Video-Tip: Sicherheit virtueller Netzwerke

Virtuelle Firewalls in Microsoft Azure integrieren

| Autor / Redakteur: Thomas Joos / Peter Schmitz

Wie man durch virtuelle Firewalls, Router und VPNs mehr Sicherheit in der Cloud erreicht, zeigen wir in diesem Video-Tipp.
Wie man durch virtuelle Firewalls, Router und VPNs mehr Sicherheit in der Cloud erreicht, zeigen wir in diesem Video-Tipp. (© sdecoret - stock.adobe.com)

Microsoft bietet in seinem Cloud-Dienst Azure auch zahlreiche Sicherheitsfunktionen rund um das Thema Firewall. Dazu können Administratoren aus dem Marketplace virtuelle Appliance integrieren, welche die virtuellen Netzwerke genauso zuverlässig schützen, wie Firewalls das in lokalen Netzwerken können.

Um Sicherheits-Einstellungen in Microsoft Azure zu integrieren, bietet Microsoft die Netzwerksicherheitsgruppen (Network Security Groups, NSGs). Dabei handelt es sich um virtuelle Firewalls, mit denen sich einzelne Objekte in Microsoft Azure voneinander abschotten lassen, auch gegen das Internet. Administratoren können über Regeln in den NSGs exakt festlegen, welcher Netzwerkverkehr erlaubt sein soll, und welcher blockiert werden soll.

Wie man in Microsoft Azure virtuelle Firewall-Appliances integriert und damit seine virtuellen Netzwerke absichert, zeigen wir hier im Video-Tipp und in der Bildergalerie zum Artikel.

Virtuelle Netzwerke verwalten

In der Verwaltung von virtuellen Netzwerken spielen auch die Subnetze für das virtuelle Netzwerk eine wichtige Rolle. Mit Subnetzen lassen sich virtuelle Server und andere Dienste voneinander trennen. Das ist auch beim Einsatz der Container in Windows Server 2016 durchaus interessant. Die IP-Adressen im Subnetz lassen sich frei definieren, da sie nur innerhalb des virtuellen Netzwerkes und der in diesem Netzwerk verbundenen Server genutzt werden.

Virtuelle Netzwerke und deren Subnetze werden in der Verwaltungsoberfläche von Microsoft Azure erstellt. Zwischen den Subnetzen eines virtuellen Netzwerks werden automatisch Routen eingerichtet, sodass die Vernetzung auch zwischen Subnetzen kein Problem darstellt. Subnetze lassen sich jederzeit zu den virtuellen Netzwerken hinzufügen. Subnetze sind zum Beispiel sinnvoll, um virtuelle Server voneinander zu trennen und logische Unterteilungen im Netzwerk zu schaffen. Außerdem lässt sich für jedes virtuelle Netzwerk festlegen, ob es auch mit andern Netzwerken kommunizieren soll, oder an Firmennetzwerke angebunden wird.

Virtuelle Firewalls von Drittanbietern nutzen

Unternehmen, denen die Standard-Sicherheitsfunktionen in Microsoft Azure nicht ausreichen, können über den Azure Marketplace virtuelle Appliances erwerben, welche die Sicherheit im virtuellen Cloud-Netzwerk verbessern und flexibler steuerbar machen. Die Aufgabe von virtuellen Firewalls besteht darin auch die Netzwerkverbindungen in hybriden Netzwerken abzusichern. So kann der Datenverkehr zwischen verschiedenen Rechenzentren, der Cloud und dem Internet über Appliances verwaltet und abgesichert werden. Die Appliances werden dazu als neue Ressource im Azure Marketplace gekauft und dann über Assistenten bereitgestellt. Die Verwaltung erfolgt über Webportale.

Fügen Administratoren eine neue Ressource im Web-Portal von Microsoft Azure hinzu, kann hier auch aus dem Marketplace ausgewählt werden. Im Gegensatz zu den Netzwerksicherheitsgruppen handelt es sich bei den virtuellen Appliances normalerweise um virtuelle Computer, die im System eingebunden werden können.

Der Vorteil dieser Appliances besteht darin, dass die meisten über ein Webinterface gesteuert werden, und zentrale Sicherheitsregeln effizient zur Verfügung stehen.

Multi-Site-VPNs mit Microsoft Azure

Betreiben Unternehmen mehrere Niederlassungen, die per VPN miteinander verbunden sind um Daten auszutauschen, können in Microsoft Azure auch Multi-Site-VPNs genutzt werden. Bei diesem Vorgang wird das virtuelle Netzwerk in Microsoft Azure mit allen Standorten per VPN verbunden. Dadurch können die Clouddienste in Microsoft Azure wesentlich effizienter mit den Ressourcen in den Rechenzentren arbeiten, abgesichert durch Netzwerksicherheitsgruppen oder Firewalls von Drittherstellern.

Durch Multi-Site-VPNs erhalten Unternehmen außerdem eine bessere Redundanz. Dazu kommt die Möglichkeit, dass auch beim Einsatz mehrerer virtueller Netzwerke und Azure-Abonnements ein gemeinsames Multi-Site-VPN konfiguriert werden kann, das für alle Standorte, Abonnements, virtuelle Netzwerke, Standorte und Clouddienste funktioniert. Abgesichert werden die Verbindungen über Netzwerksicherheitsgruppen oder durch Firewalls von Drittanbietern. Dadurch können Unternehmen ihre Netzwerke und Clients weltweit über Azure miteinander vernetzen. Auch verschiedene Abonnements mit unterschiedlich konfigurierten Serverdienste lassen sich dadurch miteinander verbinden.

Damit Unternehmen Multi-Site-VPNs einsetzen können, muss das entsprechende Endgerät in den Rechenzentren kompatibel mit Microsoft Azure sein. Außerdem muss ein eigener IP-Adressraum für Microsoft Azure angelegt werden. Die Verwaltung erfolgt über die PowerShell mit dem Azure-Modul. Das VPN-Gerät muss dynamisches Routing unterstützen, damit eine Verbindung zu Microsoft Azure hergestellt werden kann. Beim Einsatz einer Firewall in Microsoft Azure muss sichergestellt werden, dass die Firewall die Funktion ebenfalls unterstützt.

Wie man in Microsoft Azure virtuelle Firewall-Appliances integriert und damit seine virtuellen Netzwerke absichert, zeigen wir in der Bildergalerie und im Video-Tipp zu diesem Artikel.

Next Generation Firewall von Baracuda

Eine der bekanntesten Firewalls in diesem Bereich ist die Next-Generation Firewall (NGFW) von Barracuda. Die Firewall der F-Serie steht auch für lokale Netzwerke zur Verfügung, und bietet in Microsoft Azure den gleichen Funktionsumfang. Die Firewall bietet, neben standardmäßig vorhandenen Funktionen wie zentrale Richtlinien und der direkten Anbindung von Anwendungen und Benutzern, VPN und Geo-Blocking auch die Unterstützung für das Erkennen moderner Angriffe.

Basis der Appliances ist Linux. Unternehmen, die mehrere Cloud-Lösungen einsetzen, können die virtuelle Appliance auch in Amazon Web Services integrieren sowie in VMware vCloud Air. Barracuda bietet darüber hinaus noch eine spezielle Appliance an, die mehrere Firewalls zentral verwalten kann. Administratoren können mit der Appliance also nicht nur die Firewalls in Azure verwalten, sondern auch die Firewalls in anderen Clouddiensten wie AWS sowie lokalen Firewalls.

Absicherung der Anwender und anderer Cloud-Dienste wie Office 365

Neben der Absicherung von Cloud-Netzwerken mit lokalen Infrastrukturen, lassen sich mit der Next Generation Firewall auch private Verbindungen absichern. Die Next Generation Firewall von Baracuda unterstützt zum Beispiel auch die Azure ExpressRoute-Verbindungen. Diese Verbindungen sind zum Beispiel auch dann sinnvoll, wenn einzelne Anwendungen in der Cloud mit anderen Anwendungen in verschiedenen Netzwerken schnell und effizient kommunizieren müssen. Dabei handelt es sich um direkte Verknüpfungen von Microsoft Azure mit dem virtuellen Netzwerk in Office 365. Dadurch lassen sich auch sichere Verbindungen zwischen Azure, Azure Active Directory und Office 365 aufbauen ohne, dass das Internet verwendet wird. Das sichert also auch Verbindungen der Benutzer ab.

ExpressRoute-Verbindungen absichern

Sichere ExpressRoute-Verbindungen sind besonders wichtig, wenn Unternehmen eine Dritthersteller-Appliance einsetzen. Firewalls wie die Next Generation Firewall von Baracuda können den Datenverkehr von ExpressRoute-Verbindungen verschlüsseln und können den Datenverkehr auch nach unerwünschtem Datenverkehr und Malware durchsuchen.

Wichtig ist auch die Erstellung einer hochverfügbaren Verbindung der einzelnen ExpressRoutes. Die Next Generation Firewall von Baracuda ermöglicht solche hochverfügbare Verbindungen und kann auch Daten über VPNs routen, wenn MLPS ausfallen. Aktuelle Sitzungen bleiben erhalten. Auch das Erstellen von Prioritäten der verschiedenen Protokolle und des Datenverkehrs in Azure ExpressRoutes muss steuerbar sein.

Sophos Next Generation Firewall XG

Eine weitere bekannte Firewall in Microsoft Azure ist die Sophos Next Generation Firewall XG. Auch diese wird im Marketplace zur Verfügung gestellt. Die Firewall baut auf Sophos UTM auf sowie der Next Generation Firewall. Auch diese Firewall wird als vorkonfigurierte Appliance angeboten und als VM angebunden.

Wie man in Microsoft Azure virtuelle Firewall-Appliances integriert und damit seine virtuellen Netzwerke absichert, zeigen wir hier im Video-Tipp und in der Bildergalerie zum Artikel.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44771500 / Cloud und Virtualisierung)