Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Sua rede fornece o backbone de como os clientes acessam seu aplicativo SaaS (software como serviço) e permite a comunicação entre os componentes da solução. A maneira como você projeta sua rede tem um efeito direto na segurança, nas operações, no custo, no desempenho e na confiabilidade da sua solução. Uma abordagem estruturada para sua estratégia de rede torna-se ainda mais importante à medida que seu ambiente de nuvem cresce.
Decidir sobre uma estratégia e topologia de implantação de rede
As soluções SaaS têm requisitos de rede exclusivos. À medida que você integra mais clientes e seu uso aumenta, os requisitos de rede mudam. Lidar com o crescimento pode ser desafiador devido a recursos limitados, como intervalos de endereços IP. Seu design de rede afeta a segurança e o isolamento do cliente. Planeje sua estratégia de rede para ajudar a gerenciar o crescimento, melhorar a segurança e reduzir a complexidade operacional.
Considerações sobre o design
Planeje sua estratégia de implantação de rede com base em seu modelo de locação. Decida se deseja compartilhar recursos de rede entre os clientes, dedicar recursos a um único cliente ou uma combinação dessas opções. Essa opção afeta a funcionalidade, a segurança e o isolamento do cliente do aplicativo.
É comum compartilhar recursos de rede, como redes virtuais e perfis do Azure Front Door, entre vários clientes. Essa abordagem reduz custos e despesas operacionais. Também simplifica a conectividade. Você pode conectar facilmente os recursos de um cliente a recursos compartilhados, como contas de armazenamento compartilhadas ou um painel de controle.
No entanto, recursos de rede dedicados para cada cliente podem ser necessários para estabelecer alta segurança e conformidade. Por exemplo, para dar suporte a um alto grau de segmentação de rede entre os clientes, você pode usar redes virtuais como o limite. Recursos dedicados podem ser necessários quando o número de recursos de rede em todos os clientes excede a capacidade de uma única rede compartilhada.
Planeje o número de recursos de rede que cada cliente precisa considerando requisitos imediatos e futuros. Os requisitos do cliente e os limites de recursos do Azure podem forçar resultados específicos. Recursos diferentes podem exigir estratégias de implantação diferentes, como o uso de redes separadas para emparelhamento de rede virtual com redes virtuais do Azure de propriedade do cliente.
Para obter mais informações sobre como compartilhar recursos em uma solução SaaS, consulte Organização de recursos para cargas de trabalho SaaS.
Entenda as topologias de rede. As topologias de rede geralmente se enquadram em três categorias:
Rede simples: uma rede isolada única que tem sub-redes para segmentação. Use uma topologia de rede simples quando você tiver um único aplicativo multilocatário com um layout de rede simples. As redes simples podem atingir os limites de recursos e exigir mais redes à medida que você dimensiona, o que aumenta a sobrecarga e os custos. Se você planeja hospedar vários aplicativos ou usar carimbos de implantação dedicados na mesma rede virtual, talvez precise de um layout de rede complexo.
Hub e spoke: uma rede de hub centralizada que se conecta a redes de spoke isoladas. Utilize uma topologia de hub e extremidades para alta escalabilidade e isolamento do cliente, pois cada cliente ou aplicativo possui sua própria extremidade e se comunica apenas com o hub. Você pode implantar rapidamente mais spokes conforme a necessidade, para que todos os spokes possam usar os recursos no hub. A comunicação transitiva ou spoke-to-spoke por meio do hub é desabilitada por padrão, o que ajuda a manter o isolamento do cliente em soluções SaaS.
Nenhuma rede: use uma topologia sem rede para soluções paaS (plataforma como serviço) do Azure, em que você pode hospedar cargas de trabalho complexas sem implantar redes virtuais. Por exemplo, o Serviço de Aplicativo do Azure permite a integração direta com outros serviços de PaaS na rede de backbone do Azure. Embora essa abordagem simplifique o gerenciamento, ela restringe a flexibilidade na implantação de controles de segurança e a capacidade de otimizar o desempenho. Essa abordagem pode funcionar bem para aplicativos nativos de nuvem. À medida que sua solução evolui, espere fazer a transição para uma topologia hub-and-spoke ao longo do tempo.
Compensação: Complexidade e segurança. Começar sem um limite de rede definido pode reduzir a carga operacional do gerenciamento de componentes de rede, como grupos de segurança, espaço de endereço IP e firewalls. No entanto, um perímetro de rede é essencial para a maioria das cargas de trabalho. Na ausência de controles de segurança de rede, conte com um forte gerenciamento de identidade e acesso para proteger sua carga de trabalho contra tráfego mal-intencionado.
Entenda como as arquiteturas de várias regiões afetam topologias de rede. Em uma arquitetura de várias regiões que usa redes virtuais, a maioria dos recursos de rede é implantada em cada região separadamente porque firewalls, gateways de rede virtual e grupos de segurança de rede não podem ser compartilhados entre regiões.
Recomendações de design
| Recomendação | Benefício |
|---|---|
| Decida quais componentes de rede são compartilhados e quais componentes são dedicados ao cliente. Compartilhe recursos cobrados por instância, como Firewall do Azure, Azure Bastion e Azure Front Door. |
Balancee o suporte entre seus requisitos de segurança e isolamento, reduzindo o custo e a carga operacional. |
| Comece com uma topologia simples ou uma abordagem sem rede. Sempre examine os requisitos de segurança primeiro porque essas abordagens oferecem controles de isolamento e tráfego limitados. |
Você pode reduzir a complexidade e o custo de sua solução usando topologias de rede mais simples. |
| Considere topologias hub-and-spoke para necessidades complexas ou quando você implanta redes virtuais dedicadas para cada cliente. Use o hub para hospedar recursos de rede compartilhados nas redes do cliente. | Você pode escalar com mais facilidade e melhorar sua eficiência de custos compartilhando recursos por meio de sua rede de hubs. |
Projetar um perímetro de rede altamente seguro
Seu perímetro de rede estabelece o limite de segurança entre seu aplicativo e outras redes, incluindo a Internet. Ao documentar seu perímetro de rede, você pode distinguir entre os seguintes tipos de fluxos de tráfego:
- Tráfego de entrada, que chega à rede de uma fonte externa.
- Tráfego interno, que vai entre os componentes da sua rede.
- Tráfego de saída, que sai da rede.
Cada fluxo envolve riscos e controles diferentes. Por exemplo, você precisa de vários controles de segurança para inspecionar e processar o tráfego de entrada.
Importante
Como prática recomendada geral, sempre siga uma abordagem de Confiança Zero. Certifique-se de que todo o tráfego seja controlado e inspecionado, incluindo o tráfego interno.
Seus clientes também podem ter requisitos de conformidade específicos que influenciam sua arquitetura. Por exemplo, se precisarem de conformidade com o SOC 2, eles deverão implementar vários controles de rede, incluindo um firewall, um WAF (firewall de aplicativo Web) e grupos de segurança de rede, para atender aos requisitos de segurança. Mesmo que você não precise cumprir imediatamente, considere esses fatores de extensibilidade ao projetar sua arquitetura.
Para obter mais informações, consulte Se:06 Recomendações para rede e conectividade.
Considerações sobre o design
Proteja e gerencie o tráfego de entrada. Inspecione esse tráfego em busca de ameaças de entrada.
Os firewalls permitem bloquear endereços IP mal-intencionados e concluir análises avançadas para proteger contra tentativas de intrusão. No entanto, os firewalls podem ser caros. Avalie seus requisitos de segurança para determinar se um firewall é necessário.
Os aplicativos Web são vulneráveis a ataques comuns, como injeção de SQL, script entre sites e outras vulnerabilidades top 10 do OWASP. O recurso de firewall do aplicativo Web do Azure ajuda a proteger contra esses ataques e se integra ao Gateway de Aplicativo do Azure e ao Azure Front Door. Revise as camadas desses serviços para entender quais recursos do WAF estão em quais produtos.
Ataques de DDoS (negação de serviço distribuído) são um risco para aplicativos voltados para a Internet. O Azure fornece um nível básico de proteção sem custo. A Proteção contra DDoS do Azure fornece proteção avançada aprendendo seus padrões de tráfego e ajustando as proteções adequadamente, mas esses recursos tem um custo. Se você usar o Azure Front Door, aproveite os recursos de DDoS internos.
Além da segurança, você também pode manipular o tráfego de entrada para melhorar o desempenho do aplicativo usando cache e balanceamento de carga.
Considere usar um serviço de proxy reverso, como o Azure Front Door, para gerenciamento global de tráfego HTTP e HTTPS. Como alternativa, use o Gateway de Aplicativo ou outros serviços do Azure para controle de tráfego de entrada. Para obter mais informações, consulte opções de balanceamento de carga.
Proteja o tráfego interno. Verifique se o tráfego entre seu aplicativo e seus componentes é seguro para ajudar a impedir o acesso mal-intencionado. Proteja esses recursos e melhore o desempenho usando o tráfego interno em vez do roteamento pela Internet. O Link Privado do Azure é comumente usado para se conectar aos recursos do Azure por meio de um endereço IP interno em sua rede. Para alguns tipos de recursos, os pontos de extremidade de serviço podem ser uma alternativa mais econômica.
Se você habilitar a conectividade de Internet pública para seus recursos, entenda como restringir o tráfego usando endereços IP e identidades de aplicativo, como identidades gerenciadas.
Proteja o tráfego de saída. Em algumas soluções, inspecione o tráfego de saída para evitar a exfiltração de dados, especialmente para conformidade regulatória e clientes corporativos. Use firewalls para gerenciar e examinar o tráfego de saída bloqueando conexões com locais não autorizados.
Planeje como dimensionar a conectividade de saída e o SNAT. O esgotamento da porta SNAT (conversão de endereços de rede) de origem pode afetar aplicativos multilocatários. Esses aplicativos geralmente precisam de conexões de rede distintas para cada locatário, e o compartilhamento de recursos entre clientes aumenta o risco de esgotamento do SNAT à medida que sua base de clientes cresce.
Você pode mitigar o esgotamento de SNAT usando o Gateway NAT do Azure, firewalls como o Firewall do Azure ou uma combinação das duas abordagens.
Recomendações de design
| Recomendação | Benefício |
|---|---|
| Mantenha um catálogo dos pontos de extremidade de rede expostos à Internet. Capture detalhes como o endereço IP (se for estático), nome do host, portas, protocolos que os pontos de extremidade usam e a justificativa para conexões. Documente como você planeja proteger cada endpoint. |
Essa lista forma a base da definição de perímetro para que você possa tomar decisões explícitas sobre como gerenciar o tráfego por meio de sua solução. |
| Entenda os recursos de serviço do Azure para limitar o acesso e aprimorar a proteção. Por exemplo, você precisa de mais controles para expor pontos de extremidade da conta de armazenamento aos clientes. Esses controles incluem assinaturas de acesso compartilhado, firewalls de conta de armazenamento e contas de armazenamento separadas para uso interno e externo. |
Você pode selecionar controles que atendam às suas necessidades de segurança, custo e desempenho. |
| Para aplicativos baseados em HTTP e HTTPS, use um proxy reverso, como o Azure Front Door ou o Gateway de Aplicativo. | Os proxies reversos fornecem uma ampla gama de recursos para melhorias de desempenho, resiliência e segurança. Eles também ajudam a reduzir a complexidade operacional. |
| Inspecione o tráfego de entrada usando um WAF. Evite expor recursos baseados na Web, como o Serviço de Aplicativo ou o AKS (Serviço de Kubernetes do Azure) diretamente para a Internet. |
Você pode proteger com mais eficiência seus aplicativos Web contra ameaças comuns e reduzir a exposição geral de sua solução. |
| Proteja seu aplicativo contra ataque de negação de serviço distribuído (DDoS). Use o Azure Front Door ou a Proteção contra DDoS, dependendo dos protocolos que seus pontos de extremidade públicos usam. |
Proteja sua solução contra um tipo comum de ataque. |
| Se a sua aplicação exigir conectividade de saída em larga escala, use o Gateway NAT ou um firewall para fornecer portas SNAT extras. | Você pode oferecer suporte a níveis mais altos de escala. |
Conectividade entre redes
Para alguns cenários, talvez seja necessário se conectar a recursos que estão fora do Azure. Esses recursos incluem dados na rede privada ou ativos de um cliente em um provedor de nuvem diferente em uma configuração multinuvem. Essas necessidades podem complicar o design de rede porque exigem várias abordagens para implementar a conectividade entre redes com base em seus requisitos específicos.
Considerações sobre o design
Identifique os pontos de extremidade aos quais o aplicativo precisa se conectar. O aplicativo pode precisar se comunicar com outros serviços, como serviços de armazenamento e bancos de dados. Documente seu proprietário, localização e tipo de conectividade. Em seguida, você pode escolher o método apropriado para se conectar a esses pontos de extremidade. A tabela a seguir descreve abordagens comuns.
Local do recurso Proprietário Opções de conectividade a serem consideradas Azure Customer - Ponto de extremidade privado (entre locatários do Microsoft Entra)
- Emparelhamento de rede virtual (entre locatários do Microsoft Entra)
- Ponto de extremidade de serviço (entre locatários do Microsoft Entra)
Outro provedor de nuvem ISV ou cliente - VPN site a site
- Azure ExpressRoute
- Internet
Local ISV ou cliente - VPN site a site
- ExpressRoute
- Internet
O Link Privado e os pontos de extremidade privados fornecem conectividade segura a vários recursos do Azure, incluindo balanceadores de carga internos para máquinas virtuais. Eles permitem o acesso privado à sua solução SaaS para os clientes, mas eles vêm com considerações de custo.
Compensação: segurança e custo. O Link Privado ajuda a garantir que o tráfego permaneça em sua rede privada. Recomendamos o Link Privado para conectividade de rede entre locatários do Microsoft Entra. No entanto, cada ponto de extremidade privado gera custos, o que pode somar dependendo de suas necessidades de segurança. Os pontos de extremidade de serviço podem ser uma alternativa econômica. Eles mantêm o tráfego na rede de backbone da Microsoft, fornecendo um nível de conectividade privada.Os pontos de extremidade de serviço encaminham o tráfego para recursos de PaaS por meio da rede de backbone da Microsoft, que protege a comunicação serviço a serviço. Os pontos de extremidade de serviço podem ser econômicos para aplicativos de alta largura de banda, mas você precisa configurar e manter listas de controle de acesso para segurança. O suporte para pontos de extremidade de serviço em locatários do Microsoft Entra varia de acordo com o serviço do Azure. Verifique a documentação do produto para cada serviço que você usa.
O emparelhamento de rede virtual conecta duas redes virtuais e permite que os recursos em uma rede acessem endereços IP na outra. Ele facilita a conectividade com recursos privados em uma rede virtual do Azure. Você pode gerenciar o acesso usando grupos de segurança de rede, mas impor o isolamento pode ser desafiador. Portanto, é importante planejar sua topologia de rede com base nas necessidades específicas do cliente.
As VPNs (redes virtuais privadas) criam um túnel seguro pela Internet entre duas redes, inclusive entre provedores de nuvem e locais locais. As VPNs site a site usam dispositivos de rede em cada rede para configuração. Eles oferecem uma opção de conectividade de baixo custo, mas exigem configuração e não garantem taxa de transferência previsível.
O ExpressRoute fornece uma conexão privada, dedicada e de alto desempenho entre o Azure e outros provedores de nuvem ou redes locais. Ele garante um desempenho previsível e ignora o tráfego da Internet, mas ele vem com custos mais altos e requer uma configuração mais complexa.
Planeje com base no destino. Talvez seja necessário se conectar a recursos em diferentes locatários do Microsoft Entra, especialmente se o recurso de destino estiver na assinatura do Azure de um cliente. Considere o uso de pontos de extremidade privados, uma VPN de site a site ou redes virtuais emparelhadas. Para obter mais informações, consulte Criar um emparelhamento de rede virtual entre assinaturas diferentes.
Para se conectar aos recursos que outro provedor de nuvem hospeda, é comum usar a conectividade pública com a Internet, uma VPN site a site ou o ExpressRoute. Para obter mais informações, consulte Conectividade com provedores de nuvem.
Entenda os efeitos da conectividade em sua topologia de rede. Uma rede virtual do Azure pode ter apenas um gateway de rede virtual, que pode se conectar a vários locais por meio de uma VPN site a site ou ExpressRoute. No entanto, há limites no número de conexões que você pode fazer por meio de um gateway e isolar o tráfego do cliente pode ser desafiador. Para várias conexões com locais diferentes, planeje sua topologia de rede adequadamente, possivelmente implantando uma rede virtual separada para cada cliente.
Entenda as implicações para o planejamento de endereço IP. Algumas abordagens de conectividade fornecem automaticamente NAT (conversão de endereços de rede), o que ajuda você a evitar os problemas que os endereços IP sobrepostos causam. No entanto, o emparelhamento de rede virtual e o ExpressRoute não executam o NAT. Ao usar esses métodos, planeje cuidadosamente seus recursos de rede e alocações de endereço IP para evitar sobreposição de intervalos de endereços IP e garantir o crescimento futuro. O planejamento de endereço IP pode ser complexo, especialmente quando você se conecta a fontes externas, como clientes, portanto, considere possíveis conflitos com seus intervalos de endereços IP.
Entenda o faturamento de saída de rede. O Azure normalmente cobra pelo tráfego de rede de saída quando sai da rede da Microsoft ou se move entre regiões do Azure. Ao projetar soluções multirregionais ou multinuvem, é importante entender as implicações de custo. As opções de arquitetura, como usar o Azure Front Door ou o ExpressRoute, podem afetar a forma como você é cobrado pelo tráfego de rede.
Recomendações de design
| Recomendação | Benefício |
|---|---|
| Escolha abordagens de rede privada para se conectar entre redes para priorizar a segurança. Considere apenas o roteamento pela Internet depois de avaliar as implicações de segurança e desempenho associadas. |
O tráfego privado percorre um caminho de rede protegido, o que ajuda a reduzir muitos tipos de riscos de segurança. |
| Quando você se conecta aos recursos que os ambientes do Azure dos clientes hospedam, use Link Privado, pontos de extremidade de serviço ou emparelhamentos de rede virtual. | Você pode manter o tráfego na rede da Microsoft, o que ajuda a reduzir os custos e a complexidade operacional em comparação com outras abordagens. |
| Ao se conectar entre provedores de nuvem ou a redes locais, use VPNs site a site ou ExpressRoute. | Essas tecnologias fornecem conexões seguras entre provedores. |
Implantar nos ambientes de seus clientes
Seu modelo de negócios pode exigir que você hospede o aplicativo ou seus componentes no ambiente do Azure de um cliente. O cliente gerencia sua própria assinatura do Azure e paga diretamente o custo dos recursos necessários para executar o aplicativo. Como provedor de solução, você é responsável por gerenciar a solução, incluindo a implantação inicial, aplicar a configuração e implantar atualizações no aplicativo.
Nessas situações, os clientes geralmente trazem sua própria rede e implantam seu aplicativo em um espaço de rede que eles definem. Os Aplicativos Gerenciados do Azure fornecem recursos para facilitar esse processo. Para obter mais informações, consulte Usar uma rede virtual existente com Aplicativos Gerenciados do Azure.
Considerações sobre o design
Prepare-se para diferentes intervalos de endereços IP e conflitos. Quando os clientes implantam e gerenciam redes virtuais, eles são responsáveis por lidar com conflitos de rede e dimensionamento. No entanto, você deve antecipar diferentes cenários de uso do cliente. Planeje implantações em ambientes com espaço mínimo de endereço IP usando endereços IP com eficiência. Evite codificar duramente intervalos de endereços IP para evitar sobreposições com intervalos de clientes.
Como alternativa, implante uma rede virtual dedicada para sua solução. Você pode usar o Link Privado ou o emparelhamento de rede virtual para permitir que os clientes se conectem aos recursos. Para obter mais informações, consulte conectividade entre redes. Se você definiu pontos de entrada e saída, avalie o uso de NAT como uma abordagem para eliminar problemas causados por sobreposições de endereços IP.
Forneça acesso à rede para fins de gerenciamento. Examine os recursos que você implanta em ambientes de clientes e planeje como acessá-los para monitorá-los, gerenciá-los ou reconfigurá-los. Ao implantar recursos com endereços IP privados em um ambiente de propriedade do cliente, verifique se você tem um caminho de rede para alcançá-los de sua própria rede. Considere como você facilita as alterações de aplicativos e recursos, como enviar uma nova versão do aplicativo ou atualizar uma configuração de recurso do Azure.
Em algumas soluções, você pode usar recursos que os Aplicativos Gerenciados do Azure fornecem, como acesso just-in-time e implantação de atualizações para aplicativos. Se precisar de mais controle, você pode hospedar um endpoint na rede do cliente à qual o plano de controle possa se conectar. Essa abordagem fornece acesso aos seus recursos. Esse método requer mais recursos e desenvolvimento do Azure para atender aos requisitos de segurança, operacionais e de desempenho. Para obter um exemplo de como implementar essa abordagem, consulte o exemplo de atualização de Aplicativos Gerenciados do Azure.
Recomendações de design
| Recomendação | Benefício |
|---|---|
| Use os Aplicativos Gerenciados do Azure para implantar e gerenciar recursos implantados pelo cliente. | Os Aplicativos Gerenciados do Azure fornecem uma variedade de recursos que permitem implantar e gerenciar recursos na assinatura do Azure de um cliente. |
| Minimize o número de endereços IP que você consome dentro do espaço de rede virtual do cliente. | Os clientes geralmente têm disponibilidade restrita de endereços IP. Minimizando sua presença e desacoplando seu dimensionamento do uso de endereços IP, você pode ampliar o número de clientes que podem usar sua solução e permitir níveis mais altos de crescimento. |
| Planeje como obter acesso à rede para gerenciar recursos em ambientes de cliente para que você possa fazer monitoramento, alterações de configuração de recursos e atualizações de aplicativos. | Você pode configurar diretamente os recursos que gerencia. |
| Decida se deseja implantar uma rede virtual dedicada ou integrar-se à rede virtual existente de um cliente. | Ao decidir qual rede virtual usar com antecedência, você pode garantir que você possa atender aos requisitos de isolamento, segurança e integração de seus clientes com seus outros sistemas. |
| Desabilite o acesso público nos recursos do Azure por padrão. Escolha a entrada privada sempre que possível. | Você reduz o escopo dos recursos de rede que você e seus clientes precisam proteger. |
Recursos adicionais
A multilocação é uma metodologia de negócios central para projetar cargas de trabalho SaaS. Estes artigos fornecem mais informações relacionadas ao design de rede:
- Abordagens de arquitetura para rede em soluções multilocatário
- Modelos de locação para uma solução multilocatário
- Topologia de rede hub e spoke
- Considerações de Gateway da NAT do Azure para multilocação
- Abordagens arquitetônicas para integração de locatários e acesso a dados
Próxima etapa
Saiba mais sobre as considerações da plataforma de dados para integridade e desempenho de dados para cargas de trabalho SaaS no Azure.