SECURE AZURE CLOUD SERVICES
Redes Privadas:
A Microsoft entende que o isolamento lógico de uma infraestrutura é fundamental para manter a segurança de seus serviços.O Azure implementa esse padrão, através de um Firewall virtual distribuído. Além disso é possível implantar várias redes lógicas privadas com isolamento.
Essas redes geralmente, na estrutura do Azure, são divididas em duas categorias.
Redes de Implantação: Cada implementação de uma rede dessas pode ser isolada das outras implementações do nível de rede. Ou seja, várias VM’s podem se comunicar com outras VM’s através de endereços de IP’s Privados.
Redes Virtuais:
Cara rede virtual é isolada à partir de outras redes virtuais. Ou seja, dentro da mesma assinatura, é possível colocar várias redes virtuais, e em seguida comunicar umas com as outras através de IP’s Privados.
Figura: Exemplo de uma topologia de rede virtual
Os administradores de rede podem gerenciar essas redes privadas, de uma maneira bem similar à gerência de uma rede local.
Os mecanismos necessários para essa gerência, estão na Camada de Acesso e é comparável com uma rede corporativa virada para a internet.
A camada de Cloud Access, inclui um firewall balanceador de carga e tradução de endereços NAT, funcionalidade esta que é gerenciada pelo administrador da conta.
O ambiente Azure oferece três níveis primários de segregação de rede em cada cluster, para separar logicamente o tráfego.
VLAN’s são criadas para separar o tráfego do cliente. O tráfego de rede e de VM’s deve passar pelo Switch Virtual Hypervisor. O componente de filtro de IP no Sistema Operacional isola as VM’s umas das outras. Ele executa a filtragem de tráfego para restringir a comunicação entre os nós do cliente e Internet.
O Filtro de IP ajuda a preservar as VMS:
* Gerando tráfego falsificado.
* Recevendo o tráfego não dirigida a elas.
* Direcionar o tráfego para endpoint de infra estruturas protegidas.
* Enviar ou receber tráfego broadcast inadequado.
Comunicação com a Internet:
No padrão utilizado pelo Azure as VM’s que possuem configuradas uma rede privada, não recebem acesso à internet. Os administradores da conta poderão habilitar essa comunicação de três formas:
* O administrador pode definir um ponto de extremidade de entrada, que espeficica qual porta da VM deverá receber ese tráfego de fora.
* O administrador pode aumentar ainda mais a segurança através da definição de Grupos de Segurança, que especificam quais os endereços IP deverão receber o tráfego de entrada, à partir de uma rede virtual. Lembrando que, o administrador pode definir listas de controle endpoint (ACL’s) ou Grupos de Segurança, mas não ambos.
* O administrador pode atribuir um endereço IP público de nível instancial para uma VM. Em seguida, todas as portas da VM serão acessíveis pela internet.
O termo, tráfego de entrada, se refere à um tráfego proveniente de fora da rede privada do cliente no Azure.
Por hoje é só pessoal!
Ao se falar de Azure, muito se tem a falar e pouco é o espaço. O que tento fazer com esses posts é resumir todo meu objeto de pesquisa durante esses últimos meses. (Vamos ver se é eficiente e eficaz..rs)
Um Forte Abraço, e até a próxima! #enjoy #rock
Gustavo Magella
