Heb jij jouw Azure egress goed geregeld?

Je hebt de sprong naar Azure gemaakt. De meeste van je workloads zijn succesvol gemigreerd naar je Azure-landingzones en alles draait soepel. Deze zomer migreer je je laatste applicatie naar de cloud. Je voelt je zelfverzekerd en bent er helemaal klaar voor! 

De landing-zone is aangemaakt en je begint met het migreren van je laatste applicatie naar Azure. Tot je verrassing kan de applicatie geen verbinding maken met belangrijke ondersteunende services die nodig zijn voor de werking van je applicatie. Waarom gebeurt dit bij deze applicatie? Onze andere applicaties werkten direct na de implementatie! 

Wees voorbereid op de aankomende wijzigingen in de standaard outbound egress op Azure virtuele machines in september. Op 30 september 2025 wordt de standaard outbound egress op virtuele machines uitgeschakeld voor nieuwe virtuele machines. Dit betekent dat nieuwe virtuele machines geen toegang meer hebben tot het internet wanneer ze in Azure worden aangemaakt. Dit kan leiden tot problemen met het uitvoeren van updates en het verbinden met Microsoft-services die essentieel zijn voor de basisfunctionaliteit van je virtuele machines. 

Om je voor te bereiden op deze mogelijke problemen, hebben je Azure landing-zones een outbound gateway nodig in je Azure-netwerk. Dit uitgaand verbindingspunt in je Azure-netwerk kan op verschillende manieren worden ingericht, variërend van uitgebreide oplossingen tot eenvoudigere, maar minder veilige alternatieven. We beginnen bij de minst veilige optie en werken toe naar de meest veilige oplossing. 

Public IP 

Een internetgerichte NIC in Azure. Dit verbindt je virtuele machine rechtstreeks met het internet. Eenvoudig op te zetten en goedkoop, maar deze voordelen brengen grote risico’s met zich mee. Door je virtuele machine direct met het internet te verbinden, nodig je ook allerlei ongewenste gasten uit. Microsoft adviseert om deze aanpak te vermijden, en Cloudnation raadt dit ten zeerste af.   

Load balancer 

Met een Azure Load Balancer worden workloads over meerdere servers verspreid, zodat de beschikbaarheid en prestaties geoptimaliseerd blijven. De load balancer leidt je gebruikers naar je toegewezen backend-services. Maar je kunt je load balancer ook gebruiken met outbound-regels. Outbound-regels stellen je in staat om SNAT (Source Network Address Translation) te definiëren voor een public standard load balancer. Met deze configuratie kun je de openbare IP-adressen van je load balancer gebruiken om outbound internetconnectiviteit te bieden voor je backend-services. 

NAT gateway 

Azure NAT Gateway is een volledig beheerde en uiterst betrouwbare Network Address Translation (NAT)-service. Dit is een uitstekende schaalbare oplossing om je Azure-resources privé toegang te geven tot het internet. Inkomende toegang vanaf het internet is niet toegestaan, wat deze oplossing extra veilig maakt. NAT Gateway biedt daarnaast SNAT-poortcapaciteiten tot wel 64.000 SNAT-poorten per IP, wat vooral gunstig kan zijn in grotere Azure-omgevingen. 

Azure firewall 

Azure Firewall is de meest complete en aanbevolen cloud-native methode om je Azure-resources toegang te geven tot zowel uitgaande als inkomende internetverbindingen. Verschillende ingebouwde functies maken Azure Firewall de eerste keuze wanneer beveiliging een belangrijke rol speelt in je organisatie. 

Azure Firewall beschermt niet alleen je Azure-omgeving tegen aanvallers en andere potentiële bedreigingen, maar fungeert ook als een centrale logging-oplossing die al het netwerkverkeer vastlegt dat erdoorheen gaat. 

Wanneer je een Hub/Spoke-netwerktopologie gebruikt, registreert Azure Firewall ook al het interne Azure-verkeer. Hierdoor krijg je volledige zichtbaarheid over je Azure-netwerkverkeer, wat je helpt om controle te behouden over alle data binnen en buiten je omgeving. 

Derde partij-oplossingen

Cloudnation heeft een samenwerking met Aviatrix om ons netwerkportfolio te verbreden. Aviatrix brengt diverse netwerkfunctionaliteiten samen in één pakket dankzij hun uitgebreide ervaring en expertise. Door Azure en de firewall van Aviatrix te combineren, profiteer je van het beste van beide werelden. 

Aviatrix cloud firewall 

Aviatrix Cloud Firewall combineert de mogelijkheden van Azure Firewall en NAT Gateway in één oplossing. Het biedt geavanceerde firewallfuncties en is een uitstekende keuze voor multi-cloudomgevingen waarin klanten zowel Azure als AWS of Google Cloud Platform gebruiken. Dit komt doordat Aviatrix Cloud Firewall naadloos integreert met de equivalenten in andere clouds. Wanneer je de kosten van Aviatrix Cloud Firewall vergelijkt met een combinatie van Azure Firewall en NAT Gateway, kunnen klanten tot 25% besparen. Deze kostenbesparingen, samen met de integratie van enterprise-functies in één oplossing, maken Aviatrix Cloud Firewall tot een uitstekende keuze. 

Bij Cloudnation hebben we tientallen Azure-cloud-native en Aviatrix-omgevingen met een Hub/Spoke-topologie geïmplementeerd via Infrastructure as Code. Neem gerust contact met ons op als je vragen hebt.