Security on Azure – Network Security Teil 3

Anbindungen

Ein zentraler Punkt bei der Nutzung von Cloud-Computing ist die Anbindung der zu nutzenden Ressourcen. Um alle Synergien der eigenen Infrastruktur ausreizen zu können, spielt die Verbindung zwischen der On-Premises-Infrastruktur und der Cloud-Umgebung eine tragende Rolle für die operativen Aufgaben der IT.

Hierbei müssen Anforderungen, je nach Anwendungsfall, in Bezug auf Latenzen, Bandbreite und vor allem der sicheren Kommunikation berücksichtigt werden. In meinem neusten Blogbeitrag zeige ich, welche Möglichkeiten es gibt, eine Verbindung zwischen Ihrer On-Premises Heimatwelt und den Welten der Cloudinfrastrukturen aufzubauen.

Verbindung zu neuen Welten

“What’s with the „worm“ part? The worm thing. I-I don’t get that.“ – O’Neill

Wurmloch Anbindungstechnologien

Zur Anbindung von Azure Ressourcen gibt es grundlegend zwei gängige Arten:

(IPsec) VPN:

VPN sind verschlüsselte Punkt –zu-Punkt-Verbindungen (Tunnel) über das Internet. Sie schützen den Datenfluss gegen ein Mitlesen der Daten und ermöglichen, trotz der Verbindung über das öffentliche Netz, eine sichere Verbindung von entfernten Welten Netzwerken.

Express Route:

Eine Express Route ist eine private Verbindung zwischen verschiedenen Standorten. Das bedeutet, dass der Datenverkehr nicht über das Internet fließt. Sie sind per Default redundant und bieten sehr geringe Latenzen bei hoher Bandbreite.

Für beide Arten der Anbindung werden Gateways benötigt, trotzdem ist nicht jede der Anbindungsarten für alle Anwendungsfälle (oder Reisepläne) empfehlenswert.

There is no place like 

Zum Aufbau eines S2S VPN zwischen Azure und Ihrer On-Premises-Umgebungist es nötig verschiedene Parameter (die gleichen auf beiden Seiten) festzulegen. Es werden Ziel- und Heimatkoordinaten Remote- und Local-Gateway-Adressen, die IKE-Version (Schlüssel Austausch Protokoll), die Netzwerke (welche hinter dem Stargate Gateway erreicht werden sollen) und die Parameter für Phase 1 (Schlüsselaustausch) und Phase 2 (Datenaustausch) benötigt.

Eine IPsec Anbindung zu Azure bringt folgende Features mit sich:

• Sichere (verschlüsselte) Verbindung (moderne Algorithmen wählbar)
• Azure VPN Gateways werden durch Microsoft gewartet und aktuell gehalten (niedrigere administrative Aufwände)
• Policybased und Routebased Routing
• Hochverfügbarkeit und garantierte Uptimes (SLA)
• Zentrales Monitoring des Traffics
• Maximale Bandbreite von 1.25 Gbps

Die Anbindung über ein Azure S2S VPN ist für die meisten Anwendungsfälle geeignet, außerdem ist es deutlich günstiger als die Anbindung über eine Express Route. Wenn keine Anforderungen bestehen, dass der Datenverkehr nicht über einen öffentlichen Kanal (das Internet) fließen darf und keine außergewöhnlich hohen Bandbreiten (> 1.25 Gbps) und sehr niedrige Latenzen benötigt werden, sollte die Wahl auf eine S2S Anbindung fallen.

Im Gegensatz zu IPsec VPN fließen bei der Anbindung über eine Express Route keine Daten über einen öffentlichen Kanal, sondern über ein Backbone Netzwerk von Microsoft und deren Partnern. Die Partner übernehmen das Peering zwischen Ihren Heimatwelt Standorten zu den Partnerplaneten Partnerstandorten und von dort weiter zu den Azure Netzwerken.

Eine Anbindung über Express Route bringt folgende Features mit sich:

• Layer 3 Verbindung (BGP – dynamisches Routing)
• Private Verbindung mit niedrigen Latenzen
• Hochverfügbarkeit und garantierte Uptimes (SLA)
• Verbindung zu allen geopolitischen Azure Services
• Bandbreite bis 10Gbps verfügbar

Sollten Anforderungen eine private Verbindung fordern oder eine Anbindung mit sehr niedrigen Latenzen und außergewöhnlich hohen Bandbreiten (bis zu 10Gbps) benötigt werden, ist eine Anbindung über eine Express Route zu empfehlen. Zusätzlich können auf einem Express Route Stargate Gateway auch VPN Verbindungen terminieren.

Alte Götter

Autor: Dominic Iselt, IT Security Engineering Expert