Всем привет,
Я планирую разворачивать контроллер домена в Azure и использовать VPN типа site-to-site для связи с одним нашим объектом. Это будет для резервирования, если onsite DC выйдет из строя.
Мой вопрос: нужен ли для этого Azure Firewall или достаточно NSG, связанного с нашим публичным IP-адресом? Я не вижу преимуществ, но консультант считает, что нужно использовать его?
Редактирование: я был не очень ясен, что публичный IP — это наш внутренний IP для VPN/Firewall. Я знаю, что не стоит ставить публичный IP в контроллер домена в Azure. Буду благодарен за ответы.
Вам в этом случае не нужен firewall. Просто не давайте контроллеру публичный IP. Если это только для DR, считайте, что ваш VNET — расширение вашей текущей сети.
Плюс Azure Firewall в том, что его можно создать, настроить политики, скачать конфигурацию, затем удалить Firewall, сохранив политики. Когда потребуется — снова создать его и использовать те же политики. Как советуют использовать landing-зоны и модель hub-and-spoke. Вам понадобятся пользовательские маршруты с Azure Firewall и настройка групп IP. Я устанавливал Azure Firewall для реализации Azure Virtual Desktop — очень удобно, если вы в одной VNET. Но при использовании landing-зон и архитектуры hub-and-spoke (очень рекомендуется) нужно делать UDR, чтобы маршрутизировать весь трафик через Firewall. И, как уже говорили, не ставьте публичный IP на этот контроллер. Другие опции — поднять Bastion для подключения и удалять его после. И, пожалуйста, используйте resource groups, а не одну большую.
Все сводится к политике безопасности организации. Рекомендуется использовать Azure Firewall для маршрутизации трафика между landing зонами и виртуальным шлюзом. NSG полезен для фильтрации входящего и исходящего трафика внутри виртуальной сети или подсети, но он не может мониторить трафик по политикам Azure Firewall. Кроме того, Azure Firewall предлагает расширенные функции в зависимости от выбранной SKU.
Вы бы использовали firewall на месте? Вроде для чужого DC — то же самое.
Также, вы бы напрямую присвоили VM публичный IP? Нет, так не делают. Не делайте этого и в Azure. Плохая практика для любой другой ситуации.
Базовая SKU Azure Firewall — недорогая. Безопасность — бесценно.
Все сводится к вопросу, зачем публичный IP? Если входящего трафика из интернета нет, публичный IP не нужен, тогда и Azure Firewall не добавит ничего.
Как уже говорилось, публичный IP в контроллере домена — большая ошибка, и его никогда не стоит открывать для интернета.