Está usando uma VNet-to-VNet do Azure uma maneira viável de criar uma DMZ?

1

EDIT: Esta pergunta foi originalmente feita durante os dias do ASM legado. As coisas são significativamente diferentes e a introdução de grupos de segurança de rede torna isso trivial para implementar em um ambiente moderno do Azure.

Eu tenho um aplicativo de três camadas em execução nas VMs do Azure.

Este aplicativo tem dois níveis de back-end e uma camada da web. Isso é dividido em três serviços de nuvem - um para cada camada.

Os dois níveis de back-end usam o Balanceamento de carga interno do Azure.

O web-tier só precisa se comunicar com o back-end na porta 443.

É possível criar uma segunda rede virtual e usar conectividade VNet para VNet para os servidores front-end e colocar uma ACL nela, para que ela possa se comunicar apenas com os servidores back-end por meio do 443? Em caso afirmativo, onde eu configuro essa ACL? Sob nenhuma circunstância os servidores de back-end devem ser expostos diretamente à Internet.

    
por MDMarra 05.08.2014 / 03:52

2 respostas

1

Editar:

Isso não é possível. Consulte this : atualmente, você pode especificar ACLs de rede apenas para pontos de extremidade. Você não pode especificar uma ACL para uma rede virtual ou uma sub-rede específica contida em uma rede virtual. Além disso, o white paper de segurança de rede virtual pode ser útil.

Dê uma olhada aqui

Basicamente, sim, você pode ter seu servidor front-end em um vnet e seu servidor back-end em outro e, em seguida, restringir o acesso ao back-end usando o ACL.

O que você não pode fazer é restringir a comunicação entre os servidores de backend usando as ACLs se elas estiverem na mesma rede virtual. Você precisa do Firewall do Windows ou de outras medidas para isso.

Para configurar isso, depois de ter seus servidores back-end em uma rede virtual, use a configuração "Endpoints" dos servidores back-end e adicione seu HTTPS/443 endpoint. Então, ainda neste endpoint, clique em " MANAGE ACL " na parte inferior. Agora, PERMITE sua rede de front-end ou apenas o /32 IP Address (es) e DENY todo o resto ( 0.0.0.0/0 )

Veja guia para mais detalhes

    
por 05.08.2014 / 07:51
0

sim, veja isto:

EstaéumaDMZusandoaabordagemHUBespoke.

link

Agora, se você quiser um nível de 3 camadas sem DMZ, veja:

link

    
por 09.11.2018 / 10:55

Tags