Azure Virtual Network Gateway

Azure platformasında Virtual Network Gateway funksiyası əsasən Lokal şəbəkənin (On-premise network)  Azure Virtual şəbəkəsi ilə birləşməsi üçün istifadə olunur.

Burada əsasən 2 metoddan istifadə ediilr:

• Site-to-Site və ya Point-to-Site VPN
• Ayrılmış WAN kanal (ExpressRoute)

Point-to-Site VPN birləşmə

Point-to-Site (P2S) qoşulma vasitəsi ilə siz, individual komputer və Azure Virtual Network arasında təhlükəsiz əlaqə yarada bilərsiniz. Bu həll adətən, Azure şəbəkələrinə evdən və ya digər şirkətdən kənar lokasiyalardan birbaşa qoşulmaq üçün istifadə edilir.

Site-to-Site VPN birləşmə

 Site-to-Site (S2S) – IPSec/IKE (IKEv1 və ya IKEv2) VPN tuneli üzərindən işləyən qoşulma növüdür. Bu tip qoşulmalar cross-premis və hibrid qoşulmalar üçün kifayət qədər əlverişlidir. S2S əlaqəni yaratmaq üçün On-premise mühitdə VPN avadanlığı tələb olunur, hansı ki NAT arxasında olmamalı və Public İp ünvanı olmalıdır. Site-to-Site VPN əlaqə yoxlanılmış və qismən təhlükəsiz bir texnologiyadır, onu həcmindən asılı olmayaraq bir çox şirkətlər istifadə edir.

Site-to-Site VPN qoşulmanın bəzi mənfi cəhətləri vardır:

• Azure-a qoşulma sürəti saniyədə 200 megabit sürətə qədər dəstəklənir.
• Bütün trafik internet üzərindən keçir, hansı ki, təhlükəsizliyi sual altına qoyur.

Birinci problem təhlükəsizlik ilə bağlı deyil, ancaq performansa ciddi təsir edir, bu isə availability-yə mənfi təsir göstərə bilər.

Təhlükəsizlik səviyyəsini ölçəndə audit mütəxəssislər CİA üçlüyündən istifadə edirlər: Confidentiality, İntegrity, Availability – konfidensiallıq, bütövlük, əlçatanlıq. Ən azı bu səbəbdən Availability vacib şərtdir.

Əgər Site-to-Site növündə VPN kanalının keçiricilik bacarığı bitərsə (Bandwith limit), istifadəçilər və qurğular lazım olan informasiyanı Azure Virtual Network-dən əldə edə bilməyəcəklər, yani siz, availability ilə problemlər yaşayacaqsınız bu isə qeyd etdiyimiz kimi, təhlükəsizlik baxımından mənfi haldır.

Ikinci problem bir başa təhlükəsizlik ilə bağlıdır. Internet vasitəsilə ötürülən hər hansı bir trafik – “Attack, Redirection,
cracking” və s başqa vasitələrlə hücuma məruz qala bilər. Site-to-Site VPN, əlaqələrdə daha təhlükəsiz olan İpsec tunelləri istifadə edilir. Onlar ən yeni alqoritmləri və şifrələnmə texnologiyalarını dəstəkləyirlər, ancaq bununla belə bir ehtimal varki, siz inadkar hücumçuya rast gələcəksiniz və o boşluq tapıb tuneldən ötürülən məlumatları əldə edə və ya dəyişdirəcəkdir.

Əgər sizin mühit ən yüksək təhlükəsizlik və performans səviyyəsini tələb edirsə, seçilmiş WAN kanalını reallaşdırmağınız məsləhətdir.

Ayrılmış WAN kanalı (ExpressRoute)

Ayrılmış (Dedicated) WAN kanalı sizin lokal şəbəkə ilə başqa şəbəkə arasında davamlı əlaqə deməkdir. Belə WAN kanalları servis provider-lər tərəfindən yaradılır və internetdən keçmirlər. Onlar sizin və Azure virtual şəbəkələri arasında şəxsi fikizi əlaqə yaradır.

Microsoft müştərilərinə, öz şəbəkələri və Azure Virtual Network arasında ExpressRoute

vasitəsilə xüsusi WAN kanallı yaratmaq imkanı verir.

Bu variantı seçdiyimiz zaman bir çox üstünlüklər əldə etmiş oluruq.

• Azure Virtual network və On-premise şəbəkə arasında saniyədə 10 gigabit-ə qədər connection sürəti
• İnternet infrastrukturundan keçməyən ayrılmış şəxsi əlaqə kanalı.
• Xidmət səviyyəsi haqqında razılaşma (SLA) hansı ki, uptime və performans barədə müəyyən zəmanət verir.

Gördüyünüz kimi, ayrılmış ExpressRoute WAN kanalı daha böyük performans təmin edir. 10 Gbit\s sürətlə məlumaların ötürülməsi Site-to-Site VPN əlaqənin maksimal sürətindən 50 dəfə daha çoxdur.

Təhlükəsizlik baxımından da üstünlük göz qabağındadır. Bu əlaqə internetdən keçmir, ona görə internetdən gələ biləcək təhlükələrdən qorunub. Təbii ki, teoretik olaraq hacker internet provayderin infrastrukturuna giriş edə bilər, ancaq bu təhlükə internetdən gələ biləcək təhlükələrdən daha azdır.

Service Level Agreement (SLA) vacib faktordur. Site-to-Site VPN istifadə etdikdə siz internetin keyfiyyətinə güvənməli olursunuz. Internetdə xidmət səviyyəsi haqqında razılaşma yoxdur, servis provider əlaqənin müəyyən keyfiyyətini təmin etməyə çalışır, ancaq zəmanət vermir. Sizin məlumatlar bir neçə şəbəkədən keçir və siz ancaq ümid edə bilərsiniz ki availability və performance lazımı səviyyədə təmin ediləcək.

VNet to VNet VPN qoşulma

Bunlardan əlavə sizin Azure platforması daxilində bir neçə virtual şəbəkəniz ola bilər. Bu virtual şəbəkələri birləşdirmək üçün VNet to VNet VPN connection tipindən istifadə bilərik. Bu qoşulma növü Virtual şəbəkənin on-premise şəbəkəyə qoşulma tipi ilə demək olar ki, eynidir. Hər ikisi VPN Gateway istifadə edir və İPsec/İKE vasitəsi ilə təhlükəsiz tunel yaradır.