Всем привет,
Планирую развернуть контроллер домена в Azure и использовать VPN-сайт-сайт для связи с одним нашим сайтом. Это сделано для резервирования, если локальный DC выйдет из строя.
Мой вопрос: нужен ли Azure Firewall, или достаточно будет NSG, привязанного к нашему публичному IP-адресу? Я не вижу преимуществ, но консультант считает, что его нужно использовать?
Редактирование: я действительно неправильно понял, что публичный IP — это наш внутренний IP для VPN/Firewall. Знаю, что не стоит размещать публичный IP на контроллере домена в Azure. Благодарю за ответы.
В этом случае firewall не нужен. Просто не присваивайте контроллеру публичный IP. Если это только для DR,consider the vnet as an extension of your current network.
Преимущество Azure Firewall в том, что его можно создать, настроить политики, загрузить конфигурацию. Удалить firewall, сохранив политики в Azure, и при необходимости снова его создать — политики останутся. Как было предложено другими, используйте landing zones и модель hub-and-spoke. Вам понадобится использовать маршруты с пользовательскими правилами (UDRs) для маршрутизации всего трафика через firewall. Также настройте группы IP. В моем случае, я настраивал Azure Firewall для реализации Azure Virtual Desktop, очень легко настроить, если всё в одной VNet, но при использовании архитектуры hub-and-spoke через UDR маршруты проходят через Firewall. И, как было сказано ранее, не ставьте публичный IP на контроллер.
Все зависит от политики безопасности организации. Рекомендуется использовать Azure Firewall для маршрутизации трафика между вашими зонами и виртуальным шлюзом. NSG полезен для фильтрации входящего и исходящего трафика внутри виртуальной сети или подсети в Azure, но он не может мониторить и анализировать трафик по правилам Azure Firewall. Плюс, Azure Firewall предлагает расширенные функции в зависимости от выбранной SKU.
Вы будете использовать firewall в локальной сети? В этом случае не отличается от чужого контроллера домена.
Также, будете ли вы присваивать VM публичный IP напрямую на локальной машине? Нет, не будете. Не делайте этого и в Azure. Плохая практика, за исключением временных решений.
Бюджетная версия Azure Firewall Basic стоит недорого, безопасность бесценна.
