IaaS VMを使用して、AzureでエクストラパラノイドハブアンドスポークDMZセットアップを作成したいと思います。
厳しくロックダウンしたいフロントエンドサーバー(つまり、IIS Webサーバー)に面したパブリックインターネットがあります。ただし、フロントエンドでは、一部のバックエンドサーバー(データベース、ドメインコントローラーなど)にアクセスする必要があります。確認したい:
- フロントエンドサーバーのみがバックエンドサーバーと通信でき、合意されたポートでのみ通信できます。
- バックエンドサーバーは、パブリックインターネットとの間でトラフィックを送受信できません。
- バックエンドサーバーは相互に通信できません。
- これらのルールは、多層防御を提供するためにVMオペレーティングシステムレイヤーを超えて適用されます。
これは妥当なシナリオのように思えますが、Azureでは実現できないようです。私ができる最も近いものは次のとおりです。
- IaaS VMフロントエンドを作成し、そのエンドポイントを適切に制限します
- 「フロントエンド」と「バックエンド」のサブネットを使用してAzure仮想ネットワークを作成し、各マシンを適切なサブネットに配置します。
- バックエンドVMへのRDPアクセスを防止します。バックエンドマシンにRDPを実行する場合は、フロントエンドVMを介して実行する必要があります。
- これらの各マシンにWindowsファイアウォールルールを設定して、これらのハブアンドスポークスタイルのルールを適用します。
これは問題なく動作しますが、私が望むほどロックダウンされていません。各マシンのWindows/Linuxファイアウォール設定に依存する必要がないように、多層防御が本当に必要です。たとえば、バックエンドサーバーが管理者の資格情報を使用してアプリケーションを実行する必要があるとします(これに代わるものがないと仮定します)。バックエンドサーバーのバグ(または悪意のあるクエリ)ができないように、保護の追加レイヤーが必要です。
- バックエンドのファイアウォールを再構成して、制限を緩和します。
- フロントエンドマシン(これにはパブリックインターネットが含まれます)以外の人と話します。
私の知る限り、これは仮想ネットワークを使用するAzureでは不可能です。理由は次のとおりです。
- Azure Virtual Networksは、ACLやその他の高度なフィルタリングサポートを公開していないようです。
- Azure IaaS VMは単一のNICのみをサポートするため、フロントエンドをフロントエンドとバックエンドの両方のサブネットでマルチホーム化することはできません。
私は何かが足りないのですか?複数の仮想ネットワークを使用して何かを一緒にハッキングし、それらを/ 30サブネットの束として一緒にVPNできるように思えますが、それはかなりひどいようです。Azureでこれを理解できない場合、私の唯一の合理的な代替手段は、仮想プライベートクラウド(VPC)を使用してAWSでこのようなものをセットアップすることです。任意のヘルプ/ガイダンスをいただければ幸いです。