Windows Server 2022 ist das Betriebssystem, das On-Premises-Umgebungen mit Azure verbindet. Sie profitieren von zusätzlichen Sicherheitsebenen und der Modernisierung Ihrer Anwendungen und Infrastrukturen.
Microsoft hat seinem Betriebssystem für Server eine neue Version gegönnt. Im Zuge des Long-Term Servicing Channels (LTSC) ist nun nach zwei Jahren ein Update erschienen, das teilweise wichtige Neuerungen mit sich bringt. Dabei hat Microsoft das Rad nicht neu erfunden und stattdessen auf Weiterentwicklung von bestehenden Funktionen gesetzt. Nach anfänglichem Schluckauf ist Windows Server 2019 nun vollständig einsatzbereit. Welche neuen Features hat das System?
Was hat sich geändert? Windows Server 2022 und seine Features
Es gibt ein paar Pfeiler, auf die Microsoft die neue Server-Version stellt: Mehr Möglichkeiten zur Arbeit in einer Hybrid Cloud, bessere Unterstützung von Linux, mehr Sicherheit durch Shielded Virtual Machines, Neuerungen im Storage-Subsystem und die Etablierung des Windows Admin Centers. Rund um diese wichtigen Posten kreisen einige kleinere und manche größere Änderungen.
Windows Server ist die Plattform für den Aufbau einer Infrastruktur aus vernetzten Anwendungen, Netzwerken und Webdiensten. Als Windows Server-Administratorin oder -Administrator haben Sie dazu beigetragen, die Ziele Ihres Unternehmens zu erreichen und die Infrastruktur gleichzeitig sicher, verfügbar und flexibel zu halten. Windows Server war die Grundlage des Microsoft-Ökosystems und ist auch heute noch die Basis für Hybrid-Cloud-Netzwerke.
Windows Server-Dateiserver hosten Milliarden von Dateien bei Millionen von Kund*innen und ermöglichen die Speicherung und den Abruf von Dateien mit integrierter Skalierung. Sicherheit, Kontingente, Backup, Replikation und Wiederherstellung sind alle in das Betriebssystem integriert.
Windows Server hostet Millionen von Apps – von einfachen IIS-Web-Apps bis hin zu komplexen Anwendungen wie SharePoint, Exchange, Datenbanken und Produktenvon Drittanbietern – und bietet integrierte Sicherheit, Hochverfügbarkeit und Replikation für Server und Cluster.
Hostet virtuelle Hyper-V-Computer über Windows Server-Container, Linux-Container und Kubernetes-Cluster und unterstützt die Integration in native Azure-Dienste.
Diese Referenzarchitektur zeigt ein sicheres Hybridnetzwerk, das ein lokales Netzwerk in Azure erweitert. Die Architektur implementiert ein Umkreisnetzwerk, auch als DMZ bezeichnet, zwischen dem lokalen Netzwerk und einem virtuellen Azure-Netzwerk. Sämtlicher eingehender und ausgehender Datenverkehr durchläuft die Azure Firewall.
Die Architektur umfasst die folgenden Komponenten:
Virtuelles Azure-Netzwerk. Das virtuelle Netzwerk hostet die Lösungskomponenten und weitere Ressourcen, die in Azure ausgeführt werden.
Virtuelle Netzwerkrouten definieren den IP-Datenverkehrsfluss innerhalb des virtuellen Azure-Netzwerks. Es gibt zwei benutzerdefinierte Routingtabellen, wie im Diagramm dargestellt.
Im Gatewaysubnetz wird der Datenverkehr über die Azure Firewall-Instanz weitergeleitet.
Für diese Architektur ist eine Verbindung mit Ihrem lokalen Rechenzentrum erforderlich, entweder mithilfe eines VPN-Gateways oder einer ExpressRoute-Verbindung. Typische Einsatzmöglichkeiten für diese Architektur sind:
Verwenden Sie die rollenbasierte Zugriffssteuerung in Azure (Azure Role-Based Access Control, Azure RBAC), um die Ressourcen in Ihrer Anwendung zu verwalten. Ziehen Sie die Erstellung der folgenden benutzerdefinierten Rollen in Erwägung:
Die IT-Administratorrolle sollte keinen Zugriff auf die Firewallressourcen haben. Der Zugriff sollte auf die IT-Sicherheitsadministratorrolle beschränkt sein.
Azure-Ressourcen wie VMs, virtuelle Netzwerke und Lastenausgleichsmodule können durch Zusammenfassung in Ressourcengruppen ganz einfach verwaltet werden. Weisen Sie jeder Ressourcengruppe Azure-Rollen zu, um den Zugriff einzuschränken.
Es empfiehlt sich, die folgenden Ressourcengruppen zu erstellen:
Um eingehenden Datenverkehr aus dem Internet zuzulassen, fügen Sie der Azure Firewall eine Regel für die Zielnetzwerk-Adressübersetzung (Destination Network Address Translation, DNAT) hinzu.
Verwenden Sie die Tunnelerzwingung für den gesamten ausgehenden Internetdatenverkehr durch Ihr lokales Netzwerk, indem Sie einen Site-zu-Site-VPN-Tunnel verwenden, und nutzen Sie für die Weiterleitung ins Internet die Netzwerkadressenübersetzung (Network Address Translation, NAT). Dieses Design verhindert die versehentliche Offenlegung jeglicher vertraulicher Informationen und ermöglicht zugleich die Untersuchung und Überwachung des gesamten ausgehenden Datenverkehrs.
Blockieren Sie den Internetdatenverkehr von den Ressourcen in den Subnetzen des Spoke-Netzwerks nicht vollständig. Durch das Blockieren des Datenverkehrs werden diese Ressourcen an der Verwendung von Azure PaaS-Diensten gehindert, die auf öffentlichen IP-Adressen beruhen, wie etwa die VM-Diagnoseprotokollierung, das Herunterladen von VM-Erweiterungen sowie weitere Funktionen. Für Azure-Diagnose ist außerdem erforderlich, dass Komponenten Lese- und Schreibzugriff auf ein Azure Storage-Konto besitzen.
Überprüfen Sie, ob der ausgehende Internetdatenverkehr ordnungsgemäß zwangsweise getunnelt wird. Wenn Sie eine VPN-Verbindung mit dem Routing- und RAS-Dienst auf einem lokalen Server verwenden, setzen Sie ein Tool wie WireShark ein.
Verwenden Sie ggf. Application Gateway oder Azure Front Door für die SSL-Beendigung.
Diese Überlegungen beruhen auf den Säulen des Azure Well-Architected Frameworks, d. h. einer Reihe von Grundsätzen, mit denen die Qualität von Workloads verbessert werden kann. Weitere Informationen finden Sie unter Microsoft Azure Well-Architected Framework.
Effiziente Leistung
Leistungseffizienz ist die Fähigkeit Ihrer Workload, auf effiziente Weise eine den Anforderungen der Benutzer entsprechende Skalierung auszuführen. Weitere Informationen finden Sie unter Übersicht über die Säule „Leistungseffizienz“.
Weitere Informationen über die Bandbreitengrenzwerte von VPN Gateway finden Sie unter Gateway-SKUs. Für größere Bandbreiten können Sie das Upgrade auf ein
ExpressRoute-Gateway in Erwägung ziehen. ExpressRoute stellt bis zu 10 Gb/s Bandbreite mit geringerer Wartezeit als eine VPN-Verbindung zur Verfügung.
Weitere Informationen über die Skalierbarkeit von Azure-Gateways finden Sie in den Abschnitten zur Skalierbarkeit unter:
Ausführliche Informationen zum Verwalten virtueller Netzwerke und NSGs im großen Stil finden Sie unter Tutorial: Erstellen eines geschützten Hub-and-Spoke-Netzwerks. In diesem Artikel wird erläutert, wie Sie neue Hub-and-Spoke-Topologien von virtuellen Netzwerken für die zentrale Verwaltung von Konnektivitäts- und NSG-Regeln erstellen (bzw. das Onboarding für vorhandene Topologien durchführen).
Zuverlässigkeit
Zuverlässigkeit stellt sicher, dass Ihre Anwendung Ihre Verpflichtungen gegenüber den Kunden erfüllen kann. Weitere Informationen finden Sie in der Überblick über die Säule „Zuverlässigkeit“.
Wenn Sie Azure ExpressRoute verwenden, um eine Verbindung zwischen dem virtuellen und dem lokalen Netzwerk bereitzustellen, konfigurieren Sie ein VPN-Gateway zur Failoverbereitstellung für den Fall, dass die ExpressRoute-Verbindung nicht verfügbar ist.
Informationen zur Aufrechterhaltung der Verfügbarkeit von VPN- und ExpressRoute-Verbindungen finden Sie in den Überlegungen zur Verfügbarkeit unter:
Sicherheit bietet Schutz vor vorsätzlichen Angriffen und dem Missbrauch Ihrer wertvollen Daten und Systeme. Weitere Informationen finden Sie unter Übersicht über die Säule „Sicherheit“.
Diese Referenzarchitektur implementiert mehrere Sicherheitsebenen.
Routen aller lokalen Benutzeranforderungen durch eine Azure Firewall
Die benutzerdefinierte Route im Gatewaysubnetz blockiert alle Benutzeranforderungen, die nicht aus dem lokalen Netzwerk stammen. Die Route leitet zulässige Anforderungen an die Firewall weiter. Die Anforderungen werden an die Ressourcen in den virtuellen Spoke-Netzwerken weitergeleitet, wenn sie durch die Firewallregeln zulässig sind. Sie können weitere Routen hinzufügen, achten Sie jedoch darauf, dass diese nicht nicht unabsichtlich die Firewall umgehen oder Verwaltungsdatenverkehr für das Verwaltungssubnetz blockieren.
Verwenden von NSGs zum Blockieren/Übergeben des Datenverkehrs zu virtuellen Netzwerknetzen
Der Verkehr zu und von Ressourcensubnetzen in virtuellen Spoke-Netzwerken wird durch die Verwendung von NSGs eingeschränkt. Wenn bei Ihnen das Erfordernis besteht, die NSG-Regeln zu erweitern, um einen breiteren Zugriff auf diese Ressourcen zuzulassen, wägen Sie diese Erfordernisse gegen die Sicherheitsrisiken ab. Jeder neue eingehende Kommunikationsweg stellt eine Gelegenheit für die zufällige oder absichtliche Offenlegung von Daten oder Beschädigung von Anwendungen dar.
DDoS-Schutz
Azure DDoS Protection, kombiniert mit bewährten Methoden für den Anwendungsentwurf, bietet erweiterte Features zur DDoS-Risikominderung, um besser vor DDoS-Angriffen zu schützen. Sie sollten Azure DDOS Protection in allen virtuellen Umkreisnetzwerken aktivieren.
AVNM ermöglicht es Ihnen, Baselines für Sicherheitsregeln zu erstellen, die Vorrang vor Netzwerksicherheitsgruppen-Regeln haben können. Sicherheitsverwaltungsregeln werden vor NSG-Regeln ausgewertet und haben den gleichen Charakter wie NSGs, mit Unterstützung für Priorisierung, Diensttags und L3-L4-Protokolle. Dies ermöglicht es der zentralen IT, grundlegende Sicherheitsregeln durchzusetzen, die von zusätzlichen NSG-Regeln der Spoke-VNet-Besitzer unabhängig sind. Sie können zur Erleichterung eines kontrollierten Rollouts von Änderungen an Sicherheitsregeln die Funktion Bereitstellungen von AVNM verwenden, um die Breaking Changes dieser Konfigurationen sicher in den Hub-and-Spoke-Umgebungen freizugeben.
DevOps-Zugriff
Verwenden Sie Azure RBAC, um die Vorgänge einzuschränken, die DevOps auf den einzelnen Ebenen ausführen kann. Verwenden Sie beim Erteilen von Berechtigungen den Ansatz der geringsten Rechte. Protokollieren Sie alle Verwaltungsvorgänge, und führen Sie regelmäßig Überwachungen durch, um sicherzustellen, dass alle Konfigurationsänderungen auf Planung beruhen.
Kostenoptimierung
Bei der Kostenoptimierung geht es um die Suche nach Möglichkeiten, unnötige Ausgaben zu reduzieren und die Betriebseffizienz zu verbessern. Weitere Informationen finden Sie unter Übersicht über die Säule „Kostenoptimierung“.
Verwenden Sie den Azure-Preisrechner, um die voraussichtlichen Kosten zu ermitteln. Weitere Überlegungen finden Sie im Microsoft Azure Well-Architected Framework im Abschnitt zur Kostenoptimierung.
Hier sind die Überlegungen zu den Kosten für die Dienste angegeben, die in dieser Architektur verwendet werden.
Bereitstellen lokaler DNS- und DHCP-Dienste für Millionen von Kunden.