Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Sua rede fornece a espinha dorsal de como os clientes acessam seu aplicativo SaaS (software como serviço) e permite a comunicação entre os componentes da solução. A maneira como você projeta sua rede tem um efeito direto na segurança, nas operações, no custo, no desempenho e na confiabilidade da solução. Uma abordagem estruturada à sua estratégia de rede torna-se ainda mais importante à medida que o seu ambiente na nuvem cresce.
Decidir sobre uma estratégia de implantação de rede e topologia
As soluções SaaS têm requisitos de rede exclusivos. À medida que você integra mais clientes e seu uso aumenta, os requisitos de rede mudam. Lidar com o crescimento pode ser um desafio devido a recursos limitados, como intervalos de endereços IP. O design da rede afeta a segurança e o isolamento do cliente. Planeje sua estratégia de rede para ajudar a gerenciar o crescimento, melhorar a segurança e reduzir a complexidade operacional.
Considerações de design
Planeje sua estratégia de implantação de rede com base em seu modelo de locação. Decida se deseja compartilhar recursos de rede entre clientes, dedicar recursos a um único cliente ou uma combinação dessas opções. Essa opção afeta a funcionalidade, a segurança e o isolamento do cliente do seu aplicativo.
É comum compartilhar recursos de rede, como redes virtuais e perfis do Azure Front Door, entre vários clientes. Essa abordagem reduz os custos e as despesas gerais operacionais. Também simplifica a conectividade. Você pode conectar facilmente os recursos de um cliente com recursos compartilhados, como contas de armazenamento compartilhadas ou um plano de controle.
No entanto, recursos de rede dedicados para cada cliente podem ser necessários para estabelecer alta segurança e conformidade. Por exemplo, para oferecer suporte a um alto grau de segmentação de rede entre clientes, você pode usar redes virtuais como limite. Recursos dedicados podem ser necessários quando o número de recursos de rede em todos os clientes excede a capacidade de uma única rede compartilhada.
Planeje o número de recursos de rede que cada cliente precisa, considerando os requisitos imediatos e futuros. Os requisitos do cliente e os limites de recursos do Azure podem forçar resultados específicos. Recursos diferentes podem exigir estratégias de implantação diferentes, como o uso de redes separadas para emparelhamento de rede virtual com redes virtuais do Azure de propriedade do cliente.
Para obter mais informações sobre como compartilhar recursos em uma solução SaaS, consulte Organização de recursos para cargas de trabalho SaaS.
Compreender topologias de rede. As topologias de rede normalmente se enquadram em três categorias:
Rede plana: uma rede única e isolada que possui sub-redes para segmentação. Use uma topologia de rede plana quando tiver um único aplicativo multilocatário com um layout de rede simples. As redes planas podem atingir limites de recursos e exigir mais redes à medida que você dimensiona, o que aumenta as despesas gerais e os custos. Se você planeja hospedar vários aplicativos ou usar carimbos de implantação dedicados na mesma rede virtual, talvez precise de um layout de rede complexo.
Hub and spoke: Uma rede de hub centralizada que se conecta a redes de fala isoladas. Use uma topologia hub-and-spoke para elevada escalabilidade e isolamento do cliente, pois cada cliente ou aplicação tem o seu próprio adereço e só se comunica com o hub. Você pode implantar rapidamente mais ramificações conforme necessário, para que todas as ramificações possam usar recursos no hub. A comunicação transitiva, ou spoke-to-spoke, através do hub é desativada por padrão, o que ajuda a manter o isolamento do cliente em soluções SaaS.
Sem rede: use uma topologia sem rede para soluções de plataforma como serviço (PaaS) do Azure onde você pode hospedar cargas de trabalho complexas sem implantar redes virtuais. Por exemplo, o Serviço de Aplicativo do Azure permite a integração direta com outros serviços PaaS na rede de backbone do Azure. Embora essa abordagem simplifique o gerenciamento, ela restringe a flexibilidade na implantação de controles de segurança e a capacidade de otimizar o desempenho. Essa abordagem pode funcionar bem para aplicativos nativos da nuvem. À medida que sua solução evolui, espere fazer a transição para uma topologia hub-and-spoke ao longo do tempo.
Compensação: Complexidade e segurança. Começar sem um limite de rede definido pode reduzir a carga operacional do gerenciamento de componentes de rede, como grupos de segurança, espaço de endereço IP e firewalls. No entanto, um perímetro de rede é essencial para a maioria das cargas de trabalho. Na ausência de controles de segurança de rede, confie em um forte gerenciamento de identidade e acesso para proteger sua carga de trabalho contra tráfego mal-intencionado.
Entenda como as arquiteturas de várias regiões afetam as topologias de rede. Em uma arquitetura de várias regiões que usa redes virtuais, a maioria dos recursos de rede é implantada em cada região separadamente porque firewalls, gateways de rede virtual e grupos de segurança de rede não podem ser compartilhados entre regiões.
Recomendações de design
| Recomendação | Benefício |
|---|---|
| Decida quais componentes de rede são compartilhados e quais componentes são dedicados ao cliente. Partilhe recursos que são cobrados por instância, como o Firewall do Azure, o Azure Bastion e o Azure Front Door. |
Equilibre o suporte entre seus requisitos de segurança e isolamento, reduzindo seus custos e encargos operacionais. |
| Comece com uma topologia plana ou uma abordagem sem rede. Sempre revise seus requisitos de segurança primeiro, pois essas abordagens oferecem isolamento limitado e controles de tráfego. |
Você pode reduzir a complexidade e o custo de sua solução usando topologias de rede mais simples. |
| Considere topologias hub-and-spoke para necessidades complexas ou ao implantar redes virtuais dedicadas para cada cliente. Use o hub para hospedar recursos de rede compartilhados entre redes de clientes. | Você pode escalar mais facilmente e melhorar sua eficiência de custos compartilhando recursos por meio de sua rede de hub. |
Projete um perímetro de rede altamente seguro
O perímetro da rede estabelece o limite de segurança entre a sua aplicação e outras redes, incluindo a Internet. Ao documentar o perímetro da rede, você pode distinguir entre os seguintes tipos de fluxos de tráfego:
- Tráfego de entrada, que chega à rede a partir de uma fonte externa.
- Tráfego interno, que vai entre componentes dentro da sua rede.
- Tráfego de saída, que sai da rede.
Cada fluxo envolve riscos e controles diferentes. Por exemplo, você precisa de vários controles de segurança para inspecionar e processar o tráfego de entrada.
Importante
Como prática recomendada, siga sempre uma abordagem Zero Trust. Certifique-se de que todo o tráfego é controlado e inspecionado, incluindo o tráfego interno.
Seus clientes também podem ter requisitos de conformidade específicos que influenciam sua arquitetura. Por exemplo, se eles precisarem de conformidade com SOC 2, eles devem implementar vários controles de rede, incluindo um firewall, firewall de aplicativo da Web (WAF) e grupos de segurança de rede, para atender aos requisitos de segurança. Mesmo que você não precise cumprir imediatamente, considere esses fatores de extensibilidade ao projetar sua arquitetura.
Para obter mais informações, consulte SE:06 Recomendações para rede e conectividade.
Considerações de design
Proteja e gerencie o tráfego de entrada. Inspecione esse tráfego em busca de ameaças de entrada.
As firewalls permitem-lhe bloquear endereços IP maliciosos e concluir análises avançadas para proteger contra tentativas de intrusão. No entanto, os firewalls podem ser caros. Avalie seus requisitos de segurança para determinar se um firewall é necessário.
Os aplicativos Web são vulneráveis a ataques comuns, como injeção de SQL, scripts entre sites e outras 10 principais vulnerabilidades do OWASP. O recurso de firewall de aplicativo Web do Azure ajuda a proteger contra esses ataques e integra-se ao Azure Application Gateway e ao Azure Front Door. Analise as camadas desses serviços para entender quais recursos do WAF estão em quais produtos.
Os ataques distribuídos de negação de serviço (DDoS) são um risco para aplicações voltadas para a Internet. O Azure fornece um nível básico de proteção sem custos. A Proteção contra DDoS do Azure fornece proteção avançada aprendendo seus padrões de tráfego e ajustando as proteções de acordo, mas esses recursos têm um custo. Se utiliza o Azure Front Door, aproveite as funcionalidades DDoS incorporadas.
Além da segurança, você também pode manipular o tráfego de entrada para melhorar o desempenho do seu aplicativo usando cache e balanceamento de carga.
Considere o uso de um serviço de proxy reverso como o Azure Front Door para gerenciamento de tráfego HTTP e HTTPS global. Como alternativa, use o Gateway de Aplicativo ou outros serviços do Azure para controle de tráfego de entrada. Para obter mais informações, consulte Opções de balanceamento de carga.
Proteja o tráfego interno. Certifique-se de que o tráfego entre seu aplicativo e seus componentes seja seguro para ajudar a evitar acesso mal-intencionado. Proteja esses recursos e melhore o desempenho usando tráfego interno em vez de roteamento pela Internet. O Azure Private Link é normalmente utilizado para ligar aos recursos do Azure através de um endereço IP interno na sua rede. Para alguns tipos de recursos, os pontos de extremidade de serviço podem ser uma alternativa mais econômica.
Se você habilitar a conectividade pública com a Internet para seus recursos, entenda como restringir o tráfego usando endereços IP e identidades de aplicativos, como identidades gerenciadas.
Proteja o tráfego de saída. Em algumas soluções, inspecione o tráfego de saída para evitar a exfiltração de dados, especialmente para conformidade regulatória e clientes corporativos. Use firewalls para gerenciar e revisar o tráfego de saída bloqueando conexões com locais não autorizados.
Planeje como dimensionar a conectividade de saída e o SNAT. O esgotamento da porta SNAT (conversão de endereços de rede) de origem pode afetar aplicativos multilocatário. Esses aplicativos geralmente precisam de conexões de rede distintas para cada locatário, e o compartilhamento de recursos entre clientes aumenta o risco de esgotamento do SNAT à medida que sua base de clientes cresce.
Você pode reduzir a exaustão do SNAT usando o Gateway NAT do Azure, firewalls como o Firewall do Azure ou uma combinação das duas abordagens.
Recomendações de design
| Recomendação | Benefício |
|---|---|
| Mantenha um catálogo dos pontos de extremidade de rede expostos à Internet. Capture detalhes como o endereço IP (se for estático), nome do host, portas, protocolos que os pontos de extremidade usam e a justificativa para conexões. Documente como você planeja proteger cada ponto de extremidade. |
Essa lista forma a base da sua definição de perímetro para que você possa tomar decisões explícitas sobre como gerenciar o tráfego por meio de sua solução. |
| Entenda os recursos de serviço do Azure para limitar o acesso e aprimorar a proteção. Por exemplo, necessita de mais controles para expor os endpoints da conta de armazenamento aos clientes. Esses controles incluem assinaturas de acesso compartilhado, firewalls de conta de armazenamento e contas de armazenamento separadas para uso interno e externo. |
Você pode selecionar controles que atendam às suas necessidades de segurança, custo e desempenho. |
| Para aplicativos baseados em HTTP e HTTPS, use um proxy reverso, como o Azure Front Door ou o Application Gateway. | Os proxies reversos fornecem uma ampla gama de recursos para melhorias de desempenho, resiliência e segurança. Eles também ajudam a reduzir a complexidade operacional. |
| Inspecione o tráfego de entrada usando um WAF. Evite expor recursos baseados na Web, como o Serviço de Aplicativo ou o Serviço Kubernetes do Azure (AKS), diretamente à Internet. |
Pode proteger as suas aplicações Web de forma mais eficaz contra ameaças comuns e reduzir a exposição geral da sua solução. |
| Proteja seu aplicativo contra ataques DDoS. Use o Azure Front Door ou a Proteção contra DDoS, dependendo dos protocolos que os seus pontos de extremidade públicos usam. |
Proteja a sua solução de um tipo comum de ataque. |
| Se seu aplicativo exigir conectividade de saída em escala, use o NAT Gateway ou um firewall para fornecer portas SNAT extras. | Você pode suportar níveis mais altos de escala. |
Conectividade entre redes
Para alguns cenários, talvez seja necessário conectar-se a recursos que estão fora do Azure. Esses recursos incluem dados dentro da rede privada de um cliente ou ativos em um provedor de nuvem diferente em uma configuração multicloud. Essas necessidades podem complicar seu projeto de rede porque exigem várias abordagens para implementar conectividade entre redes com base em suas necessidades específicas.
Considerações de design
Identifique os pontos de extremidade aos quais o aplicativo precisa se conectar. O aplicativo pode precisar se comunicar com outros serviços, como serviços de armazenamento e bancos de dados. Documente o proprietário, a localização e o tipo de conectividade. Em seguida, você pode escolher o método apropriado para se conectar a esses pontos de extremidade. A tabela a seguir descreve abordagens comuns.
Localização do recurso Proprietário Opções de conectividade a considerar Azure Cliente - Ponto de extremidade privado (entre locatários do Microsoft Entra)
- Emparelhamento de rede virtual (entre locatários do Microsoft Entra)
- Ponto final de serviço (entre inquilinos do Microsoft Entra)
Outro fornecedor de cloud ISV ou cliente - VPN site a site
- Azure ExpressRoute
- Internet
No local ISV ou cliente - VPN site a site
- ExpressRoute
- Internet
O Link privado e os pontos de extremidade privados fornecem conectividade segura para vários recursos do Azure, incluindo balanceadores de carga internos para máquinas virtuais. Eles permitem o acesso privado à sua solução SaaS para os clientes, mas vêm com considerações de custo.
Compensação: Segurança e custo. O Private Link ajuda a garantir que o seu tráfego permaneça na sua rede privada. Recomendamos o Private Link para conectividade de rede entre locatários do Microsoft Entra. No entanto, cada ponto de extremidade privado incorre em custos, que podem aumentar dependendo das suas necessidades de segurança. Os pontos de extremidade de serviço podem ser uma alternativa custo-efetiva. Eles mantêm o tráfego na rede de backbone da Microsoft enquanto fornecem um nível de conectividade privada.Os pontos de extremidade de serviço roteiam o tráfego para recursos PaaS por meio da rede de backbone da Microsoft, que protege a comunicação serviço-a-serviço. Os pontos de extremidade de serviço podem ser econômicos para aplicativos de alta largura de banda, mas você precisa configurar e manter listas de controle de acesso para segurança. O suporte para endpoints de serviço entre locatários do Microsoft Entra varia consoante o serviço Azure. Verifique a documentação do produto para cada serviço que você usa.
O emparelhamento de rede virtual conecta duas redes virtuais e permite que recursos em uma rede acessem endereços IP na outra. Ele facilita a conectividade com recursos privados em uma rede virtual do Azure. Você pode gerenciar o acesso usando grupos de segurança de rede, mas impor o isolamento pode ser um desafio. Portanto, é importante planejar sua topologia de rede com base nas necessidades específicas do cliente.
As redes virtuais privadas (VPNs) criam um túnel seguro através da Internet entre duas redes, incluindo entre provedores de nuvem e locais locais. As VPNs site a site usam dispositivos de rede em cada rede para configuração. Eles oferecem uma opção de conectividade de baixo custo, mas exigem configuração e não garantem uma taxa de transferência previsível.
O ExpressRoute fornece uma conexão privada dedicada, de alto desempenho entre o Azure e outros provedores de nuvem ou redes locais. Ele garante um desempenho previsível e ignora o tráfego da Internet, mas vem com custos mais altos e requer uma configuração mais complexa.
Planeje com base no destino. Talvez seja necessário se conectar a recursos em diferentes locatários do Microsoft Entra, especialmente se o recurso de destino estiver na assinatura do Azure de um cliente. Considere o uso de endpoints privados, uma VPN de site para site ou redes virtuais com peering. Para obter mais informações, consulte Criar um emparelhamento de rede virtual entre assinaturas diferentes.
Para se conectar a recursos que outro provedor de nuvem hospeda, é comum usar conectividade pública com a Internet, uma VPN site a site ou Rota Expressa. Para obter mais informações, consulte Conectividade com outros provedores de nuvem.
Compreenda os efeitos da conectividade na topologia da rede. Uma rede virtual do Azure pode ter apenas um gateway de rede virtual, que pode se conectar a vários locais por meio de uma VPN site a site ou ExpressRoute. No entanto, há limites para o número de conexões que você pode fazer por meio de um gateway, e isolar o tráfego do cliente pode ser um desafio. Para várias conexões com locais diferentes, planeje sua topologia de rede de acordo, possivelmente implantando uma rede virtual separada para cada cliente.
Compreenda as implicações para o planejamento de endereços IP. Algumas abordagens de conectividade fornecem automaticamente a conversão de endereços de rede (NAT), o que ajuda a evitar os problemas causados pela sobreposição de endereços IP. No entanto, o emparelhamento de rede virtual e a Rota Expressa não executam NAT. Ao usar esses métodos, planeje cuidadosamente os recursos de rede e as alocações de endereços IP para evitar a sobreposição de intervalos de endereços IP e garantir o crescimento futuro. O planejamento de endereços IP pode ser complexo, especialmente quando você se conecta a fontes externas, como clientes, portanto, considere possíveis conflitos com seus intervalos de endereços IP.
Entenda o faturamento de saída da rede. O Azure normalmente cobra pelo tráfego de rede de saída quando sai da rede da Microsoft ou se move entre regiões do Azure. Ao projetar soluções multi-região ou multicloud, é importante entender as implicações de custo. As opções de arquitetura, como usar o Azure Front Door ou o ExpressRoute, podem afetar a forma como você é cobrado pelo tráfego de rede.
Recomendações de design
| Recomendação | Benefício |
|---|---|
| Escolha abordagens de rede privada para conexão entre redes para priorizar a segurança. Considere o roteamento pela Internet somente depois de avaliar as implicações de segurança e desempenho associadas. |
O tráfego privado atravessa um caminho de rede seguro, o que ajuda a reduzir muitos tipos de riscos de segurança. |
| Quando você se conecta a recursos que os ambientes do Azure dos clientes hospedam, use Link Privado, pontos de extremidade de serviço ou emparelhamentos de rede virtual. | Você pode manter o tráfego na rede da Microsoft, o que ajuda a reduzir os custos e a complexidade operacional em comparação com outras abordagens. |
| Quando se liga a fornecedores de cloud ou a redes locais, utilize VPNs de site para site ou ExpressRoute. | Essas tecnologias fornecem conexões seguras entre provedores. |
Implante nos ambientes de seus clientes
Seu modelo de negócios pode exigir que você hospede o aplicativo ou seus componentes no ambiente do Azure de um cliente. O cliente gerencia sua própria assinatura do Azure e paga diretamente o custo dos recursos necessários para executar o aplicativo. Como provedor de soluções, você é responsável por gerenciar a solução, incluindo a implantação inicial, a aplicação da configuração e a implantação de atualizações no aplicativo.
Nessas situações, os clientes geralmente trazem sua própria rede e implantam seu aplicativo em um espaço de rede que eles definem. Os Aplicativos Gerenciados do Azure fornecem recursos para facilitar esse processo. Para obter mais informações, consulte Usar uma rede virtual existente com Aplicativos Gerenciados do Azure.
Considerações de design
Prepare-se para diferentes intervalos de endereços IP e conflitos. Quando os clientes implantam e gerenciam redes virtuais, eles são responsáveis por lidar com conflitos de rede e dimensionamento. No entanto, você deve antecipar diferentes cenários de uso do cliente. Planeje implantações em ambientes com espaço de endereço IP mínimo usando endereços IP de forma eficiente. Evite intervalos de endereços IP de codificação rígida para evitar sobreposições com intervalos de clientes.
Como alternativa, implante uma rede virtual dedicada para sua solução. Você pode usar o Link privado ou o emparelhamento de rede virtual para permitir que os clientes se conectem aos recursos. Para obter mais informações, consulte Conectividade entre redes. Se você definiu pontos de entrada e saída, avalie o NAT como uma abordagem para eliminar os problemas causados pelas sobreposições de endereços IP.
Fornecer acesso à rede para fins de gerenciamento. Analise os recursos que você implanta nos ambientes do cliente e planeje como acessá-los para monitorá-los, gerenciá-los ou reconfigurá-los. Ao implantar recursos com endereços IP privados em um ambiente de propriedade do cliente, certifique-se de ter um caminho de rede para alcançá-los a partir de sua própria rede. Considere como você facilita as alterações de aplicativo e recurso, como enviar por push uma nova versão do aplicativo ou atualizar uma configuração de recurso do Azure.
Em algumas soluções, você pode usar recursos que os Aplicativos Gerenciados do Azure fornecem, como acesso just-in-time e implantação de atualizações para aplicativos. Se precisar de mais controlo, pode alojar um "endpoint" na rede do cliente ao qual o seu plano de controlo pode ligar-se. Esta abordagem dá-lhe acesso aos seus recursos. Esse método requer mais recursos e desenvolvimento do Azure para atender aos requisitos de segurança, operacionais e de desempenho. Para obter um exemplo de como implementar essa abordagem, consulte Exemplo de atualização de Aplicativos Gerenciados do Azure.
Recomendações de design
| Recomendação | Benefício |
|---|---|
| Use os Aplicativos Gerenciados do Azure para implantar e gerenciar recursos implantados pelo cliente. | Os Aplicativos Gerenciados do Azure fornecem uma variedade de recursos que permitem implantar e gerenciar recursos dentro da assinatura do Azure de um cliente. |
| Minimize o número de endereços IP que você consome no espaço de rede virtual do cliente. | Os clientes geralmente têm disponibilidade restrita de endereços IP. Ao minimizar sua pegada ecológica e dissociar seu dimensionamento do uso do endereço IP, você pode ampliar o número de clientes que podem usar sua solução e permitir níveis mais altos de crescimento. |
| Planeje como obter acesso à rede para gerenciar recursos em ambientes de clientes para que você possa fazer monitoramento, alterações de configuração de recursos e atualizações de aplicativos. | Você pode configurar diretamente os recursos que gerencia. |
| Decida se deseja implantar uma rede virtual dedicada ou integrar-se à rede virtual existente de um cliente. | Ao decidir qual rede virtual usar com antecedência, você pode ter certeza de que pode atender aos requisitos de isolamento, segurança e integração com seus outros sistemas. |
| Desabilite o acesso público nos recursos do Azure por padrão. Escolha a entrada privada sempre que possível. | Você reduz o escopo dos recursos de rede que você e seus clientes precisam proteger. |
Recursos adicionais
A multilocação é uma metodologia de negócios central para projetar cargas de trabalho SaaS. Estes artigos fornecem mais informações relacionadas ao design de rede:
- Abordagens arquitetônicas para redes em soluções multilocatárias
- Modelos de arrendamento para uma solução multilocatária
- Topologia de rede hub-and-spoke
- Considerações do Gateway NAT do Azure para multilocação
- Abordagens arquitetônicas para integração de locatários e acesso a dados
Próximo passo
Saiba mais sobre as considerações da plataforma de dados para integridade e desempenho de dados para cargas de trabalho SaaS no Azure.