Firewall de Nuvem Híbrida

O Network Edge trabalha com o Equinix Fabric para fornecer uma rampa de acesso à cloud virtual que pode ser ativada em minutos. Isso proporciona acesso multicloud híbrido de baixa latência para uma variedade de aplicativos. Se as aplicativos forem multicamadas ou sensíveis à latência e precisarem de acesso a recursos empresa, elas podem ser implementadas usando um dispositivo de segurança virtual implantado no Network Edge em um único ponto de controle.

Arquitetura

A topologia híbrida de várias nuvens nesse cenário de arquitetura de referência tem uma camada da Web implementada em um provedor de nuvem e uma camada de banco de dados implementada em outro provedor de nuvem na mesma região. O único componente do aplicativo acessível ao público é a camada da Web. Todos os outros componentes devem ser protegidos, inclusive a infraestrutura corporativa, que também fornece serviços ao aplicativo e deve estar próxima aos outros componentes devido aos requisitos de latência.

Essa solução reduz o número de dispositivos implantados e cria um único ponto de controle de segurança entre todas as camadas de aplicativos. Para as empresas, a complexidade da rede é reduzida, o que diminui os custos de conectividade de nuvem para nuvem e aumenta a segurança.

A comunicação em rede entre as camadas de aplicação é fornecida por interconexões privadas diretas de Camada 2 sobre o Equinix Fabric, com o dispositivo Network Edge fornecendo roteamento de Camada 3 e serviços de segurança. O dispositivo Network Edge é uma função de rede virtual (VNF) que é hospedada pela plataforma de virtualização da função de rede Network Edge (NFV).

Componentes Equinix

• Equinix Fabric – O Equinix Fabric é uma plataforma de comutação que fornece conectividade privada a uma ampla seleção de provedores participantes da rede. Circuitos virtuais são provisionados no Fabric usando redes definidas por software (SDN) para estabelecer conectividade com os provedores conectados à rede. Conexões virtuais podem ser criadas usando o Portal do Cliente ou APIs.
• Equinix Network Edge – O Network Edge é uma plataforma NFV compatível com ETSI que hospeda VNFs (roteadores, firewalls e SD- WAN) de diversos fornecedores, como Cisco, Juniper, Palo Alto, Fortinet, Versa, Aruba e Check Point. As VNFs podem ser implantadas em tempo real e, uma vez implantadas, você pode começar a construção conexões virtuais com provedores no Fabric.

Componentes de aplicação

• interconexão privada – interconexões privadas do provedor de serviços de nuvem (CSP ) são conexões de parceiro ou hospedadas da Camada 2 que conectar a Equinix Fabric. As conexões de parceiros ou hospedadas fornecem um switch intermediário entre um dispositivo e o roteador CSP com o qual ele faz peering. Uma vez estabelecida a interconexão privada da Camada 2, você pode configurar o peering da Camada 3 com o gateway CSP . As interconexões privadas desviar a internet.
• Camada web da cloud pública – A camada web da cloud pública hospeda os servidores web que são expostos na internet pública para conectividade do usuário . Essa camada também fornece serviços de internet fornecidos pelo provedor de cloud pública ou por um provedor de serviços de internet que esteja no Fabric.
• Camada de banco de dados em cloud pública – A camada de banco de dados em cloud pública hospeda os serviços PaaS de banco de dados que são interconectados à camada web . Essa camada é protegida pelo dispositivo de segurança virtual, pois o tráfego entre a camada web e a camada de banco de dados deve passar pelo ponto de controle de segurança.
• Infraestrutura empresarial – A infraestrutura empresa hospeda serviços privados para a aplicação. Essa infraestrutura pode ser hospedada em um data center Equinix, fornecido pela Equinix Metal, ou em outro local. O único requisito é que o Equinix Fabric consiga alcance a infraestrutura.

Recomendações

Estas recomendações servem como ponto de partida. Os requisitos do cliente podem ser diferentes dos listados.

• Escolha da localização – Este exemplo de arquitetura mostra conexões entre regiões da mesma região. Dependendo da região de implantação, a latência pode variar, o que é uma consideração importante ao projetar aplicações com requisitos de latência rigorosos. No entanto, algumas aplicações podem exigir conectividade entre regiões. Nesses casos, utilize o alcance global do Equinix Fabric para criar essas conexões.
• Alta disponibilidade – Esta arquitetura mostra uma implementação de thread única sem tolerância a falhas. A Equinix recomenda que os clientes implementem o nível de tolerância a falhas necessário para atender às suas necessidades de negócios. O Network Edge pode ser implementado com dispositivos redundantes ou, no caso de alguns fornecedores, os dispositivos podem ser implementados como um par de alta disponibilidade.
• Endereçamento de rede – Para conexões com serviços privados por meio de uma interface virtual privada, os clientes podem usar endereçamento IP privado. Para alguns serviços públicos, os endereços IP públicos do próprio cliente e o NAT podem ser necessários para o dispositivo de borda da rede. Como cada provedor de serviços de comunicação (CSP) tem requisitos diferentes para endereçamento público, é necessário pesquisar antes de tentar criar conexões públicas. Para a camada web, os clientes podem fornecer seus próprios endereços IP que atendam aos requisitos de publicidade na internet ou usar o endereçamento atribuído pelo provedor.

Considerações

Ao implementar essa arquitetura, considere os seguintes fatores.

Desempenho

Além da latência, a largura de banda entre os componentes e a taxa de transferência do dispositivo são importantes. Os circuitos virtuais devem ser dimensionados adequadamente e os dispositivos devem suportar a taxa de transferência desejada.

Segurança

As interconexões privadas no Fabric para o fornecedor da nuvem não são criptografadas. Uma aplicação que requer criptografia deve ser criptografada ou na camada de aplicação, ou na camada de rede onde os túneis IPSEC podem ser construídos entre o dispositivo Network Edge e um gateway de nuvem. Os túneis IPSEC envolvem overhead, o que também afeta a seleção do dispositivo. Esta solução implementa um dispositivo de segurança virtual em um único ponto de controle que cruza todos os fluxos de tráfego entre as camadas de aplicação.

Custos da Equinix

• Instância do dispositivo – O custo do dispositivo virtual (não inclui o custo da licença).
• Licença para o dispositivo virtual – Os clientes podem adquirir uma licença de assinatura para alguns fornecedores. A opção "Traga sua própria licença" (BYOL) está disponível para todos os fornecedores.
• Circuitos virtuais – As cobranças mensais recorrentes são baseadas no tamanho dos circuitos. Conexões entre redes metropolitanas na Equinix Fabric incorrem em uma sobretaxa adicional pela conexão remota.

Custos do CSP

• Tarifas de Saída – Cobradas por algumas provedores de serviço com base na quantidade de dados transmitidos pela interconexão privada. Essas tarifas variam de acordo com a provedor. Usar uma interconexão privada reduz as tarifas de saída em comparação com a internet.
• Tarifas de Porta Fixa – Cobradas por alguns provedores com base no tamanho do circuito, além das tarifas de saída. Tanto as tarifas de saída quanto as de porta fixa são levadas em consideração no design da sua aplicação.

Ao implantar um dispositivo de segurança virtual no Network Edge, os clientes podem consolidar conexões híbridas de várias nuvens em um único ponto de controle de segurança, maximizando o desempenho das aplicações e aprimorando a segurança.

Tópicos relacionados

• Network Edge Architecting for Resiliency
• Networking for Nerds: Deconstructive Interconnection to the Cloud (Blog)