμένα δίκτυα· δεν υπάρχει πρόσβαση από το δημόσιο internet στην υπηρεσία.

• Επιτρέπει μια ασφαλή σύνδεση με τις υπηρεσίες Azure ή τις δικές σας υπηρεσίες που φιλοξενούνται στο Azure, καθώς και μια σύνδεση με υπηρεσίες που μοιράζονται άλλοι.

• Παρέχει πιο λεπτομερή έλεγχο πρόσβασης μέσω ενός ιδιωτικού σημείου πρόσβασης στο VNet σας, αντί για ευρύτερο έλεγχο πρόσβασης στο επίπεδο του υποδικτύου με τα σημεία υπηρεσίας.

Συνολικά, ενώ τα Σημεία Υπηρεσίας και οι Ιδιωτικές Συνδέσεις παρέχουν ασφαλή συνδεσιμότητα με τις υπηρεσίες Azure, οι Ιδιωτικές Συνδέσεις προσφέρουν υψηλότερο επίπεδο απομόνωσης και ασφάλειας εξασφαλίζοντας ότι οι υπηρεσίες προσπελάζονται ιδιωτικά χωρίς να εκτίθενται στο δημόσιο internet. Τα Σημεία Υπηρεσίας, από την άλλη πλευρά, είναι πιο εύκολα να ρυθμιστούν για γενικές περιπτώσεις όπου απαιτείται απλή, ασφαλής πρόσβαση σε υπηρεσίες Azure χωρίς την ανάγκη για μια ιδιωτική IP στο VNet.

Azure Front Door (AFD) & AFD WAF

Το Azure Front Door είναι ένα κλιμακούμενο και ασφαλές σημείο εισόδου για τη γρήγορη παράδοση των παγκόσμιων web εφαρμογών σας. Συνδυάζει διάφορες υπηρεσίες όπως παγκόσμια εξισορρόπηση φορτίου, επιτάχυνση ιστοσελίδων, αποσυνδέσει SSL και δυνατότητες Πυροτεχνίας Εφαρμογών Ιστού (WAF) σε μια μόνο υπηρεσία. Το Azure Front Door παρέχει έξυπνη δρομολόγηση βασισμένη στη πλησιέστερη τοποθεσία άκρου προς τον χρήστη, εξασφαλίζοντας βέλτιστη απόδοση και αξιοπιστία. Επιπλέον, προσφέρει δρομολόγηση βασισμένη σε URL, φιλοξενία πολλαπλών ιστότοπων, αφοσίωση συνεδρίας και ασφάλεια στο επίπεδο εφαρμογής.

Το Azure Front Door WAF σχεδιάστηκε για να προστατεύει τις web εφαρμογές από επιθέσεις βασισμένες στο web χωρίς τροποποίηση του κώδικα πίσω από τον πίσω χώρο. Περιλαμβάνει προσαρμοσμένους κανόνες και σύνολα διαχειριζόμενων κανόνων για προστασία από απειλές όπως είναι η εισαγωγή SQL, η διασταύρωση σελίδων και άλλες κοινές επιθέσεις.

Παράδειγμα

• Φανταστείτε ότι έχετε μια εφαρμογή με παγκόσμια κατανομή με χρήστες σε όλο τον κόσμο. Μπορείτε να χρησιμοποιήσετε το Azure Front Door για να δρομολογείτε τις αιτήσεις των χρηστών στο πλησιέστερο περιφερειακό κέντρο δεδομένων που φιλοξενεί την εφαρμογή σας, μειώνοντας έτσι την καθυστέρηση, βελτιώνοντας την εμπειρία του χρήστη και προστατεύοντάς την από επιθέσεις με τις δυνατότητες WAF. Εάν μια συγκεκριμένη περιοχή αντιμετωπίζει διακοπές λειτουργίας, το Azure Front Door μπορεί αυτόματα να ανακατευθύνει την κίνηση στην επόμενη καλύτερη τοποθεσία, εξασφαλίζοντας υψηλή διαθεσιμότητα.

Απαρίθμηση

# List Azure Front Door Instances
az network front-door list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

# List Front Door WAF Policies
az network front-door waf-policy list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

Azure Πύλη Εφαρμογής και Azure Πύλη Εφαρμογής WAF

Η Πύλη Εφαρμογής Azure είναι ένας **ε

# List the Web Application Firewall configurations for your Application Gateways
az network application-gateway waf-config list --gateway-name <AppGatewayName> --resource-group <ResourceGroupName> --query "[].{name:name, firewallMode:firewallMode, ruleSetType:ruleSetType, ruleSetVersion:ruleSetVersion}" -o table

Azure Hub, Spoke & VNet Peering

Η σύνδεση δικτύου (VNet Peering) είναι μια λειτουργία δικτύωσης στο Azure που επιτρέπει σε διαφορετικά Εικονικά Δίκτυα (VNets) να συνδεθούν απευθείας και απροβλημάτιστα. Μέσω της σύνδεσης VNet, πόροι σε ένα VNet μπορούν να επικοινωνούν με πόρους σε ένα άλλο VNet χρησιμοποιώντας ιδιωτικές διευθύνσεις IP, όπως αν ήταν στο ίδιο δίκτυο. Η σύνδεση VNet μπορεί επίσης να χρησιμοποιηθεί με δίκτυα on-prem με τη δημιουργία ενός VPN site-to-site ή Azure ExpressRoute.

Το Azure Hub και Spoke είναι μια τοπολογία δικτύου που χρησιμοποιείται στο Azure για τη διαχείριση και οργάνωση της κίνησης στο δίκτυο. Το "hub" είναι ένα κεντρικό σημείο που ελέγχει και κατευθύνει την κίνηση μεταξύ διαφορετικών "spokes". Το hub περιλαμβάνει τυπικά κοινές υπηρεσίες όπως εικονικές συσκευές δικτύου (NVAs), Azure VPN Gateway, Azure Firewall ή Azure Bastion. Τα "spokes" είναι τα VNets που φιλοξενούν φορτία εργασίας και συνδέονται με το hub χρησιμοποιώντας τη σύνδεση VNet, επιτρέποντας τους να εκμεταλλευτούν τις κοινές υπηρεσίες εντός του hub. Αυτό το μοντέλο προωθεί ένα καθαρό διάταγμα δικτύου, μειώνοντας την πολυπλοκότητα με την κεντρική διαχείριση κοινών υπηρεσιών που μπορούν να χρησιμοποιούν πολλαπλά φορτία εργασίας σε διαφορετικά VNets.

Παραδείγματα

• Φανταστείτε μια εταιρεία με ξεχωριστά τμήματα όπως Πωλήσεις, Ανθρώπινο Δυναμικό και Ανάπτυξη, καθένα με το δικό του VNet (τα spokes). Αυτά τα VNets χρειάζονται πρόσβαση σε κοινούς πόρους όπως μια κεντρική βάση δεδομένων, ένα τείχος προστασίας και μια πύλη internet, τα οποία βρίσκονται όλα σε ένα άλλο VNet (το hub). Χρησιμοποιώντας το μοντέλο Hub και Spoke, κάθε τμήμα μπορεί να συνδεθεί ασφαλώς στους κοινούς πόρους μέσω του hub VNet χωρίς να εκθέτει αυτούς τους πόρους στο διαδίκτυο ή να δημιουργήσει ένα πολύπλοκο δίκτυο με πολλές συνδέσεις.

# List all VNets in your subscription
az network vnet list --query "[].{name:name, location:location, addressSpace:addressSpace}" -o table

# List VNet peering connections for a given VNet
az network vnet peering list --resource-group <ResourceGroupName> --vnet-name <VNetName> --query "[].{name:name, peeringState:peeringState, remoteVnetId:remoteVnetId}" -o table

# List Shared Resources (e.g., Azure Firewall) in the Hub
az network firewall list --query "[].{name:name, location:location, resourceGroup:resourceGroup}" -o table

Site-to-Site VPN

Ένα Site-to-Site VPN στο Azure σάς επιτρέπει να συνδέσετε το δίκτυο στον τόπο εργασίας σας με το Azure Virtual Network (VNet), επιτρέποντας σε πόρους όπως οι VMs μέσα στο Azure να φαίνονται σαν να βρίσκονται στο τοπικό σας δίκτυο. Αυτή η σύνδεση δημιουργείται μέσω ενός VPN πύλης που κρυπτογραφεί την κίνηση μεταξύ των δύο δικτύων.

Παράδειγμα

• Μια επιχείρηση με κύριο γραφείο στη Νέα Υόρκη έχει ένα κέντρο δεδομένων στον τόπο εργασίας της που χρειάζεται να συνδεθεί με ασφάλεια στο VNet της στο Azure, όπου φιλοξενούνται οι εικονικές εργασίες της. Με τη δημιουργία ενός Site-to-Site VPN, η εταιρεία μπορεί να εξασφαλίσει την κρυπτογραφημένη σύνδεση μεταξύ των διακομιστών στον τόπο εργασίας και των Azure VMs, επιτρέποντας στους πόρους να προσπελαύνονται με ασφάλεια σε αμφότερα τα περιβάλλοντα σαν να ήταν στο ίδιο τοπικό δίκτυο.

Απαρίθμηση

# List VPN Gateways
az network vnet-gateway list --query "[].{name:name, location:location, resourceGroup:resourceGroup}" -o table

# List VPN Connections
az network vpn-connection list --gateway-name <VpnGatewayName> --resource-group <ResourceGroupName> --query "[].{name:name, connectionType:connectionType, connectionStatus:connectionStatus}" -o table

Azure ExpressRoute

Το Azure ExpressRoute είναι ένας υπηρεσία που παρέχει μια ιδιωτική, αφιερωμένη, υψηλής ταχύτητας σύνδεση μεταξύ της υποδομής σας εντός των τοπικών εγκαταστάσεων και των κέντρων δεδομένων του Azure. Αυτή η σύνδεση γίνεται μέσω ενός παροχέα σύνδεσης, παρακάμπτοντας το δημόσιο internet και προσφέροντας μεγαλύτερη αξιοπιστία, ταχύτερες ταχύτητες, χαμηλότερες καθυστερήσεις και υψηλότερη ασφάλεια από τις τυπικές συνδέσεις στο internet.

Παράδειγμα

• Μια πολυεθνική εταιρεία απαιτεί μια συνεχή και αξιόπιστη σύνδεση με τις υπηρεσίες του Azure λόγω του υψηλού όγκου δεδομένων και της ανάγκης για υψηλή ροή δεδομένων. Η εταιρεία επιλέγει το Azure ExpressRoute για να συνδέσει απευθείας το κέντρο δεδομένων των τοπικών εγκαταστάσεών της με το Azure, διευκολύνοντας τις μεταφορές μεγάλης κλίμακας δεδομένων, όπως ημερήσια αντίγραφα ασφαλείας και ανάλυση δεδομένων πραγματικού χρόνου, με βελτιωμένη απορρήτου και ταχύτητα.

Απαρίθμηση

# List ExpressRoute Circuits
az network express-route list --query "[].{name:name, location:location, resourceGroup:resourceGroup, serviceProviderName:serviceProviderName, peeringLocation:peeringLocation}" -o table