Estoy planeando desplegar un Controlador de Dominio en Azure y usar una VPN sitio a sitio con el que tenemos. Esto será para redundancia si el DC en el sitio se cae.
Mi pregunta es si sería necesario un Firewall de Azure o si un NSG vinculado a nuestra IP pública sería suficiente. No veo los beneficios, pero un consultor piensa que deberíamos usar uno.
Editar: Realmente no fue claro que la dirección IP pública es nuestra dirección IP local para la VPN/Firewall. Sé que no hay que poner una IP pública en un controlador de dominio en Azure. Agradezco las respuestas.
No necesitas un firewall en este escenario. Solo no pongas una IP pública en el DC. Si solo es para DR, considera que el VNET es una extensión de tu red actual.
Lo bueno del firewall de Azure es que puedes crearlo, crear tus políticas, descargar la configuración. Luego lo eliminas pero conservas las políticas en Azure, y cuando estés listo para desplegar el firewall, solo lo creas y usas la política aún en Azure. Como otros han sugerido, usa las zonas de aterrizaje y el modelo hub y spoke. Necesitarás usar rutas definidas por el usuario con Azure Firewall, y asegurarte de configurar grupos de IP también. Tuve que configurar firewall de Azure para una implementación de AVD, el firewall es muy fácil de configurar si estás en el mismo VNET, pero cuando configuras zonas de aterrizaje y usas una arquitectura hub y spoke (muy recomendable), necesitas usar UDRs para enrutar todo el tráfico en tu inquilino de Azure a través del firewall. Y como otros han dicho, no uses una IP pública en ese DC Otras opciones para conectarte, inicia Bastion cuando necesites conectarte y luego elimínalo cuando termines. Y por favor, usa grupos de recursos, no solo uno grande como muchos han visto.
Todo depende de la política de seguridad de la organización. Se recomienda usar el Azure Firewall para enrutar el tráfico entre tus zonas de aterrizaje y la puerta de enlace virtual. Un grupo de seguridad de red es beneficioso para filtrar el tráfico que ingresa y sale de una red virtual o subred en Azure. Sin embargo, no puede monitorear y escrutar el tráfico basándose en las políticas del Firewall de Azure. Además, el Firewall de Azure ofrece funciones avanzadas según la SKU que elijas.
¿Usarías un firewall en las instalaciones? No es diferente en el DC de otra persona.
Además, ¿asignarías una IP pública directamente a una VM en las instalaciones? Sí, no lo harías. No lo hagas tampoco en Azure. Práctica muy mala para cualquier cosa que no sea temporal.
La SKU básica del firewall de Azure es económica. La seguridad no tiene precio.
Todo se reduce a la pregunta de por qué una IP pública? si no tienes tráfico de entrada de internet, no necesitas la IP pública por lo tanto, el Firewall de Azure no tiene valor añadido.
Como se mencionó antes, una IP pública en un DC es un gran no-no, y además, nunca deberías exponer un Controlador de Dominio a internet.
Si necesitas validar el consejo de un consultor en Reddit, tal vez quieras buscar uno diferente?
Pero para un único DC y nada más, no necesitas uno. Si quieres más, mira CAF y las zonas de aterrizaje de Azure. El consultor debe poder ayudarte con eso. Eso naturalmente tiene un firewall central. La SKU básica es bastante económica. Siempre puede ser actualizada o reemplazada por NVA.
El firewall actúa como un NVA para enrutar el tráfico. No puedes hacer eso con un NSG.
Todo depende de cómo configures esto en Azure. Tienes un VNET, con la puerta de enlace S2S en él, así que ¿dónde colocarás el controlador de dominio?
La mejor práctica sería ponerlo en un VNET separado, que esté conectado en pares al VNET de conectividad donde está la puerta de enlace.
Entonces, ¿cómo enrutas el tráfico sin un NVA? ¿Cómo tendrá acceso a internet el controlador de dominio? ¿Planeas poner una IP pública directamente en tu controlador de dominio? Eso es un gran no-no.
Con un firewall, las VMs pueden pasar por él, así usa la IP pública del firewall, permitiéndote control total sobre todo el tráfico que entra y sale de tu entorno.
El firewall provee un nivel de seguridad que simplemente los NSG no pueden ofrecer.
No tengo mucha experiencia ya que estoy aprendiendo para az-104, pero deberías usar al menos un NSG para restringir el acceso solo a las puertos y servidores necesarios para Active Directory.
En cuanto al firewall, no estoy seguro de cómo debería usarse. Quizás otros administradores de sistemas con experiencia puedan dar más información.
El NSG funcionará, pero tienes algunas funciones avanzadas en el firewall como filtrado de nivel 7 con reglas de aplicaciones y también en la sección de reglas de red. El firewall de Azure también tiene funciones de inteligencia de amenazas para bloquear sitios IP y sitios maliciosos conocidos. Uso una regla NSG para restringir el acceso a nuestras subredes del gateway de aplicaciones para asegurar nuestro origen, pero también tengo la WAF habilitada para manejar firmas de ataques comunes, y funciona bien para filtrado básico de paquetes; sin embargo, para tráfico entrante o saliente en una red, típicamente un firewall te dará mejor funcionalidad con más características y capacidades de registro según lo que he observado.
No necesitas un firewall si usas un túnel VPN de Azure, no uses IPs públicas y no pongas una IP pública en ese DC. Deberías usar un diseño en hub y spoke para poder agregar un firewall en el futuro si es necesario. Querría un firewall si alojara muchas cosas públicas o si diera a los desarrolladores su propio espacio en la nube. Para tráfico interno únicamente, no hay caso de negocio a menos que sea requerido por regulaciones/políticas.
No hay suficiente información en este post para responder correctamente. No confiaría en ninguna de las respuestas aquí, todas están basadas en muchas suposiciones.
Pregunta al consultor qué vectores de ataque quieren mitigar con el firewall. Eso te dará todas las respuestas que necesitas.
Realmente no hay suficiente información en este post para responder correctamente. No confiaría en ninguna de las respuestas aquí, todas están basadas en muchas suposiciones.
Pregunta al consultor qué vectores de ataque/seguridad quieren mitigar con el firewall. Eso te dará todas las respuestas que necesitas.
¿Es una buena idea tener un firewall? Sí… defensa en profundidad, etc.
¿Es necesario? Depende de tu apetito de riesgo.
Solo un controlador de dominio, en una red privada en Azure sin IP pública, para mí, el riesgo es razonablemente bajo (riesgos que un firewall mitigaría).
Sin embargo, si estás pensando en un diseño a futuro para Azure, entonces sería recomendable diseñarlo correctamente. Lo he visto muchas veces antes, empiezas con “solo este servicio” y luego “podemos agregar esto”, y las solicitudes comienzan a llegar y terminas teniendo todo allí. En ese momento, es más difícil adaptar las mejores prácticas.
Eso depende mucho de lo que quieras proteger con el firewall. Personalmente, creo que los firewalls están bastante sobrevalorados y a menudo dan una mala sensación de seguridad, por ejemplo, lo que veo mucho es que los firewalls suelen estar abiertos desde el rango completo de IP de la oficina, y ese mantenimiento en Azure se vuelve descuidado porque la gente dice: “Oh, solo está abierto a nuestras propias instalaciones”. Cuando revisas los grandes hacks recientes, a menudo los atacantes usaron computadoras de empleados en las instalaciones para llevar a cabo el ataque.
Gracias. Creo que me inclined a pensar que “si es solo para tráfico de Active Directory, no debería ser necesario un firewall”, pero si debemos ampliar esto, lo necesitaremos.
Escenarios diferentes. No siempre necesitas un firewall en Azure. Si la VNET es solo una extensión de tu red local y no filtra tráfico externo, entonces un NSG es totalmente suficiente.
Perdón, quería decir que el NSG solo permitiría el tráfico a nuestra red vía IP pública de nuestra red local. Pero, por supuesto, con una VPN sitio a sitio, eso tampoco es realmente necesario. Dios, necesito café.
No habrá IP pública en el Controlador de Dominio de Azure.
Tendríamos una IP pública en la VPN/puerta de enlace de Azure, por supuesto.
Mencionas enrutamiento pero te das cuenta de que tienen una VPN S2S. Entonces, simplemente pueden usar la puerta de enlace VPN, que maneja el enrutamiento entre el sitio y Azure, y, obviamente, el tráfico dentro de Azure es enroutado por Azure. Entonces, si no tienes requisitos complejos de filtrado de tráfico, y esto es solo para proporcionar servicios de dominio a tu red local, entonces poner un firewall o NVA en Azure es exceso y también costos que se pueden evitar.
El NSG bloqueado para evitar tráfico saliente del vent hacia internet, permitiendo solo tráfico ADDS desde la red virtual (que incluye todas las redes pareadas, incluyendo las en la oficina o restringido a la subred si solo quieres permitir secciones de la red local al DC, listo).
Supongo que tienen algún dispositivo de firewall en las instalaciones donde termina la VPN, así que puede filtrar el tráfico entre el sitio y Azure desde allí también.
Gracias, eso tiene mucho sentido. Tienes razón, estará en un VNET separado y potencialmente usaremos Azure Site Recovery para tener más VMs en Azure para recuperación ante desastres. Puedo ver la necesidad de un firewall en esa etapa, pero esperaba que el uso inicial del controlador de dominio pudiera hacerse sin ello por ahora.
Otras opciones para conectarte, inicia Bastion cuando necesites conectarte y luego elimínalo cuando termines. Y por favor, usa grupos de recursos, no solo uno grande como muchos han visto.