Scopri i pattern di connettività ISV per un sicuro interscambio dati tra Azure e sistemi on-premises.
Immaginiamo una situazione in cui una società, come la Contoso Corporation, necessiti di accedere a un’applicazione SaaS ospitata su Azure, dal proprio data center in loco. La sfida qui è lo scambio di dati in maniera agevole e, soprattutto, sicura. Da un lato abbiamo Fabrikam Technologies, il fornitore della soluzione SaaS su Azure, che deve stabilire connessioni entranti esclusivamente tramite un indirizzo IP pubblico.
Questo panorama ci presenta delle configurazioni di rete tra azienda cliente e fornitore SaaS che devono garantire la sicurezza e l’efficienza. Affronteremo quindi alcune delle soluzioni possibili per garantire tale scambio dati fra entità distribuite geograficamente con requisiti di sicurezza elevati.
Connessione via ExpressRoute con Peering Privato
Nel contesto di un’architettura di tipo hub e spoke, la soluzione prevede l’impiego di componenti chiave come il Gateway ExpressRoute, il Route Server di Azure e le soluzioni NVA dal lato dell’hub. È essenziale che Contoso disponga di un circuito ExpressRoute, attraverso il quale il Gateway ExpressRoute gestisce l’invio e la ricezione del traffico dal data center in loco. L’utilizzo del Route Server di Azure consente lo scambio di traffico tramite BGP tra il Gateway e l’NVA, che di per sé non possono interagire direttamente. Per assicurare la trasmissione dei dati su indirizzi IP pubblici, viene impiegato un tunnel VPN sicuro tra le NVA di Fabrikam e Contoso. Il rafforzamento della sicurezza è ulteriormente garantito dallo schieramento di protezioni Azure DDoS per ogni indirizzo IP pubblico, prevenendo attacchi distribuiti di tipo DoS.
Overlay IPsec su connessioni MS Peering
L’altra soluzione prende in esame il Peering Microsoft, che rappresenta l’interconnessione tra la rete globale di Microsoft (AS8075) e la rete cliente o ISP. Il beneficio sta nella possibilità di scambio del traffico Internet con i servizi online di Microsoft e Azure, o per connessioni a/da range di IP pubblici su Azure. I fornitori di servizi di connettività possono stabilire questo collegamento con Microsoft in uno dei numerosi punti di presenza disponibili.
Contoso potrebbe richiedere un circuito di Peering Microsoft, tramite il quale il fornitore di connettività stabilisce una comunicazione fra la propria localizzazione e i router di bordo di Microsoft. Entrambe le parti, Fabrikam e Contoso, dovrebbero annunciare i loro indirizzi IP pubblici attraverso questa connessione. Potrebbe essere instaurato un tunnel VPN su questa connessione di Peering MS per creare un canale cifrato e sicuro per lo scambio dei dati. Anche in questo caso è raccomandabile l’adozione della protezione Azure DDoS per IP per difendere gli indirizzi IP pubblici da attacchi DDoS. Inoltre, Contoso non necessita di un’iscrizione ad Azure per realizzare una connettività di questo tipo.
Quindi, per le aziende che necessitano di connettersi con fornitori SaaS come Fabrikam su Microsoft 365, è cruciale comprendere tali schemi di connettività per instaurare una comunicazione efficace e sicura. I pattern sopra menzionati rappresentano valide alternative per navigare le complessità dell’interscambio di dati nella nuvola, mantenendo un rigoroso controllo sulla sicurezza.