Azure-Ressourcen mit Network Security Groups schützen

Cloudpolizei

,
In modernen Infrastrukturen müssen Bereiche mit unterschiedlichen Sicherheitseinstufungen in Zonen unterteilt werden. Diese Segmentierung, die in Datenzentren schon lange stattfindet, ist in Azure ebenso möglich – inklusive mehrschichtiger Konfiguration von Zugriffsregeln. Solch granulare Sicherheit bieten die Azure Network Security Groups.
Wir starten das neue Jahr mit dem Schwerpunkt 'Netzwerke sicher betreiben'. Während die Netzwerkgrenzen zusehends verschwimmen, gehen Angreifer immer gezielter ... (mehr)

Für Ressourcen in der Azure-Cloud existiert eine Vielzahl von Zugriffsmöglichkeiten. Viele Organisationen verschieben Teile ihrer Datenzentren nach Azure und veröffentlichen Dienste wie Webseiten, Anwendungen oder komplexe Infrastrukturen als öffentlich zugängliche Angebote oder für Benutzer des eigenen Unternehmens. Selten sind dabei die Szenarien so simpel, dass es sich um eine einzelne Webseite oder einen einzelnen Webserver handelt, der aus einer Azure-VM betrieben und veröffentlicht wird. Gerade "Lift & Shift"-Szenarien oder komplexe Architekturen bilden oftmals verschiedene geschützte Ebenen ab, die die Trennung verschiedener Dienste und Komponenten erzwingen. Klassische Datenzentren sind selten per "any-to-any"-Kommunikation angebunden, sondern in Zonen gruppiert und geschützt.

Bei anspruchsvollen Anwendungen, die aus mehreren Komponenten, Datenbanken, Frontend, Backend, Storage, Microservices und lose angebundenen externen Datenquellen bestehen, muss selten jeder mit jedem sprechen. Das bedingt, dass auch Azure eine Trennung unterschiedlicher Ressourcen und die Aufteilung unterstützen muss. Stellen Sie sich eine verteilte Anwendung vor, die mehrere Tiers besitzt und für die Ausfallsicherheit über verschiedene Datenzentren verteilt ist. Da sich Azure-Netzwerke auch über Datacentergrenzen und Regionen hinweg miteinander verbinden lassen, sollte auch definierbar sein, welche Anfragen diese Gren­zen überschreiten. Das Mittel der Wahl heißt Network Security Groups (NSGs).

Verkehrssteuerung über Regeln

Die NSG agiert in Azure-Netzwerken wie eine Firewall, die einkommenden und ausgehenden Verkehr untersucht und filtert. Die Filterung ist dabei klassisch anhand definierbarer Regeln gelöst, die Azure-Admins steuern. Das Konzept ist nützlich für alle Ressourcen eines Azure-Netzwerks, wie etwa VMs, Azure-Batch-Services, HDInsight,

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019