La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

WPC066 - Deploying DMZ in Azure networks

PubblicatoRossana Scognamiglio Modificato 6 anni fa

Presentazioni simili

Presentazione sul tema: "WPC066 - Deploying DMZ in Azure networks"— Transcript della presentazione:

1 WPC066 - Deploying DMZ in Azure networks
Andrea Mennuni Senior Systems Engineer - Pulsar IT

2 Chi è Andrea Mennuni? Lavoro dal 2000, prima come Sysadmin Unix e VMware, ora su prodotti Microsoft Senior Systems Engineer in Pulsar IT da 5 anni Specializzazioni: Microsoft Exchange (dalla versione 5.5) System Center Office 365 Infrastruttura (Active Directory, Azure, Hyper-V, PKI…) Certificazioni: MCSE (Private Cloud, Messaging, Productivity, Cloud Platform and Infrastructure) MCSA (Windows Server 2012, Office 365)

3 Windows 10 e Enterprise Mobility Enterprise Collaboration
Pulsar IT – chi siamo DISEGNO, REALIZZAZIONE E SUPPORTO DI SOLUZIONI COMPLETE Modern DataCenter Windows Server 2016, Hyper-V, System Center, Azure IaaS, Azure Stack Windows 10 e Enterprise Mobility PC e Device Management, Intune, Mobile Application Management Enterprise Collaboration OneDrive, SharePoint, OneNote, Exchange, Outlook & Skype, Office Apps Enterprise Voice Telefonia con Skype for Business & Cloud PBX Secure Productive Enterprise Trusted environment for Smart Working blogs.pulsarit.net Microsoft Excellence since 1995

4 Agenda Azure networks overview Network Security Groups Azure & DMZ
Un caso reale: DMZ per ADFS Farm Best Practice & Troubleshooting

5 Azure Classic vs Azure Resource Manager (ARM)

6 Oggetti di rete su Azure
Virtual Network (VNet) Virtual Network Subnet Virtual Network Gateway Network Interface Public IP Address Load Balancer Network Security Groups (ARM) Oggetti di rete su Azure

7 Reti a confronto

8 Virtual Network Peering
È un meccanismo che connette due reti della stessa region Consente la comunicazione tra le VM delle due reti attarverso la rete privata di Azure Permette di connettere VM di tipo classic alle VM ARM Di default non c’è filtro tra due VNet in peering Permette ad una VNet di utilizzare i gateway associati ad un’altra VNet

9 Creazione reti portale e PS
New-AzureRmResourceGroup -Name wpc16-RG -Location westeurope $subnet1 = New-AzureRmVirtualNetworkSubnetConfig -Name 'wpc16-net-sub1' -AddressPrefix ' /24' $subnet2 = New-AzureRmVirtualNetworkSubnetConfig -Name 'wpc16-net-sub2' -AddressPrefix ' /24' New-AzureRmVirtualNetwork -Name wpc16-net -ResourceGroupName wpc16-RG -Location westeurope -AddressPrefix /16 -Subnet $subnet1,$subnet2

10 DEMO 1 Azure networks overview
Creazione reti da portale e PowerShell

11 Azure Network Security

12 Strumenti di sicurezza
Protezione integrata in Azure Protezione DDoS Service endpoints: viene pubblicato via NAT solo ciò che è richiesto Strumenti a disposizione Network Security Groups (NSGs) e load balancers Network Virtual Appliance * User-defined Route (UDR) * * Firewall, load balancer e IDS/IPS disponibili nell’Azure Marketplace Strumenti di sicurezza

13 Network Security Group (NSG)
Network Security Group = Access Control List (ACL) È un raggruppamento di ACL Può essere associato ad una o più VM (classic), ad una o più NIC (ARM) o ad una o più subnet Quando viene associato ad una subnet, le regole ACL si applicano a tutte le VM collegate Il traffico per una singola VM può essere limitato ulteriormente associando direttamente un altro NSG Sono “cumulativi”: le ACL di due NSG applicati vengono aggregate ed applicate secondo la priorità Le ACL equivalgono a regole 5-tuple di un firewall Indirizzo sorgente e destinazione, porta sorgente e destinazione, protocollo Se una VM ha un IP pubblico assegnato e non ha NSG associati alla NIC o alla subnet, tutte le porte sono disponibili dall’esterno

14 Proprietà Regole ACL Tipo Indirizzo sorgente, indirizzo destinazione
Uno tra: Inboud o Outbound Indirizzo sorgente, indirizzo destinazione Uno tra: TAG, IP Address, IP Subnet, * o /0 Porta sorgente, porta destinazione Uno tra: Porta, Intervallo di porte o * Protocollo Uno tra: TCP, UDP o * Azione Uno tra: Allow o Deny Priorità Valore consentito: tra 101 e 65000

15 TAG per gli indirizzi È un’etichetta utilizzabile nell’indirizzo sorgente o destinazione VirtualNetwork Virtual Network Subnets definite su Azure più le subnet ruotate dai gateway o definite nelle peered VNet Internet /0 meno VirtualNetwork AzureLoadBalancer Viene popolato automaticamente con gli IP dei bilanciatori utilizzati per le probe

16 Default NSG su VM

17 DEMO 2 Network Security Groups

18 Azure & DMZ

19 DMZ tradizonale vs Azure DMZ

20 DMZ Azure

21 Perché fare una DMZ su Azure
Se una VM ha un IP pubblico assegnato e non ha NSG associati alla NIC o alla subnet, tutte le porte sono disponibili dall’esterno TAG VirtualNetwork Virtual Network Subnets definite su Azure più le subnet ruotate dai gateway o definite nelle peered VNet

22 Public IP & Name resolution
Su Azure Resource Manager un indirizzo IP pubblico è una risorsa a sé stante Può essere associato ad una di queste risorse: Virtual machine (VM) External Load Balancer VPN Gateway Application gateway L’allocazione può essere dinamica o statica In caso di allocazione dinamica (default) l’IP viene viene rilasciato quando la risorsa viene fermata (VM, LB) o cancellata (gateway) Non si può “scegliere” un IP statico, viene estratto automaticamente da un pool in base alla region È possibile assegnare un nome DNS all’IP pubblico, che genera un FQDN NomeRisorsa.Region.cloudapp.azure.com In caso di IP dinamico, quando viene modificato (stop e start VM), non richiede modifiche

23 Azure Load Balancer Layer 4 Load Balancer (TCP, UDP)
Tre modalità di configurazione Bilanciamento del traffico Internet (Internet-facing o external load balancing) Bilanciamento all’interno di una virtual network (Internal load balancing) Forward del traffico Internet verso una VM specifica (NAT)

24 Altri metodi di distribuzione del traffico
Application gateway Layer 7 (HTTP e HTTPS) È paragonabile ad un reverse proxy Può essere sia Internet-facing che interno Permette SSL Offloading Traffic Manager DNS Level Qualunque tipo di protocollo Solo per servizi pubblici È indipendente dalle region Utile per distribuzione geografica (anche tra Azure e OnPrem) Altri metodi di distribuzione del traffico

25 DEMO 3 Allocazione IP su VM Azure, IP pubblici, DNS, Balancer

26 DMZ e publishing di servizi

27 DMZ Azure

28 Azure AD Application Proxy
Pubblicazione simile a Web Application Proxy Richiede un connettore OnPrem Può autenticare su Azure AD o fare Passthrough (no autenticazione) Default URL Si può utilizzare un proprio dominio ma deve essere aggiunto su Azure AD e verificato, e deve essere aggiunto il certificato Inside Corp Net Azure AD Application proxy On-premises connector Published website

29 DEMO 4 Un caso reale: DMZ per ADFS Farm

30 Best Practice & Troubleshooting

31 Virtual Network Consigli
Creare una Virtual Network per applicazione Creare una subnet per ogni strato dell’applicazione Utilizzare reti private con NAT, se possibile Abilitare solo le porte necessarie sui bilanciatori Abilitare il NAT in uscita solo per le VM che lo necessitano Almeno sulle VM con IP pubblico, lasciare associato il NSG che viene creato con la VM Creare i gateway solo se necessario Virtual Network Consigli

32 Strumenti di Troubleshooting
Effective Security Rules Effective Routes Possono essere eseguiti dal portale ARM In PowerShell (Get-AzureRmEffectiveNetworkSecurityGroup -NetworkInterfaceName VM1-NIC1 -ResourceGroupName RG1).EffectiveSecurityRules | Sort-Object Direction,Access,Priority | Out-GridView Da notare che il TAG VIRTUAL_NETWORK viene popolato automaticamente con le reti ruotate dai gateway o con le reti delle peered VNet

33 DEMO 5 - Azure Networks Troubleshooting

34 Tips & Tricks Aggiungere una regola ad un Network Security Group
Installazione moduli PS Install-Module AzureRM Install-AzureRM Connessione e selezione subscription Login-AzureRmAccount Select-AzureRmSubscription -SubscriptionName “Nome_Subscription“ Aggiungere una regola ad un Network Security Group Get-AzureNetworkSecurityGroup -Name "NSG" | ` Set-AzureNetworkSecurityRule -Name "Allow-In-DNS" ` -Type Inbound -Priority 100 -Action Allow ` -SourceAddressPrefix VIRTUAL_NETWORK -SourcePortRange '*' ` -DestinationAddressPrefix <VM_IP> ` -DestinationPortRange '53' ` -Protocol *

35 Domande e Risposte Q&A

36 Contatti OverNet Education
Tel @overnete Contatti OverNet Education

Scaricare ppt "WPC066 - Deploying DMZ in Azure networks"

Presentazioni simili

Elaborazione del Book Informatico

Elaborazione del Book Informatico
Servizi integrati e completi per la piccola impresa Andrea Candian.

Servizi integrati e completi per la piccola impresa Andrea Candian.
Architettura di Exchange Server 2003 Ivan Riservato Andrea Garattini.

Architettura di Exchange Server 2003 Ivan Riservato Andrea Garattini.
ISA Server 2004 Enterprise Edition Preview. ISA Server 2004.

ISA Server 2004 Enterprise Edition Preview. ISA Server 2004.
ISA Server 2004 Configurazione di Accessi via VPN

ISA Server 2004 Configurazione di Accessi via VPN
Windows Server 2003: Tecnologie per lalta disponibilità Andrea Candian.

Windows Server 2003: Tecnologie per lalta disponibilità Andrea Candian.
Office System 2007: il licensing dei prodotti server.

Office System 2007: il licensing dei prodotti server.
Fabio Mignani Senior Technology Specialist

Fabio Mignani Senior Technology Specialist
ISA Server for the Enterprise. Clients Client Overview Internet ISA Server SecureNAT Client Do not require you to deploy client software or configure.

ISA Server for the Enterprise. Clients Client Overview Internet ISA Server SecureNAT Client Do not require you to deploy client software or configure.
Organizzazione di una rete Windows 2003

Organizzazione di una rete Windows 2003
Servizio DHCP.

Servizio DHCP.
COLT Enterprise Cloud Dionigi Faccenda La visione di COLT.

COLT Enterprise Cloud Dionigi Faccenda La visione di COLT.
Dynamic Data Center Toolkit for Hoster

Dynamic Data Center Toolkit for Hoster
La sicurezza può essere fornita in ciascuno degli strati: applicazione, trasporto, rete. Quando la sicurezza è fornita per uno specifico protocollo dello.

La sicurezza può essere fornita in ciascuno degli strati: applicazione, trasporto, rete. Quando la sicurezza è fornita per uno specifico protocollo dello.
Monitoring di sistemi e di applicazioni

Monitoring di sistemi e di applicazioni
Guida IIS 6 A cura di Nicola Del Re.

Guida IIS 6 A cura di Nicola Del Re.
Windows Intune, la soluzione Cloud per la gestione dei PC in azienda Lorenzo Santagata Product Marketing Manager Windows Client Microsoft 15 dicembre 2010.

Windows Intune, la soluzione Cloud per la gestione dei PC in azienda Lorenzo Santagata Product Marketing Manager Windows Client Microsoft 15 dicembre 2010.
IBM Lotus Notes e Domino

IBM Lotus Notes e Domino
IPSec Fabrizio Grossi.

IPSec Fabrizio Grossi.
Exchange 2003 ed i “Mobile Worker”. Agenda Esigenze dei Mobile Worker Strumenti Soluzioni “legacy” Accesso ad Exchange 2003 Architetture/implementazioni.

Exchange 2003 ed i “Mobile Worker”. Agenda Esigenze dei Mobile Worker Strumenti Soluzioni “legacy” Accesso ad Exchange 2003 Architetture/implementazioni.

Presentazioni simili

Annunci Google