WPC066 - Deploying DMZ in Azure networks

Slides:



Advertisements
Presentazioni simili
Elaborazione del Book Informatico
Advertisements

Servizi integrati e completi per la piccola impresa Andrea Candian.
Architettura di Exchange Server 2003 Ivan Riservato Andrea Garattini.
ISA Server 2004 Enterprise Edition Preview. ISA Server 2004.
ISA Server 2004 Configurazione di Accessi via VPN
Windows Server 2003: Tecnologie per lalta disponibilità Andrea Candian.
Office System 2007: il licensing dei prodotti server.
Fabio Mignani Senior Technology Specialist
ISA Server for the Enterprise. Clients Client Overview Internet ISA Server SecureNAT Client Do not require you to deploy client software or configure.
Organizzazione di una rete Windows 2003
Servizio DHCP.
COLT Enterprise Cloud Dionigi Faccenda La visione di COLT.
Dynamic Data Center Toolkit for Hoster
La sicurezza può essere fornita in ciascuno degli strati: applicazione, trasporto, rete. Quando la sicurezza è fornita per uno specifico protocollo dello.
Monitoring di sistemi e di applicazioni
Guida IIS 6 A cura di Nicola Del Re.
Windows Intune, la soluzione Cloud per la gestione dei PC in azienda Lorenzo Santagata Product Marketing Manager Windows Client Microsoft 15 dicembre 2010.
IBM Lotus Notes e Domino
IPSec Fabrizio Grossi.
Exchange 2003 ed i “Mobile Worker”. Agenda Esigenze dei Mobile Worker Strumenti Soluzioni “legacy” Accesso ad Exchange 2003 Architetture/implementazioni.
Certificati e VPN.
CUBE firewall Lic. Computers Center aprile 2003 Villafranca di Verona, Italia.
Tecnologie di Sicurezza in Internet APPLICAZIONI AA Ingegneria Informatica e dell’Automazione programma.
Protocolli di rete. Sommario  Introduzione ai protocolli di rete  Il protocollo NetBEUI  Il protocollo AppleTalk  Il protocollo DLC  Il protocollo.
Tecnologie di Sicurezza in Internet APPLICAZIONI Commonly used proxies and SSH AA Ingegneria Informatica e dell’Automazione.
Presenta – #wpc15it1 BI005 - Real Power BI Franco Perduca Factory Software srl
 Network Address Traslation: tecnica che permette di trasformare gli indirizzi IP privati in indirizzi IP pubblici  Gli indirizzi devono essere univoci.
Tecnologie di Sicurezza in Internet APPLICAZIONI Nozioni preliminari AA Ingegneria Informatica e dell’Automazione.
 Cenni su switch e vlan  Layout fisico per la rete della cloud  Layout virtuale dei computing nodes  Layout virtuale del nerwork node  Riassunto.
INFORMATICA CORSO DI INFORMATICA DI BASE ANNO ACCADEMICO 2015/2016 DOCENTE: SARRANTONIO ARTURO.
Linux Day 2006 – Giornata nazionale dedicata al Software Libero e GNU/ Linux – Come proteggere Windows tm con GNU/Linux Roberto Lacava.
UNIVERSITA' DEGLI STUDI DI PERUGIA Facoltà di Scienze Matematiche, Fisiche e Naturali Corso di Laurea Magistrale in Informatica Anno Accademico
A dvanced N etwork T echnologies Lab oratory Infrastrutture e Protocolli per Internet Laboratorio 5 Politecnico di Milano Stefano NapoliAlberto Pollastro.
Università degli Studi - “ G. d'Annunzio ” Chieti - Pescara FACOLTÀ DI ECONOMIA Corso di laurea in Economia Informatica/s Seminario di: Giovanni Placentino.
Alma Mater Studiorum - Università di Bologna Facoltà di Scienze Matematiche Fisiche e Naturali Dipartimento di Scienze dell’Informazione Supporto al multihoming.
Virtual Private Networks
WPC064 Il deployment di Windows 10 nelle PMI
Configurazione Router IR794- IG601
NAT, Firewall, Proxy Processi applicativi.
Vulnerability Assessment
TCP/IP.
Office WPC044 - Managing Office 365 Tenant: News & New Features
Arkoon Network Security 2010
Office WPC049 Strumenti di supporto e analisi per Office 365
WPC069 Il deployment automatizzato di Windows 10
Agenda Il problema della protezione dei dati
App-to-Cloud Security
Vito Flavio Lorusso – Senior SDE - Microsoft
CARATTERISTICHE DI UN DATACENTER
Rete e comunicazione Appunti.
TCP/IP. Sommario  Introduzione al TCP/IP  Indirizzi IP  Subnet Mask  Frame IP  Meccanismi di comunicazione tra reti diverse  Classi di indirizzi.
Breve report su corso RedHat Enterprise Virtualization (RH318)
PNSD - Modulo D1A 27 aprile 2017 Piattaforme di e-­learning e cloud:​ installazione e gestione (azione #22) Prof. Rocca Marcello
La piattaforma di servizi unificati
WPC034 - Visual Studio Code: sviluppare su Linux, Mac OS e Windows
Vito Flavio Lorusso – Senior SDE - Microsoft
Sistema Operativo - DietPI
analizzatore di protocollo
Antonio Mosca Public Sector Practice Manager
Progetto di integrazione Enterprises Networks Data Centers
Organizzazione di una rete Windows 2000
Windows Admin Center La rivoluzione della gestione di Windows Server
Funzionalita’ VoIP di base in Lync Server 2010
Via Emilio Ghione, Roma
L’accesso degli utenti esterni a Lync Server 2010
Firewalling.
Esercitazioni corso di RETI
Corso base per Operatori di Protezione Civile
Il Livello di Trasporto
Virtual Private Network SSL
Transcript della presentazione:

WPC066 - Deploying DMZ in Azure networks Andrea Mennuni Senior Systems Engineer - Pulsar IT andrea.mennuni@pulsarit.net

Chi è Andrea Mennuni? Lavoro dal 2000, prima come Sysadmin Unix e VMware, ora su prodotti Microsoft Senior Systems Engineer in Pulsar IT da 5 anni Specializzazioni: Microsoft Exchange (dalla versione 5.5) System Center Office 365 Infrastruttura (Active Directory, Azure, Hyper-V, PKI…) Certificazioni: MCSE (Private Cloud, Messaging, Productivity, Cloud Platform and Infrastructure) MCSA (Windows Server 2012, Office 365) Twitter: @setol0 www.wpc2016.it – info@wpc2016.it - +39 02 365738.11

Windows 10 e Enterprise Mobility Enterprise Collaboration Pulsar IT – chi siamo DISEGNO, REALIZZAZIONE E SUPPORTO DI SOLUZIONI COMPLETE Modern DataCenter Windows Server 2016, Hyper-V, System Center, Azure IaaS, Azure Stack Windows 10 e Enterprise Mobility PC e Device Management, Intune, Mobile Application Management Enterprise Collaboration OneDrive, SharePoint, OneNote, Exchange, Outlook & Skype, Office 365 Apps Enterprise Voice Telefonia con Skype for Business & Cloud PBX Secure Productive Enterprise Trusted environment for Smart Working www.pulsarit.net blogs.pulsarit.net Microsoft Excellence since 1995

Agenda Azure networks overview Network Security Groups Azure & DMZ Un caso reale: DMZ per ADFS Farm Best Practice & Troubleshooting www.wpc2016.it – info@wpc2016.it - +39 02 365738.11

Azure Classic vs Azure Resource Manager (ARM) www.wpc2016.it – info@wpc2016.it - +39 02 365738.11

Oggetti di rete su Azure Virtual Network (VNet) Virtual Network Subnet Virtual Network Gateway Network Interface Public IP Address Load Balancer Network Security Groups (ARM) Oggetti di rete su Azure www.wpc2016.it – info@wpc2016.it - +39 02 365738.11

Reti a confronto www.wpc2016.it – info@wpc2016.it - +39 02 365738.11

Virtual Network Peering È un meccanismo che connette due reti della stessa region Consente la comunicazione tra le VM delle due reti attarverso la rete privata di Azure Permette di connettere VM di tipo classic alle VM ARM Di default non c’è filtro tra due VNet in peering Permette ad una VNet di utilizzare i gateway associati ad un’altra VNet www.wpc2016.it – info@wpc2016.it - +39 02 365738.11

Creazione reti portale e PS New-AzureRmResourceGroup -Name wpc16-RG -Location westeurope $subnet1 = New-AzureRmVirtualNetworkSubnetConfig -Name 'wpc16-net-sub1' -AddressPrefix '10.0.0.0/24' $subnet2 = New-AzureRmVirtualNetworkSubnetConfig -Name 'wpc16-net-sub2' -AddressPrefix '10.0.1.0/24' New-AzureRmVirtualNetwork -Name wpc16-net -ResourceGroupName wpc16-RG -Location westeurope -AddressPrefix 10.0.0.0/16 -Subnet $subnet1,$subnet2 www.wpc2016.it – info@wpc2016.it - +39 02 365738.11

DEMO 1 Azure networks overview Creazione reti da portale e PowerShell www.wpc2016.it – info@wpc2016.it - +39 02 365738.11

Azure Network Security www.wpc2016.it – info@wpc2016.it - +39 02 365738.11

Strumenti di sicurezza Protezione integrata in Azure Protezione DDoS Service endpoints: viene pubblicato via NAT solo ciò che è richiesto Strumenti a disposizione Network Security Groups (NSGs) e load balancers Network Virtual Appliance * User-defined Route (UDR) * * Firewall, load balancer e IDS/IPS disponibili nell’Azure Marketplace Strumenti di sicurezza www.wpc2016.it – info@wpc2016.it - +39 02 365738.11

Network Security Group (NSG) Network Security Group = Access Control List (ACL) È un raggruppamento di ACL Può essere associato ad una o più VM (classic), ad una o più NIC (ARM) o ad una o più subnet Quando viene associato ad una subnet, le regole ACL si applicano a tutte le VM collegate Il traffico per una singola VM può essere limitato ulteriormente associando direttamente un altro NSG Sono “cumulativi”: le ACL di due NSG applicati vengono aggregate ed applicate secondo la priorità Le ACL equivalgono a regole 5-tuple di un firewall Indirizzo sorgente e destinazione, porta sorgente e destinazione, protocollo Se una VM ha un IP pubblico assegnato e non ha NSG associati alla NIC o alla subnet, tutte le porte sono disponibili dall’esterno www.wpc2016.it – info@wpc2016.it - +39 02 365738.11

Proprietà Regole ACL Tipo Indirizzo sorgente, indirizzo destinazione Uno tra: Inboud o Outbound Indirizzo sorgente, indirizzo destinazione Uno tra: TAG, IP Address, IP Subnet, * o 0.0.0.0/0 Porta sorgente, porta destinazione Uno tra: Porta, Intervallo di porte o * Protocollo Uno tra: TCP, UDP o * Azione Uno tra: Allow o Deny Priorità Valore consentito: tra 101 e 65000 www.wpc2016.it – info@wpc2016.it - +39 02 365738.11

TAG per gli indirizzi È un’etichetta utilizzabile nell’indirizzo sorgente o destinazione VirtualNetwork Virtual Network Subnets definite su Azure più le subnet ruotate dai gateway o definite nelle peered VNet Internet 0.0.0.0/0 meno VirtualNetwork AzureLoadBalancer Viene popolato automaticamente con gli IP dei bilanciatori utilizzati per le probe www.wpc2016.it – info@wpc2016.it - +39 02 365738.11

Default NSG su VM www.wpc2016.it – info@wpc2016.it - +39 02 365738.11

DEMO 2 Network Security Groups www.wpc2016.it – info@wpc2016.it - +39 02 365738.11

Azure & DMZ www.wpc2016.it – info@wpc2016.it - +39 02 365738.11

DMZ tradizonale vs Azure DMZ www.wpc2016.it – info@wpc2016.it - +39 02 365738.11

DMZ Azure www.wpc2016.it – info@wpc2016.it - +39 02 365738.11

Perché fare una DMZ su Azure Se una VM ha un IP pubblico assegnato e non ha NSG associati alla NIC o alla subnet, tutte le porte sono disponibili dall’esterno TAG VirtualNetwork Virtual Network Subnets definite su Azure più le subnet ruotate dai gateway o definite nelle peered VNet www.wpc2016.it – info@wpc2016.it - +39 02 365738.11

Public IP & Name resolution Su Azure Resource Manager un indirizzo IP pubblico è una risorsa a sé stante Può essere associato ad una di queste risorse: Virtual machine (VM) External Load Balancer VPN Gateway Application gateway L’allocazione può essere dinamica o statica In caso di allocazione dinamica (default) l’IP viene viene rilasciato quando la risorsa viene fermata (VM, LB) o cancellata (gateway) Non si può “scegliere” un IP statico, viene estratto automaticamente da un pool in base alla region È possibile assegnare un nome DNS all’IP pubblico, che genera un FQDN NomeRisorsa.Region.cloudapp.azure.com In caso di IP dinamico, quando viene modificato (stop e start VM), non richiede modifiche www.wpc2016.it – info@wpc2016.it - +39 02 365738.11

Azure Load Balancer Layer 4 Load Balancer (TCP, UDP) Tre modalità di configurazione Bilanciamento del traffico Internet (Internet-facing o external load balancing) Bilanciamento all’interno di una virtual network (Internal load balancing) Forward del traffico Internet verso una VM specifica (NAT) www.wpc2016.it – info@wpc2016.it - +39 02 365738.11

Altri metodi di distribuzione del traffico Application gateway Layer 7 (HTTP e HTTPS) È paragonabile ad un reverse proxy Può essere sia Internet-facing che interno Permette SSL Offloading Traffic Manager DNS Level Qualunque tipo di protocollo Solo per servizi pubblici È indipendente dalle region Utile per distribuzione geografica (anche tra Azure e OnPrem) Altri metodi di distribuzione del traffico www.wpc2016.it – info@wpc2016.it - +39 02 365738.11

DEMO 3 Allocazione IP su VM Azure, IP pubblici, DNS, Balancer www.wpc2016.it – info@wpc2016.it - +39 02 365738.11

DMZ e publishing di servizi www.wpc2016.it – info@wpc2016.it - +39 02 365738.11

DMZ Azure www.wpc2016.it – info@wpc2016.it - +39 02 365738.11

Azure AD Application Proxy Pubblicazione simile a Web Application Proxy Richiede un connettore OnPrem Può autenticare su Azure AD o fare Passthrough (no autenticazione) Default URL https://”name”-”tenantname”.msappproxy.net/ Si può utilizzare un proprio dominio ma deve essere aggiunto su Azure AD e verificato, e deve essere aggiunto il certificato Inside Corp Net Azure AD Application proxy On-premises connector Published website www.wpc2016.it – info@wpc2016.it - +39 02 365738.11

DEMO 4 Un caso reale: DMZ per ADFS Farm www.wpc2016.it – info@wpc2016.it - +39 02 365738.11

Best Practice & Troubleshooting www.wpc2016.it – info@wpc2016.it - +39 02 365738.11

Virtual Network Consigli Creare una Virtual Network per applicazione Creare una subnet per ogni strato dell’applicazione Utilizzare reti private con NAT, se possibile Abilitare solo le porte necessarie sui bilanciatori Abilitare il NAT in uscita solo per le VM che lo necessitano Almeno sulle VM con IP pubblico, lasciare associato il NSG che viene creato con la VM Creare i gateway solo se necessario Virtual Network Consigli www.wpc2016.it – info@wpc2016.it - +39 02 365738.11

Strumenti di Troubleshooting Effective Security Rules Effective Routes Possono essere eseguiti dal portale ARM In PowerShell (Get-AzureRmEffectiveNetworkSecurityGroup -NetworkInterfaceName VM1-NIC1 -ResourceGroupName RG1).EffectiveSecurityRules | Sort-Object Direction,Access,Priority | Out-GridView Da notare che il TAG VIRTUAL_NETWORK viene popolato automaticamente con le reti ruotate dai gateway o con le reti delle peered VNet www.wpc2016.it – info@wpc2016.it - +39 02 365738.11

DEMO 5 - Azure Networks Troubleshooting www.wpc2016.it – info@wpc2016.it - +39 02 365738.11

Tips & Tricks Aggiungere una regola ad un Network Security Group Installazione moduli PS Install-Module AzureRM Install-AzureRM Connessione e selezione subscription Login-AzureRmAccount Select-AzureRmSubscription -SubscriptionName “Nome_Subscription“ Aggiungere una regola ad un Network Security Group Get-AzureNetworkSecurityGroup -Name "NSG" | ` Set-AzureNetworkSecurityRule -Name "Allow-In-DNS" ` -Type Inbound -Priority 100 -Action Allow ` -SourceAddressPrefix VIRTUAL_NETWORK -SourcePortRange '*' ` -DestinationAddressPrefix <VM_IP> ` -DestinationPortRange '53' ` -Protocol * www.wpc2016.it – info@wpc2016.it - +39 02 365738.11

Domande e Risposte Q&A www.wpc2016.it – info@wpc2016.it - +39 02 365738.11

Contatti OverNet Education info@overneteducation.it www.overneteducation.it Tel. 02 365738 @overnete www.facebook.com/OverNetEducation www.linkedin.com/company/overnet-solutions www.wpc2016.it Contatti OverNet Education www.wpc2016.it – info@wpc2016.it - +39 02 365738.11

Feed-back: Privacy Policy Feed-back
Sul progetto: SlidePlayer Condizioni di utilizzo

© 2024 SlidePlayer.it Inc. All rights reserved.