Arquitetura Cisco Secure Remote Worker para Azure

Arquitetura Cisco Secure Remote Worker para Azure

cupom com desconto - o melhor site de cupom de desconto cupomcomdesconto.com.br


Hoje, as empresas estão investindo na capacitação de sua força de trabalho para ter uma conexão segura com os recursos hospedados na nuvem. A Cisco fornece uma solução de trabalhador remoto segura que usa o Cisco AnyConnect Secure Mobility Client, Cisco Duo, Cisco Umbrella e Cisco Advanced Malware Protection (AMP) para terminais.

  • Cliente Cisco AnyConnect Secure Mobility: O Cisco AnyConnect Secure Mobility Client capacita funcionários remotos com acesso altamente seguro e sem atrito à rede corporativa de qualquer dispositivo, a qualquer hora e em qualquer local, protegendo a organização. Ele fornece uma experiência de usuário consistente em todos os dispositivos, tanto internos quanto externos, sem criar uma dor de cabeça para suas equipes de TI. Simplifique o gerenciamento com um único agente.
  • Cisco Duo: O Cisco Duo é uma maneira amigável e escalonável de manter os negócios à frente das ameaças de segurança em constante mudança, implementando o modelo de segurança Zero Trust. A autenticação multifator do Duo protege a rede usando uma segunda fonte de validação, como um telefone ou token, para verificar a identidade do usuário antes de conceder acesso. O Cisco Duo foi projetado para fornecer uma experiência de login simples e otimizada para cada usuário remoto. Como uma solução baseada em nuvem, ele se integra facilmente com sua tecnologia existente e fornece administração, visibilidade e monitoramento.
  • Módulo de segurança de roaming Cisco Umbrella: O módulo Cisco Umbrella Roaming Security para Cisco AnyConnect oferece segurança sempre ativa em qualquer rede, em qualquer lugar, a qualquer hora – dentro e fora da VPN corporativa. O módulo Roaming Security reforça a segurança na camada DNS para bloquear malware, phishing e callbacks de comando e controle em qualquer porta. O Umbrella fornece visibilidade em tempo real de todas as atividades da Internet por nome de host, dentro e fora de sua rede ou VPN.
  • Enabler Cisco Advanced Malware Protection (AMP): O módulo Cisco AnyConnect AMP Enabler é usado como meio para implementar a Proteção Avançada contra Malware (AMP) para Endpoints. Ele envia o software AMP para Endpoints para um subconjunto de endpoints de um servidor hospedado localmente na empresa e instala serviços AMP em sua base de usuários existente. Essa abordagem fornece aos administradores da base de usuários do AnyConnect um agente de segurança adicional que detecta ameaças de malware em potencial na rede, remove essas ameaças e protege a empresa contra comprometimento. Ele economiza largura de banda e o tempo de download, não requer alterações no portal e pode ser feito sem que as credenciais de autenticação sejam enviadas ao terminal. AnyConnect AMP Enabler protege o usuário dentro e fora da rede ou VPN.
Leia Também  As 10 principais tendências de transformação digital para empresas em 2020

Arquitetura Cisco Secure Remote Worker para Azure 2

Figura 1 – Componentes da solução Cisco Secure Remote Worker

Arquitetura Cisco Secure Remote Worker para Azure

Hoje as organizações estão consumindo serviços, cargas de trabalho e aplicativos hospedados no Azure (nuvem pública). O Azure fornece uma ampla gama de serviços que oferecem facilidade de uso, orquestração e gerenciamento. Os clientes estão adotando esses serviços, mas esse modelo de consumo de recursos abre outra superfície de ataque. Usando os controles de segurança da Cisco, os clientes podem fornecer uma conexão segura com a infraestrutura de nuvem do Azure. Esta arquitetura VPN de acesso remoto protege multi-VNet, multi-AZ (zona de disponibilidade) estendendo a solução Cisco Secure Remote Worker. Esta arquitetura reúne Cisco Security e Azure Infrastructure-as-a-service (IaaS) e estende os recursos de VPN de acesso remoto com Duo, Umbrella e AMP Enabler.

Arquitetura Cisco Secure Remote Worker para Azure 3

Figura 2 – Arquitetura Secure Remote Worker para multi-VNet, multi-AZ

O design de rede acima tem os seguintes componentes e serviços:

  • Cisco ASAv ou Cisco NGFWv para terminação VPN de acesso remoto (TLS ou DTLS)
  • Cisco Secure AnyConnect Mobility Client nos terminais
  • Microsoft Windows 2019 Active Directory para LDAP
  • Cisco Duo para autenticação multifator
  • Umbrella Security Roaming Module para DNS Layer Security
  • AMP Enabler para proteção contra malware

Esta arquitetura é projetada com base no modelo Hub e Spoke, o hub-vnet possui firewalls para terminação VPN. O Hub-VNet é conectado a spoke-VNets usando o peering de VNet. O peering de VNet usa a rede de backbone do Azure e a rede de backbone do Azure fornece maior taxa de transferência.

  • As sessões de VPN de acesso remoto têm balanceamento de carga pelo Azure Traffic Manager
  • Azure Internal Load Balancer (Standard) é usado para balanceamento de carga de tráfego não VPN (Leste / Oeste)
  • Azure External / Public Load Balancer é usado para balanceamento de carga de tráfego não VPN (Norte / Sul)
Leia Também  Modernize sua infraestrutura do AI Suite e obtenha zero tempo de inatividade Parte 1

Fluxo de Tráfego

VPN de acesso remoto: O Azure bloqueia a visibilidade da camada 2 necessária para que o balanceamento de carga HA e VPN nativos funcione. Para habilitar a resiliência e o balanceamento de carga VPN, deve-se contar com os serviços de nuvem nativos, como o Azure Traffic Manager (ATM), DNS e UDR. Nessa arquitetura, os usuários VPN enviam tráfego VPN para o Gerenciador de Tráfego do Azure. O ATM rastreia todos os firewalls usando probes e faz o balanceamento de carga dos terminais de conexão VPN (Cisco Firewalls).

    • Cada Firewall tem um pool VPN separado
    • A Rota Definida pelo Usuário (UDR) do Azure encaminha o tráfego de volta para o firewall correto
    • O Azure Traffic Manager equilibra a carga do tráfego RAVPN

Arquitetura Cisco Secure Remote Worker para Azure 4

Figura 3 – Arquitetura Secure Remote Worker para multi-VNet, multi-AZ (RA VPN Traffic Flow)

Não VPN (Leste / Oeste): Os firewalls no HubvNET inspecionam o tráfego leste-oeste, cada sub-rede na VNet do spoke tem uma tabela de rota que tem uma rota definida pelo usuário (UDR) apontando para o “endereço IP virtual” do ILB do Azure. O tráfego chega ao ILB e o ILB o encaminha para o firewall. O firewall inspeciona o tráfego; se o tráfego for permitido, ele será enviado ao VNet de destino usando o par VNet. O tráfego de retorno é encaminhado de volta para o ILB porque o UDR semelhante também é aplicado na VNet de destino. O ILB mantém o estado e envia o tráfego de volta ao mesmo firewall que processou o fluxo de pacote inicial.

Arquitetura Cisco Secure Remote Worker para Azure 5

Figura 4 – Fluxo de tráfego não VPN Leste / Oeste

Não VPN (Norte / Sul)

    • Fluxo de tráfego de saída: Cada sub-rede spoke tem uma tabela de rota associada a ela. O UDR controla o roteamento do tráfego e tem uma rota padrão que aponta para o IP virtual (VIP) do ILB. O HubvNET tem ILB e pontos ILB para firewalls para conectividade com a Internet. O tráfego da Internet tem balanceamento de carga no firewall de perímetro e o tráfego é SNATed para o endereço IP da interface externa. O tráfego de saída não atinge o balanceador de carga externo porque um IP público mapeado para a interface externa do firewall e UDR na sub-rede externa usou 10.82.1.1 como um gateway padrão. O ILB do Azure usado nesta arquitetura é um SKU padrão que requer o Azure NSG explícito para permitir o tráfego em firewalls (dispositivos de back-end). Existe um NSG azure aplicado a interfaces internas e externas de firewalls; este NSG tem a regra de permitir todos aplicada, mas você pode restringir o tráfego de acordo com sua política Infosec.
Leia Também  1,2,3 Fácil como pode ser - Webex Edge for Devices

Arquitetura Cisco Secure Remote Worker para Azure 6

Figura 5 – Não VPN Norte / Sul (fluxo de tráfego de saída)

    • Fluxo de tráfego de entrada: Os usuários externos acessariam o IP de front-end no balanceador de carga público (ELB) do Azure, o ELB tem interfaces externas no pool de back-end. O ELB é responsável pelo balanceamento de carga do tráfego não VPN de entrada, o ELB envia o tráfego para o firewall se o tráfego permitido for SNATed para a interface interna para manter a simetria do tráfego.

Arquitetura Cisco Secure Remote Worker para Azure 7

Figura 6 – Não VPN Norte / Sul (fluxo de tráfego de entrada)

Para obter informações detalhadas sobre a Cisco Secure Remote Worker Architecture for Azure, consulte nosso Cisco Validated Design Guide (CVD): https://www.cisco.com/c/dam/en/us/solutions/collateral/enterprise/design- zone-security / srw-azure-design-guide.pdf


Obrigado,
Anubhav Swami
Arquiteto de Soluções de Segurança
CCIEx2 – 21208
Canal do Youtube

Anubhav Swami

Recursos importantes:

Compartilhar:

cupom com desconto - o melhor site de cupom de desconto cupomcomdesconto.com.br