Azure Virtual Network

Das Azure Virtual Network (Azure VNet) spielt eine wichtige Rolle beim Aufbau von Netzwerken innerhalb der Azure-Infrastruktur. Es ist eine grundlegende Komponente, um deine Azure-Ressourcen in einem privaten Netzwerk zu halten, das du sicher verwalten und über das Internet mit anderen externen Netzwerken (öffentlich und vor Ort) verbinden kannst.

Azure VNet geht über die üblichen On-Premises und traditionellen Netzwerke hinaus. Neben den Vorteilen der Isolierung, Hochverfügbarkeit und Skalierbarkeit hilft Azure VNet dabei, deine Azure-Ressourcen zu sichern, indem es dir erlaubt, den Netzwerkverkehr nach deinen Wünschen zu verwalten, zu filtern oder zu routen.

Azure-VMs werden zum Beispiel über virtuelle Netzwerkkarten (VNICs) mit einem Azure-VNet verbunden oder angeschlossen, wie in Abbildung 4-1 gezeigt, wo eine Azure-VM mit drei NICs verbunden ist: Standard, NIC1 und NIC2.

Abbildung 4-1. ThreeTier-VNet eine Azure-VM mit mehreren NICs

Azure-Ressourcen müssen intern über das private Netzwerk, über das Internet und auch über Netzwerke in der lokalen Infrastruktur sicher miteinander kommunizieren. Azure VNet macht dies möglich. Schauen wir uns diese Formen der Kommunikation genauer an .

Internetkommunikation

Azure VNet ist standardmäßig in der Lage, über ausgehend mit dem Internet zu kommunizieren. Wenn du eingehend mit einer Azure-Ressource kommunizieren möchtest, kannst du eine öffentliche IP-Adresse von Azure oder einen Azure Load Balancer verwenden, der auf öffentlich eingestellt ist.

Kommunikation und Verbindung mit Azure-Ressourcen

Azure-Ressourcen können über das virtuelle Netzwerk und das VNet-Peering sowie durch die Erweiterung der virtuellen Netzwerkdienst-Endpunkte sicher mit kommunizieren. So ist es beispielsweise möglich, einige dedizierte Azure-Ressourcen wie AKS, Azure Batch, Azure SQL Manage Instance, Microsoft Entra Domain Services, Azure Container Instance (ACI), Azure Functions, Azure App Service Environments und Azure VM Scale Sets innerhalb desselben virtuellen Netzwerks einzusetzen.

Routing und Filterung des Netzwerkverkehrs

Der Netzwerkverkehr kann zwischen Subnetzen auf verschiedene Weise gefiltert werden. Netzwerksicherheitsgruppen (NSG) und Anwendungssicherheitsgruppen können verwendet werden, um Sicherheitsregeln (eingehend und ausgehend) zur Kontrolle und Filterung des Netzwerkverkehrs zu steuern. Eine weitere gute Option ist die Verwendung einer Netzwerk-VM, in der du deine Firewall-Einstellungen und Netzwerkregeln konfigurieren und dein WAN optimieren kannst. Auf dem Azure Marketplace findest du einige Netzwerk-Appliance-Manager, die für externe Dienste oder innerhalb von Microsoft verfügbar sind.

Azure VNet Peering

Azure Virtual Network Peering (VNet Peering) ermöglicht dir, mehrere virtuelle Netzwerke in Azure zu verbinden. Die Konnektivität und der Datenverkehr zwischen den VMs in den gepeerten virtuellen Netzwerken nutzt die Infrastruktur von Microsoft in einem sicheren privaten Netzwerk. Virtuelle Netzwerke, die über ein Peering verbunden sind, können die Ressourcen, die sich in einem der beiden virtuellen Netzwerke befinden, direkt nutzen und sich mit ihnen verbinden.

Derzeit unterstützt Azure sowohl VNet-Peering als auch globales VNet-Peering. Der Unterschied zwischen diesen beiden besteht darin, dass globales VNet-Peering virtuelle Netzwerke über Azure-Regionen hinweg verbindet, während VNet-Peering virtuelle Netzwerke innerhalb der gleichen Azure-Region miteinander verbindet.

Abbildung 4-2 zeigt, wie VNet-Peering zwischen zwei virtuellen Netzwerken, VNet A und VNet B, funktioniert, die mehrere Verbindungen zu anderen Netzwerkressourcen haben.

Abbildung 4-2. VNet-Peering in Azure

Sowohl VNet-Peering als auch globales VNet-Peering unterstützen Gateway-Transit, eine Eigenschaft im Peering, die es einem virtuellen Netzwerk ermöglicht, das VPN-Gateway des gepeerten virtuellen Netzwerks für standortübergreifende Konnektivität oder VNet-zu-VNet-Konnektivität zu nutzen. Du kannst den VPN-Gateway-Transit für VNet-Peering über das Azure Portal, die Powershell, die ARM-Vorlage und die Azure CLI konfigurieren.

Abschließend sei gesagt, dass VNet Peering IP-Adressen verwendet. Es gibt zwei Arten von IP-Adressen, die in Azure verwendet werden: öffentliche IP-Adressen und private IP-Adressen. Die privaten IP-Adressen werden für die Konnektivität und die Kommunikation mit Azure-Ressourcen innerhalb der gleichen Ressourcengruppe verwendet. Öffentliche IP-Adressen hingegen werden verwendet, um Internetressourcen die Kommunikation mit Azure-Ressourcen zu ermöglichen. Mit dieser Art von IP-Adresse können Azure-Ressourcen und öffentliche Azure-Dienste über mit dem Internet kommunizieren.

In der Microsoft-Dokumentation erfährst du mehr über IP-Dienste und einige bewährte Methoden für Azure Virtual Network.

Azure Virtual Wide Area Network

Azure Virtual WAN ist ein verwaltetes Netzwerk Service und ein einheitliches Framework für Netzwerk-, Sicherheits- und Routing-Funktionen. Das globale Azure-Netzwerk ermöglicht die Verfügbarkeit von Azure Virtual WAN. Es umfasst Site-to-Site, Point-to-Site VPN-Konnektivität, ExpressRoute usw.

Das virtuelle WAN hilft Unternehmen oder Geschäftseinheiten dabei, sich mit dem Internet und anderen Azure-Ressourcen zu verbinden, z. B. mit Netzwerken und Remote-Benutzerkonnektivität. Mit Hilfe von Azure Virtual WAN kann auch eine bestehende Infrastruktur oder ein Rechenzentrum von den eigenen Räumlichkeiten zu Microsoft Azure verlagert werden.

Zu den Funktionen von Azure Virtual WAN gehören:

• Zweigstellenanbindung (über Verbindungsautomatisierung von Virtual-WAN-Partnergeräten wie SD-WAN oder VPN CPE)

• Site-to-Site VPN-Konnektivität

• Punkt-zu-Standort-VPN-Konnektivität für Fernanwender

• Private Konnektivität mit ExpressRoute

• Intracloud-Konnektivität für virtuelle Netzwerke

• Interkonnektivität mit VPN ExpressRoute

• Routing, Azure Firewall und Verschlüsselung für private Konnektivität

Azure Virtual WAN bietet außerdem Vorteile wie integrierte Konnektivitätslösungen im Hub und in der Speiche, eine automatisierte Speichen-Konfiguration sowie Tools zur Fehlerbehebung und Überwachung. Für die Konfiguration benötigst du Virtual WAN-Ressourcen wie Virtual Hub, Hub VNet Connection, Hub-to-Hub-Verbindung, eine Hub-Routentabelle und Standortressourcen.

Abbildung 4-3 zeigt ein Beispiel für die Nutzung und Implementierung von Azure Virtual WAN für die Remote-Konnektivität.

Abbildung 4-3. Azure Virtual WAN (angepasst an eine Abbildung aus der Microsoft-Dokumentation)

Azure Virtual WAN ist ein umfangreiches und komplexes Thema. Unter kannst du tiefer eintauchen, siehe Microsofts Virtual WAN Dokumentation.

Azure ExpressRoute

Azure ExpressRoute ermöglicht es dir, Netzwerke, die sich vor Ort befinden, über eine private Verbindung mit einem Konnektivitätsanbieter in die Cloud-Infrastruktur von Microsoft zu erweitern. Im Grunde genommen ermöglicht dieser Netzwerkdienst die Verbindung deiner lokalen Netzwerke mit Azure. Diese Verbindung zwischen einem lokalen Netzwerk und Azure kann über ein Any-to-Any-Netzwerk (IPVPN) mit Layer-3-Konnektivität initiiert werden, das es dir ermöglicht, Azure mit deinem eigenen lokalen WAN oder Rechenzentrum zu verknüpfen.

Die Verbindung in Azure ExpressRoute ist privat, und der Datenverkehr mit dieser Verbindung geht nicht über das Internet. Das bedeutet, dass die über ExpressRoute hergestellten Verbindungen im Vergleich zu Verbindungen über öffentliche Netzwerke Geschwindigkeit, Zuverlässigkeit, Verfügbarkeit und bessere Sicherheit versprechen.

Eine sichere Netzwerkverbindung kann mit anderen Cloud-Ressourcen von Microsoft wie Microsoft 365, Dynamic 365 und Microsoft Azure hergestellt werden, wie in Abbildung 4-4 dargestellt.

Abbildung 4-4. Azure ExpressRoute-Verbindungen zwischen öffentlichen und lokalen Netzwerken (nach einer Abbildung der Microsoft-Dokumentation)

ExpressRoute verfügt über mehrere nützliche Funktionen wie die Unterstützung verschiedener Konnektivitätsmodelle zwischen deinem lokalen Netzwerk und Azure. Wie in Abbildung 4-5 dargestellt, können diese Konnektivitätsmodelle mit Hilfe von Dienstanbietern oder direkt umgesetzt werden. Service-Provider verwenden derzeit drei Arten von Modellen: Cloud Exchange Co-Location, Punkt-zu-Punkt-Ethernet-Verbindung und Any-to-Any (IPVPN)-Verbindung. ExpressRoute Direct kann auch für eine direkte Verbindung zu Microsoft Azure genutzt werden.

ExpressRoute Direct ist ein guter Azure Dienst, wenn du dein Netzwerk direkt mit Microsofts globalem Netzwerk an Peering-Standorten mit bis zu 10 GBps oder 100 GBps verbinden möchtest. Du kannst eine ExpressRoute Direct-Verbindung über das Azure Portal, Azure CLI und Azure PowerShell erstellen. Weitere Informationen über ExpressRoute Direct-Schaltungen, Workflows, VLAN-Tagging, SLA und Preise findest du in der Microsoft-Dokumentation. Azure Speicherung kann in ExpressRoute Direct integriert werden, wenn du einen Anwendungsfall hast, der die Aufnahme von Daten erfordert.

Abbildung 4-5. Verschiedene Konnektivitätsmodelle von Azure ExpressRoute

Azure ExpressRoute hat die Option, privates Peering für Azure-Ressourcen wie VMs und Azure Virtual Desktop RDP Shortpath innerhalb der virtuellen Netzwerke zu implementieren.

Azure VPN-Gateway

Ein VPN-Gateway ist eine bestimmte Art von virtuellem Netzwerk-Gateway, das verwendet wird, um verschlüsselten Datenverkehr zwischen einem virtuellen Azure-Netzwerk und einem Standort vor Ort über das öffentliche Internet zu übertragen. Du kannst ein VPN-Gateway auch verwenden, um verschlüsselten Datenverkehr zwischen virtuellen Azure-Netzwerken über das Microsoft-Netzwerk zu senden. Jedes virtuelle Netzwerk kann nur ein VPN-Gateway haben. Du kannst jedoch mehrere Verbindungen zu demselben VPN-Gateway erstellen. Wenn du mehrere Verbindungen zu demselben VPN-Gateway erstellst, teilen sich alle VPN-Tunnel die verfügbare Bandbreite des Gateways.

Verschiedene Arten von VPN-Gateway-Verbindungen

Um eine VPN-Gateway-Verbindung aufzubauen, müssen wir die verschiedenen Konfigurationen kennen. Diese verschiedenen Arten von Verbindungen geben dir einen klaren Überblick und ein Verständnis dafür, was für die Anforderungen deines Unternehmens ideal ist.

Site-to-Site VPN (S2S)

Die Site-to-Site (S2S) Verbindung läuft über den IPsec/IKE ((IKEv1 oder IKEv2) VPN-Tunnel. IPsec VPN ist eines der gängigen VPN-Protokolle, die für den Aufbau einer VPN-Verbindung verwendet werden. Die S2S-VPN-Gateway-Verbindungen können hybride oder standortübergreifende Anwendungsfälle sein. Auch für diese Art von Gateway ist ein VPN-Gerät erforderlich, das sich in den Räumlichkeiten befinden muss. Diesem VPN-Gerät sollte eine öffentliche IP-Adresse zugewiesen sein.

Punkt-zu-Standort VPN

Die Point-to-Site (P2S)-Verbindung ( ) eignet sich, wenn du einen Client-Computer mit einem virtuellen Netzwerk wie Azure VNet verbinden möchtest. Diese Art der VPN-Verbindung muss vom Client-Computer aus initiiert werden, was für die Arbeit aus der Ferne nützlich ist.

VNet-to-VNet (IPsec/IKE VPN-Tunnel)

Im Gegensatz zur P2S-VPN-Verbindung dient die VNet-zu-VNet-Verbindung der Verbindung zwischen VNets, sogar virtuellen Netzwerken auf dem Firmengelände. Diese Art von VPN-Gateway verwendet eine sichere Verbindung über IPsec/IKE. Mit dieser Art von VNet-zu-VNet-Verbindung können auch Verbindungen zwischen mehreren Standorten konfiguriert werden.

Standort-zu-Standort und ExpressRoute

Der Netzwerkverkehr für das S2S VPN-Gateway wird sicher verschlüsselt durch das öffentliche Internet geleitet. ExpressRoute schafft außerdem eine private und direkte Verbindung von einem WAN zu Azure und anderen Microsoft-Diensten. Das bedeutet, dass es Vorteile hat, ExpressRoute zusammen mit S2S VPN zu konfigurieren, vor allem wenn es für dasselbe virtuelle Netzwerk eingerichtet ist.

Einer der wichtigsten Schritte bei der Konfiguration des VPN-Gateways ist die Auswahl des richtigen Typs. Ein virtuelles Netzwerk kann nur ein VNet-Gateway haben. Wenn du zum Beispiel ein VNet-Gateway für VPN konfigurierst, musst du -GatewayType Vpn verwenden und für ExpressRoute würdest du ebenfalls den Schlüsselwert verwenden. Sieh dir den Leitfaden für die Konfiguration von VPN-Gateway-Einstellungen und einige Voraussetzungen an, die du kennen musst.

Azure NAT-Gateway für virtuelle Netzwerke

Azure Virtual Network NAT hilft bei der Vereinfachung der ausgehenden Internetkonnektivität für virtuelle Netzwerke (ein oder mehrere Subnetze). Sobald ein Subnetz mit einem NAT-Gateway verbunden ist, bietet das NAT den Vorteil, dass es eine Source Network Address Translation (SNAT) bereitstellt. Du kannst Azure NAT Gateway zum Beispiel nutzen, um dich sicher mit deinen VMs über eine dedizierte öffentliche IP zu verbinden und gleichzeitig die Kontrolle über die freigegebenen Ports zu haben. Wenn ein VNet NAT auf Subnetzebene konfiguriert ist, werden für die ausgehende Konnektivität die angegebenen statischen öffentlichen IP-Adressen verwendet. Abbildung 4-6 zeigt, wie das Azure VNet NAT-Gateway mit einer VM mit öffentlicher IP funktioniert. Die Azure-VMs im Subnetz A haben öffentliche IP-Adressen auf Instanzebene, die VMs im Subnetz B jedoch nicht. Der eingehende Netzwerkverkehr wird zu den virtuellen Maschinen in Subnetz A geleitet, die immer noch eine IP auf Instanzebene haben. Der gesamte ausgehende Datenverkehr von den beiden Subnetzen A und B wird jedoch durch Azure NAT Gateway geleitet.

Abbildung 4-6. Öffentliche IP auf Instanzebene mit einer VM und NAT

Nachfolgend sind einige der Vorteile der Verwendung von Azure VNet NAT aufgeführt:

Sicherheit und Datenschutz

Das Azure VNet NAT-Gateway benötigt keine öffentlichen IP-Adressen; daher ist die Verbindung zwischen virtuellen Netzwerken vollständig privat und sicher. Ressourcen können sich auch ohne öffentliche IP-Adressen mit externen Ressourcen außerhalb des VNet verbinden.

Skalierbarkeit

Alle Rechenressourcen gehören zu einem Subnetz. Alle Subnetze können miteinander kommunizieren und dieselbe Ressource im selben virtuellen Netzwerk nutzen. Eine automatische Skalierung ist durch die Verwendung eines öffentlichen IP-Präfixes möglich, mit dessen Hilfe die Anzahl der benötigten ausgehenden IP-Adressen ermittelt und skaliert werden kann.

Resilienz

NAT hat keine individuelle Abhängigkeit von anderen Compute-Instanzen, da es sich um einen verteilten und vollständig verwalteten Dienst handelt. Diese Eigenschaft macht ihn als Software-definierten Netzwerkdienst sehr widerstandsfähig.

Leistung

Die Leistung eines NAT-Gateways ist zufriedenstellend, da es sich um einen softwaredefinierten Netzwerkdienst handelt; wenn es läuft, hat es keine negativen Auswirkungen auf die Netzwerkbandbreite.

Das Azure VNet NAT-Gateway bietet die Möglichkeit zu kontrollieren, wer Zugang zu den Ressourcen deines Unternehmens hat und von welchen Standorten aus auf sie zugegriffen werden kann. Aus diesen Gründen kann das NAT-Gateway nützlich sein, um eine Gruppe von Personen, die als Auftragnehmer für ein Unternehmen arbeiten, auf eine Whitelist zu setzen.

NAT ist für die Arbeit mit einfachen öffentlichen IP-Adressen und Load Balancern nicht anwendbar oder wird nicht unterstützt. Wenn du in deiner Implementierung ein NAT-Gateway verwenden musst, musst du die Standardversionen virtuellen Netzwerke (ein oder mehrere Subnetze) verwenden. Sobald ein Subnetz mit einem NAT-Gateway verbunden ist, gibt das NAT die statt oder aktualisiere Azure Public Load Balancers auf höhere Versionen.

Wenn du versuchen willst, ein virtuelles Netzwerk mit einem NAT-Gateway zu entwerfen, sieh dir die Microsoft-Dokumentation und ein Video vom Azure Friday an.

Azure Domain Name System

Azure Domain Name System (DNS) ist ein Hosting Dienst für DNS-Domains, der die Namensauflösung über die Microsoft Azure-Infrastruktur ermöglicht. Wenn du deine Domains in Azure hostest, kannst du deine DNS-Datensätze mit denselben Anmeldeinformationen, APIs, Tools und Abrechnungen verwalten wie deine anderen Azure-Dienste. Du kannst Azure DNS nicht nutzen, um einen Domainnamen zu kaufen. Gegen eine jährliche Gebühr kannst du einen Domainnamen kaufen, indem du App Service Domains oder einen Domainnamen-Registrar eines Drittanbieters nutzt. Deine Domains können dann in Azure DNS für die Datensatzverwaltung gehostet werden.

Im Folgenden findest du einige der wichtigsten Funktionen von Azure DNS:

Verlässlichkeit und Leistung

DNS-Domänen in Azure DNS werden auf dem globalen Netzwerk von DNS-Nameservern von Azure gehostet. Azure DNS nutzt Anycast-Netzwerke. Jede DNS-Anfrage wird vom nächstgelegenen verfügbaren DNS-Server beantwortet, um schnelle Leistung und hohe Verfügbarkeit für deine Domain zu gewährleisten.

Sicherheit

Azure DNS ist sicher, weil es mit dem Azure Resource Manager verknüpft ist, der mit Benutzeridentitätskontrolldiensten wie Azure RBAC und Azure Resource Lock verbunden ist. Die Ressourcensperre wird verwendet, um zu verhindern, dass andere Nutzer in deinem Unternehmen versehentlich wichtige Ressourcen löschen oder ändern.

Alias-Datensätze

Azure DNS unterstützt Alias-Datensätze. Du kannst einen Alias-Datensatz verwenden, um auf eine Azure-Ressource zu verweisen, z. B. eine öffentliche Azure-IP-Adresse, ein Azure Traffic Manager-Profil oder einen Azure Content Delivery Network (CDN)-Endpunkt. Wenn sich die IP-Adresse der zugrundeliegenden Ressource ändert, aktualisiert sich der Alias-Eintragssatz während der DNS-Auflösung nahtlos. Der Alias-Datensatz verweist auf die Service-Instanz, und die Service-Instanz ist mit einer IP-Adresse verbunden. Außerdem kannst du jetzt deine Apex- oder Naked Domain mit einem Alias-Eintrag auf ein Traffic Manager-Profil oder einen CDN-Endpunkt verweisen.

Wenn du Azure DNS nutzt, hostest du deine eigenen Domain-Websites in Azure, verwaltest deine DNS-Einträge und integrierst sie in die in Azure gehosteten Ressourcen. Wenn du eine bestehende Domain hast, gibt es eine Reihe von Möglichkeiten, sie in Azure DNS zu hosten. Microsoft hat verschiedene Anleitungen für die Einrichtung deiner eigenen benutzerdefinierten Domain in einer Funktions-App, Web-App, Blob-Speicherung oder einer anderen Azure-Ressource.

Blaue Bastion

Der Azure Bastion-Dienst ist ein neuer, vollständig plattformverwalteter PaaS-Dienst, der sichere VM-Verbindungen ermöglicht, ohne die vertraulichen Ports deines Netzwerks dem öffentlichen Internet auszusetzen. Er bietet eine sichere und nahtlose RDP/SSH-Verbindung zu deinen VMs direkt im Azure-Portal über TLS. Wenn du dich über Azure Bastion verbindest, brauchen deine VMs keine öffentliche IP-Adresse.

Du kannst über RDP und SSH eine sichere Verbindung zu allen VMs in dem virtuellen Netzwerk herstellen, in dem Azure Bastion bereitgestellt wird. Auf diese Weise stellst du eine sichere Verbindung zu deinen VMs her und gibst die RDP/SSH-Ports nicht an das öffentliche Internet weiter.

Zu den wichtigsten Vorteilen und Einsatzmöglichkeiten von Azure Bastion gehören:

RDP und SSH direkt in einem Webbrowser

Da Azure Basion einen HTML5-basierten Web-Client verwendet, kannst du mit jedem Gerät auf deine VMs zugreifen. Das bedeutet, dass du keinen unterstützten RDP- oder SSH-Client herunterladen musst, um dich mit einer VM zu verbinden. Du kannst dich mit RDP- und SSH-Sitzungen direkt über das Azure-Portal mit jedem Webbrowser sicher mit deinen VMs verbinden.

Öffentliche IP auf der Azure-VM nicht erforderlich

Azure Bastion öffnet die RDP/SSH-Verbindung zu deiner Azure-VM über eine private IP auf deiner VM. Du brauchst keine öffentliche IP auf deiner VM.

Sparen Sie Zeit bei der Verwaltung von Netzwerksicherheitsgruppen (NSGs)

Azure Bastion ist intern gehärtet , um dir eine sichere RDP/SSH-Verbindung zu bieten. Du musst keine NSGs auf das Azure Bastion Subnetz anwenden. Da Azure Bastion die Verbindung zu deinen VMs über eine private IP herstellt, kannst du deine NSGs so konfigurieren, dass sie RDP/SSH nur von Azure Bastion aus zulassen. So musst du nicht jedes Mal NSGs verwalten, wenn du eine sichere Verbindung zu deinen VMs herstellen willst.

Schutz vor Port Scanning

VMs sind gesichert und gegen das Scannen von Port durch böswillige Nutzer außerhalb deines virtuellen Netzwerks geschützt.

Schutz vor Zero-Day-Exploits

Azure Bastion schützt vor Zero-Day-Exploits . Ein Zero-Day-Exploit ist ein Angriff auf die Cybersicherheit, der eine Sicherheitslücke ausnutzt. Der Begriff ist auch als "0-Day" bekannt, was bedeutet, dass der Entwickler 0 Tage Zeit hatte, um an einem Update zur Behebung des Problems zu arbeiten. Der Einsatz von Antiviren-, Firewall- und Datenschutzprogrammen kann helfen, diese Sicherheitsbedrohungen zu vermeiden. In Kapitel 9 erfährst du mehr über Zero-Day-Exploits und Cloud-Sicherheit auf den Cloud-Ressourcen von Azure.

Azure Bastion ist eine flexible und sichere Möglichkeit VMs von unterwegs zu verbinden. Mehr dazu erfährst du in diesem Video-Guide vom Azure Friday.

Azure Firewall

Azure Firewall ist ein Cloud-nativer, intelligenter Netzwerk-Firewall-Sicherheitsdienst, der Bedrohungen für deine Cloud-Workloads in Azure abwehrt. Es handelt sich um eine Stateful-Firewall als Service mit integrierter Hochverfügbarkeit und uneingeschränkter Cloud-Skalierbarkeit.

Im Folgenden werden die verschiedenen Arten von Azure Firewalls vorgestellt, damit du herausfinden kannst, welche für deine Bedürfnisse die richtige ist:

Azure Firewall Standard

Azure Firewall Standard bietet Layer-3- bis Layer-7-Firewall-Filterung und Bedrohungsinformationen von Microsoft Cyber Security. Diese Bedrohungsmeldungen können genutzt werden, um über wichtige Alarme zu informieren und sogar den Netzwerkverkehr von/zu bösartigen Domänen und IP-Adressen zu unterbinden, um Azure-Ressourcen vor möglichen Hackerangriffen zu schützen.

Azure Firewall Premium

Azure Firewall Premium bietet erweiterte Funktionen wie signaturbasierte IDPS, die die Erkennung von Angriffen durch die Analyse und Erkennung bestimmter Muster ermöglichen, z. B. Bytefolgen im Netzwerkverkehr oder bekannte bösartige Befehlsfolgen, die von Malware verwendet werden. Diese Stufe unterstützt auch Angebote von Drittanbietern wie WatchGuard, Sophos, Palo Alto, Check Point und anderen.

Abgesehen von den verschiedenen Azure Firewall-Kategorien und -Stufen kannst du Azure Firewalls über mehrere Azure-Abonnements hinweg mit dem Azure Firewall Manager zentral verwalten. Er unterstützt die Einrichtung eines zentralisierten Sicherheits- und Routenmanagements. Diese Firewall-Richtlinie kann genutzt werden, indem du einen gemeinsamen Satz von Firewall-Regeln in deinem Netzwerk oder deiner Anwendung in deinem Azure-Tenant anwendest. Der Azure Firewall Manager unterstützt Firewalls in Umgebungen wie VNets und Virtual WANs (Secured Virtual Hub).

Azure Firewall ist eine ausgezeichnete Wahl, um deine Azure-Ressourcen zu sichern. Das Team, das hinter der Azure Firewall steht, wird sowohl die Standard- als auch die Premium-Version um weitere Funktionen erweitern.

Azure DDoS-Schutz

Azure DDoS Protection bietet Gegenmaßnahmen gegen die raffiniertesten DDoS-Bedrohungen (Distributed Denial of Service), die schwere und folgenschwere Schäden verursachen können. Sie bietet fortschrittliche DDoS-Abwehrfunktionen für deine Anwendungen und Ressourcen.

Kunden, die Azure DDoS Protection nutzen, haben auch Zugang zum Support und zur Kommunikation mit DDoS-Experten über Azure DDoS Rapid Response während eines aktiven Angriffs. Voraussetzung für diesen Support ist ein Azure DDoS Protection Standardplan.

Abbildung 4-7 zeigt, wie Azure DDoS Protection bei der Sicherung eines Anwendungs-Gateways in einem virtuellen Netzwerk funktioniert.

Abbildung 4-7. Azure DDoS Protection für eine Webanwendung in einem virtuellen Netzwerk

Ingenieure, die mit der Sicherung von Ressourcen in Azure betraut sind, sollten die grundlegenden Konzepte der Azure-Sicherheit und des Schutzes von Azure-Ressourcen vor Angriffen kennen. Der Lernpfad von Microsoft bietet eine Einführung in die Azure DDoS Protection.

Azure Private Link

Azure Private Link ermöglicht es dir, über einen privaten Endpunkt in deinem virtuellen Netzwerk auf Azure PaaS Services (z. B. Azure Storage und SQL Database) und Azure-gehostete Kunden-/Partnerdienste zuzugreifen. Der Datenverkehr zwischen deinem virtuellen Netzwerk und dem Dienst wird über das Microsoft Backbone-Netzwerk geleitet. Es ist nicht mehr nötig, deinen Dienst dem öffentlichen Internet auszusetzen. Du kannst deinen eigenen privaten Link-Dienst in deinem virtuellen Netzwerk erstellen und ihn deinen Kunden zur Verfügung stellen.

Azurblaue Haustür

Azure Front Door ist ein globaler, skalierbarer Einstiegspunkt, der das globale Kanten-Netzwerk von Microsoft nutzt, um schnelle, sichere und weitgehend skalierbare Webanwendungen zu erstellen. Mit Front Door kannst du deine globalen Verbraucher- und Unternehmensanwendungen in robuste, leistungsstarke, personalisierte und moderne Anwendungen verwandeln, deren Inhalte über Azure ein weltweites Publikum erreichen.

Mit dem Azure Front Door Service werden die Inhalte deiner Anwendungen schnell an die Nutzer/innen deiner Anwendungen geliefert, egal wo sie sich befinden. Dieser Dienst nutzt das globale Kanten-Netzwerk von Microsoft, das mit vielen Points of Presence (POPs) auf der ganzen Welt verbunden ist.

Mit Front Door kannst du deine dynamischen Webanwendungen und sogar statische Inhalte entwickeln, betreiben und skalieren. Außerdem kannst du das globale Routing für deinen Webverkehr konfigurieren, verwalten und überwachen, indem du die Leistung und Zuverlässigkeit für den Endbenutzer durch ein schnelles globales Failover optimierst.

Im Folgenden findest du weitere wichtige Vorteile und Einsatzmöglichkeiten von Azure Front Door:

• Cookie-basierte Sitzungsaffinität, die nützlich ist, um die Sitzung eines Nutzers auf demselben Gerät oder Server aktiv zu halten

• SSL-Offloading und Zertifikatsverwaltung

• Benutzerdefinierte Domains, wenn du deine eigenen Domains konfigurieren möchtest

• Integration mit Web Application Firewall (WAP) für Sicherheit

• Die HTTP/HTTPS-Umleitung stellt sicher, dass die Verbindung zwischen deinem Webclient und dem Server sicher und verschlüsselt ist.

• URL-Rewrites und benutzerdefinierte Umleitungen

• Intelligente Überwachung von Ressourcen im Backend, um Probleme zu verfolgen und zu beheben

• Hosting mehrerer Websites und Unterstützung für Wildcard-Domains

• End-to-End IPv6-Konnektivität und Unterstützung des HTTP/2-Protokolls

Es gibt verschiedene Stufen, aus denen du wählen kannst: Azure Front Door Standard und Azure Front Door Premium. Weitere Details zu den verschiedenen Tiers findest du in Microsofts Leitfaden für Azure Front Door Tiers.

Azure Application Gateway

Azure Application Gateway ist ein Load Balancer für den Webverkehr. Er ermöglicht es dir, den Datenverkehr zu deinen Webanwendungen zu verwalten und zu kontrollieren. Es ist ein Application Delivery Controller (ADC) als Service, der verschiedene Layer 7 Lastausgleichsfunktionen für deine Anwendungen unterstützt.

Microsofts Azure Application Gateway ist laut einer Peerspot.com-Umfrage auf Platz 3 der Application Delivery Controller-Lösungen.

Zu den Funktionen des Application Gateway gehören:

• Unterstützung für automatische Skalierung (Auf- und Abwärtsskalierung) auf der Grundlage der laufenden Verkehrslast deiner Anwendung

• SSL/TLS-Terminierung am Gateway zur Sicherung des unverschlüsselten Datenverkehrs zu den Servern

• Zonenredundanz und Unterstützung für mehrere Verfügbarkeitszonen, um hohe Verfügbarkeit und Fehlertoleranz zu gewährleisten

• URL-basiertes Routing, Hosting mehrerer Websites und Weiterleitung

• Schutz und Sicherheit durch Web Application Firewall (WAF)

• Verwendung als Ingress-Controller für einen Azure Kubernetes Service (AKS)-Cluster

• Integration mit Azure Monitor für Überwachung, Protokollierung und Einblicke

Azure bietet mehrere vollständig verwaltete Lastausgleichslösungen, die für unterschiedliche Anwendungsfälle oder Bedürfnisse geeignet sind. Azure Load Balancer ist eine Alternative, wenn du den Lastausgleich auf der Netzwerkebene durchführen willst. Außerdem gibt es Azure Front Door für die Optimierung des globalen Routings des Webverkehrs und Azure Application Gateway, wenn du einen Server-Lastausgleich auf der Anwendungsebene benötigst.

Azure Traffic Manager

Der Azure Traffic Manager ist ein DNS-basierter Traffic Load Balancer. Dieser Netzwerkdienst ermöglicht es dir, den Datenverkehr für deine öffentlichen Anwendungen effektiv über die globalen Azure-Regionen zu verteilen. Der Traffic Manager bietet deinen öffentlichen Endpunkten außerdem hohe Verfügbarkeit und schnelle Reaktionsfähigkeit.

Zu den wichtigsten Vorteilen von Azure Traffic Manager gehören:

Hybride Anwendungen integrieren und verknüpfen

Traffic Manager unterstützt externe, nicht von Azure stammende Endpunkte, so dass er in hybriden Cloud- und On-Premises-Implementierungen eingesetzt werden kann, einschließlich "Burst-to-Cloud "- , "Migrate-to-Cloud"- und "Failover-to-Cloud"-Szenarien.

Verbesserung von Verfügbarkeit, Wartbarkeit und Leistung

Azure Traffic Manager verspricht Hochverfügbarkeit für kritische Anwendungen durch die Überwachung von Endpunkten und automatische Ausfallsicherung, wenn ein Endpunkt ausfällt. Du kannst geplante Wartungsarbeiten an deinen Anwendungen ohne Ausfallzeiten durchführen lassen. Der Traffic Manager kann den Datenverkehr auf alternative Endpunkte umleiten, während die Wartungsarbeiten laufen. Er kann auch dazu beitragen, die Leistung deiner Anwendung zu verbessern, indem er den Webverkehr zu dem Endpunkt mit der geringsten Latenz leitet.

Verwalte komplexe Verkehrsverteilungen und fortgeschrittene Einsätze

Durch die Verwendung von verschachtelten Traffic Manager-Profilen kannst du mehrere Traffic-Routing-Methoden verwenden, um flexible Regeln zu erstellen, die den Anforderungen komplexer und größerer Einsätze gerecht werden.

Abbildung 4-12 zeigt, wie der Azure Traffic Manager verwendet werden kann, um die Client-Anfrage einer Webanwendung zu einem bestimmten Endpunkt zu leiten, basierend auf der konfigurierten Traffic-Routing-Methode.

Abbildung 4-12. Ein Beispiel für die Verwendung von Azure Traffic Manager für eine Webanwendung zur Skalierung und zum Lastausgleich des Datenverkehrs in einer Hybrid-Cloud-Umgebung

Wenn du mehrere Instances in verschiedenen Azure-Regionen hast und eine dieser Instances bei der Zustandsprüfung fehlschlägt, wird der Datenverkehr für deine Anwendung an die Azure-Region geleitet, die gesund ist. Allerdings kann es bei der Latenz des Datenverkehrs zu einer weit entfernten Region zu einem Leistungsproblem kommen.

Daher gibt es bei der Nutzung und Verwaltung von Azure Traffic Manager einige Überlegungen zur Leistung. Es gibt verschiedene Tools, mit denen du deine DNS-Latenz und Leistung messen kannst. Die technischen Details dieser Überwachungs-Tools zu erörtern, würde den Rahmen dieses Buches sprengen, aber wenn du mehr darüber erfahren möchtest, schau dir die Empfehlungen von Microsoft zur Messung der Leistung des Traffic Managers an.

Azure Network Watcher

Der Azure Network Watcher ist eine Zusammenstellung verschiedener Tools zur Überwachung, Diagnose, Protokollierung und Verwaltung von Metriken für ein virtuelles Azure-Netzwerk. Dieser Netzwerkdienst wird in der Regel verwendet, um den Netzwerkstatus von IaaS-Diensten wie VMs, Anwendungs-Gateways, Load Balancern, virtuellen Netzwerken usw. zu verfolgen und zu überwachen.

Nachfolgend sind einige der Vorteile der Nutzung von Azure Network Watcher aufgeführt:

• Überwache die Kommunikation zwischen VMs und Netzwerkendpunkten in regelmäßigen Abständen mit Warnungen und Benachrichtigungen

• Übersicht und Beziehungen von Azure-Ressourcen in einem virtuellen Netzwerk visualisieren

• Erkennung und Behebung von Problemen bei der Filterung des Netzwerkverkehrs zwischen deinen VMs

• Diagnose von Problemen beim Netzwerk-Routing und bei ausgehenden Verbindungen für VMs

• VMs Packet Capturing, das hilft, mögliche Netzwerkanomalien zu erkennen

Azure Network Watcher ist nützlich, wenn du Probleme im Zusammenhang mit der Erkennung von Anomalien im Netzwerkverkehr in Azure IaaS-Ressourcen beheben willst. Wenn du zum Beispiel ein Problem mit einer VPN-Verbindung zwischen zwei VMs beheben willst, kannst du mit Azure Network Watcher den Datenverkehr zwischen ihnen überwachen.

Eine Einschränkung bei der Verwendung von Azure Network Watcher ist wissenswert. Er funktioniert nicht mit Webanalyse- und Monitoring-PaaS-Diensten, da Network Watcher nicht für diese beiden Dienste entwickelt wurde.

Azure Monitor Network Insights

Azure Monitor Network Insights bietet unter einen Gesamtüberblick über den Zustand und die Metriken aller Netzwerkressourcen, die du in Azure bereitgestellt und gehostet hast. Der Network Insights Service ist Teil von Azure Monitor und ermöglicht es dir, die Netzwerkmetriken einfach und ohne erweiterte Konfiguration zu verfolgen.

Sie ist um diese Schlüsselkomponenten der Überwachung herum aufgebaut:

• Netzwerkstatus und -metriken für die Visualisierung all deiner Netzwerkressourcen mit der Möglichkeit, zu suchen, zu filtern und Warnmeldungen und Abhängigkeitsansichten einzurichten

• Connectivity hilft dir, alle konfigurierten Tests zu visualisieren, die über Connection Monitor durchgeführt werden.

• Verkehr gibt dir einen Überblick über alle Datenflussprotokolle für Netzwerksicherheitsgruppen (NSGs) sowie über die Verkehrsanalyse für die ausgewählte Gruppe von Abonnements, gruppiert nach Standort

• DasDiagnostic Toolkit kann bei der Fehlerbehebung von Netzwerkproblemen eingesetzt werden, z. B. bei der Überprüfung von IP-Flüssen, der Erfassung von Paketen usw.

Wenn du Azure Monitor für die Überwachung und das Sammeln von Metriken für deine Azure-Ressourcen verwendest, dann ist Network Insights ein gutes Tool, vor allem wenn du mehrere Netzwerkressourcen in Azure unterbringst.