Quartz 4

workshop Azure networking

6 min read

Dag 1

IP-adressen (publiek en privaat) zijn te koppelen aan NICs, interne load balancers, App Gateways en Private Endpoints

System routes: automatically assigned to subnet for default routing Custom routes: bijv. te gebruiken voor verkeer door firewall/virtual networking appliance te routen

Netwerkverkeer filteren: inbound en outbound security rules in bijv. NSG. Default rulesets: 65000 en 65001. Je filtert met:

  • NSG (o.b.v. subnet)
  • Application security groups (o.b.v. groepen VMs die te gebruiken zijn in NSG security rule definitions)
  • Security Admin Rule (global network security rules that enforce policies defined in the rule collection on virtual networks)
  • On-premises connectivity
    • site-to-site VPN (of VPN Gateway (site-to-site of point-to-site of third party appliance (Cisco, Checkpoint)))
    • ExpressRoute
  • Network Encryption (verkeer tussen VMs is versleuteld met DTLS. Een andere optie is om laag 2 encryptie te gebruiken van on-premises richting Azure, met MACsec)

Security Admin Rules can’t apply to virtual networks not managed by a virtual network manager (Azure virtual network manager (…) recommended to use management groups to define your scope (…) you deploy. Security admin rules (…) enforce security policies defined in the rule collection on virtual networks (..) to Allow, Always Allow or Deny traffic across virtual networks within your targeted network groups.

Peering location: een datacenter waar meerdere partijen (in ons geval SURF en Microsoft) verbindingen hebben.

Maak ik een ExpressRoute aan, dan: verbinding tussen router SURF en MSEE in een peering location verbindt vanaf de MSEE naar het Azure virtual network. ┌──────────────────────┐ │Azure virtual network │ └────────┬─────────────┘ │ │ ┌───────┴───────────┐ │ peering location │ └─┬─────────────┬───┘ │ │ ┌──┴──┐ ┌─────┴───────┐ │MSEE │ │ SURF-router │ └─────┘ └─────┬───────┘ ┌───┴┐ │ VU │ └────┘

Gereserveerde adressen per VNet:

  • x.x.x.0
  • x.x.x.1 (Azure default gateway)
  • x.x.x.2, x.x.x.3 (map Azure DNS IPs naar VNet)
  • x.x.x.255 (network broadcast address)

service endpoints bieden routing via subnets voor verkeer naar Azure PaaS-services, maar worden minder gebruikt, waar private endpoints meer worden gebruikt.

Voorheen kregen VMs automatisch internettoegang, tegenwoordig moet je dit expliciet doen: moet via NAT-gateway, firewall, UDR (user-defined route).

NSGs kan je Service Tags (represents a group of IP address prefixes from a given Azure-service) geven.

Gebruik een security admin rule bijv. om alle telnet en HTTP-verkeer te blokkeren (alleen encrypted).

Microsoft raadt authenticated SMTP relays aan voor VMs die over SMTP (port 587) email willen versturen.

BGP typically used for exchanging network routes for VNets connected via ExpressRoute or S2S VPN BGP voegt een aparte route voor each advertised prefix to the route table of subnets in connected VNets Route propagation can be disabled using by configuring UDR properties

‘Propagate gateway routes’ kun je uitzetten als je bijv. wil voorkomen dat een VM routering kan vinden via een site-to-site VPN of ExpressRoute en in plaats daarvan, alleen naar de firewall mag.

In het geval van een hub spoke model, zet gateway propagation uit, want je wil het verkeer heel simpel houden: alles vanuit een spoke network, doorsturen naar de hub, als single point of entry. Vanuit dat centrale punt kan ik alles samenvoegen. Op de UDR zet je ‘propagate gateway routes’ dan uit.

MACsec-encryptie zit alleen op ExpressRoute Direct, niet ExpressRoute.

Netwerktopologie: traditionele hub en spoke en Azure Virtual WAN.

  • Hub & spoke:
    • central point of connectivity for cross premises networks and hosts shared Azure service (e.g. NVA, VNet gateway)
  • Azure Virtual WAN
    • gericht op automatisering
    • voor zeer grote omgeving (tien- of honderdtallen VNets)
    • Nog steeds een hub-spoke-model, maar i.p.v. hub als VNet, gebruik je speciale Azure Virtual WAN-service

ExpressRoute versleutelt verkeer niet, dat doe je op applicatie niveau, of je gebruikt een VPN. Advies is TLS op applicatieniveau.

Publieke IP-adressen kan je koppelen aan:

  • VM
  • load Balancer
  • VPN
  • Network gateway (ER)
  • etc.

Azure Public DNS: hosting service for DNS domains that provides name resolution by using Microsoft Azure infrastructure.

Azure Private DNS: manages and revolves domain names in the virtual network without the need to configure a custom DNS solution.

Azure VPN biedt connectiviteit in drie scenarios:

  • On-premises to Azure (S2S VPN)
  • Individual VPN clients to Azure (P2S VPN)
  • Within Azure (VNet to VNet)

Policy- en route-based VPN. Policy is ouderwets, route-based bepaalt met BGP welke prefixes over route tunnel heengaan.

Point-to-site VPN ondersteunt certificaten, RADIUS en AAD (Microsoft Entra) voor authenticatie.

Alternatief voor de VPN is ExpressRoute. De ExpressRoute is een peering richting mijn omgeving, doorgaans een private peering (BGP-connectie naar mijn ExpressRoute gateway binnen mijn VNet). Een andere optie is om via de ExpressRoute bij bijv. Office365 terecht te komen. Dat doe je met een Microsoft peering.

Azure Route Server is a fully managed service that (…) simplifies dynamic routing between various NVAs and your virtual or on-premises network.

Firewall Policy heeft een Threat Intelligence-optie. Daar kan je ook acties aan hangen: alert, alert & deny, niks.

IDPS: outbound of inbound matching op hash-based threat detection.

DDoS-detectie krijg je per default. DDoS-filter kan je volumineuze DDoS-aanvallen mee afslaan.

Logging oppakken en doorsturen: ‘Diagnostic setting’.

Dag 2

Network Watcher biedt monitoring en diagnostische tooling. Bijv. NSG diagnostics maken het mogelijk om traffic te checken en te zien welke NSG verantwoordelijk is voor het tegenhouden van verkeer.

Packet capture: van bijv. een VM een packet capture uitvoeren, output is een pcap-bestand, die je bijv. in een storage account op kan slaan. Alternatief is om het lokaal op de VM zelf op te slaan. Filtering is ook mogelijk.

DNS Private Resolver: gebruik je in een hybride DNS-scenario.

Wanneer gebruik je een DNS Private Resolver? In jullie keuze voor een SD WAN scenario, is het aannemelijk dat je de firewall gebruikt als DNS resolver.

Verschil Azure load balancer en application gateway: load balancer werkt op laag 4 (UDP/TCP) en app gateway op laag 7 (HTTP, SSH, etc.)

Cookie-based affinity: when a user sends the first request to Application Gateway, it sets an affinity cookie in the response with a hash value which contains the session details, so that the subsequent requests carrying the affinity cookie are routed to the same backend server for maintaining stickiness.

Keuze voor load balancer of app gateway: afhankelijk van je scenario, doorgaans of/of.

Front Door: heeft een publiek IP en DNS-record, waar een eindgebruiker verbinding mee maakt, waarna deze verbinding wordt doorgezet naar een datacenter in Nederland, Duitsland, Frankrijk, etc. Die datacenters zetten requests dan weer door naar backend pools. Front Door is dus bedoeld voor global delivery, content delivery networking. De servers in de datacenters kunnen ook caching uitvoeren.

WAF policy: beschermen tegen meest voorkomende aanvallen. Nog voordat het verkeer aankomt op het backend systeem wordt het opgepakt door ofwel de Front Door, ofwel de Application Gateway.

Waar plaats je een WAF doorgaans? Koppel je of aan Front Door of aan App Gateway.

Graph View