Microsoft heeft aangekondigd dat ze vanaf 30 september 2025 geen ondersteuning meer zullen bieden voor de default outbound connectivity voor virtuele machines (VM's) en scale sets. En dat heeft uiteraard belangrijke gevolgen voor gebruikers die daar momenteel (nog) op vertrouwen. Benieuwd waarom Microsoft deze beslissing heeft genomen? En wat de mogelijke alternatieven zijn?
Azure biedt sinds jaar en dag default outbound connectivity aan voor virtuele machines, zelfs als de VM geen eigen publieke IP-adres heeft. Of gekoppeld is met een Load Balancer. Dankzij deze functionaliteit is de VM in staat om verbinding te maken met internet om updates te downloaden, met externe API’s te communiceren en andere internetgerelateerde taken uit te voeren. En dat zonder dat je gebruikers handmatig een outbound IP-adres hoeven te configureren.
Waarom schaft Microsoft het af?
De ondersteuning voor de standaard Azure outbound connectiviteit loopt ten einde op 30 september 2025 om verschillende redenen:
- Beveiliging: Standaard outbound connectiviteit kan potentiële beveiligingsrisico's met zich meebrengen. Door automatisch een outbound IP-adres toe te wijzen, vermindert de controle over uitgaand netwerkverkeer. En dat kan leiden tot ongewenste outbound connecties.
- Consistentie en controle: Door gebruikers te dwingen om expliciete outbound connectiviteit te configureren, biedt Azure meer consistentie en controle over het uitgaande netwerkverkeer. Op die manier kan je het beveiligings- en netwerkbeleid van je organisatie beter afstemmen op je specifieke behoeften.
- Monitoring en analyse: Door outbound connectiviteit handmatig te configureren, kunnen gebruikers netwerkverkeer beter in de gaten houden en analyseren. Dat kan helpen anomalieën te identificeren en globale netwerkprestaties te verbeteren.
Wat zijn de alternatieven?
Azure Firewall
Op zoek naar een cloud-gebaseerde netwerkbeveiligingsdienst die uitgebreide bescherming biedt voor je virtuele netwerkbronnen? Dan zit je goed met Azure Firewall. Daarmee krijg je een volledig beheerde Firewall-as-a-Service (FWaaS) met ingebouwde hoge beschikbaarheid en onbegrensde cloud-schaalbaarheid. Azure Firewall biedt een geavanceerde inspectie van netwerkverkeer, beschermt tegen bedreigingen en helpt je netwerk- en applicatiebeveiliging te handhaven.
Voordelen van Azure Firewall:
- Network Address Translation (NAT): Azure Firewall ondersteunt zowel Destination NAT als Source NAT. Die laatste maakt het mogelijk voor interne virtuele machines om via de firewall met het internet te communiceren. Die vertaalt het interne IP-adres dan naar een openbaar IP-adres van de firewall, zodat je op een gecontroleerde manier je outbound connectiviteit kan beheren.
- Regelbeheer: Met Azure Firewall kan je gedetailleerde netwerk- en applicatieregels definiëren om uitgaand verkeer te beheren. Zo kan je, bijvoorbeeld, specificeren welke protocollen, poorten en bestemmingen zijn toegestaan. En dat zorgt ervoor dat je meer controle hebt over je outbound verkeer, op een veilige manier.
- Logging en monitoring: Via Azure Firewall kan je jouw netwerkverkeer in realtime monitoren en gedetailleerde logboeken genereren voor analyse- en compliance-doeleinden. Dat maakt het makkelijker om ongebruikelijk verkeer te detecteren en je beveiligingsbeleid te handhaven.
- Integratie met andere Azure-services: Azure Firewall integreert naadloos met andere Azure-beveiligingsdiensten, zoals Azure Security Center en Azure Sentinel. Zo kan je een holistische security-aanpak implementeren en je organisatie op een effectieve manier beschermen tegen bedreigingen.
NAT Gateway
Azure Network Address Translation (NAT) Gateway is een volledig beheerde en schaalbare netwerkservice. Deze is speciaal ontworpen om outbound internetconnectiviteit te bieden voor virtuele netwerken, zonder dat je elk individueel subnet handmatig moet configureren. Dat zorgt ervoor dat je virtuele machines (VM's) en scale sets betrouwbaar en veilig verbinding kunnen maken met het internet via een vast, publiek IP-adres.
Voordelen van NAT Gateway:
- Vaste publieke IP-adressen: Met Azure NAT Gateway kan je 1 of meerdere statische openbare IP-adressen toewijzen aan je virtuele netwerken. Dit zorgt voor consistente en voorspelbare outbound IP-adressen voor alle VM's die verbinding maken met het internet via de gateway.
- Schaalbaarheid: Azure NAT Gateway is ontworpen om automatisch te schalen op basis van het netwerkverkeer. Je hoeft je dus geen zorgen te maken over capaciteitslimieten of prestatieproblemen, zelfs niet tijdens piekperiodes.
- Eenvoudige configuratie: Een NAT Gateway is eenvoudig te configureren en vereist minimale inspanning. Daarvoor hoef je alleen een NAT Gateway-resource te maken en toe te wijzen aan een subnet binnen je virtuele netwerk. Alle VM's in dat subnet maken automatisch gebruik van de NAT Gateway voor outbound verkeer.
- Beveiliging en betrouwbaarheid: Azure NAT Gateway biedt een geavanceerde veiligheid. Het voorkomt ongeautoriseerde toegang en beschermt je netwerk tegen bepaalde soorten gevaren, door een beperkt aantal vaste outbound IP-adressen te gebruiken.
Azure Load Balancer
Nood aan een netwerkservice die helpt om het inkomend netwerkverkeer te verdelen over meerdere back-end-bronnen, zoals virtuele machines? Dan raden we aan om voor Azure Load Balancer te kiezen. Daarmee geniet je van een hoge beschikbaarheid en schaalbaarheid doordat je het netwerkverkeer efficiënt kan beheren en distribueren. Azure Load Balancer ondersteunt zowel Layer 4 (Transport Layer) Load Balancing als outbound NAT (Network Address Translation).
Voordelen van Azure Load Balancer:
- Outbound NAT: Azure Load Balancer heeft een handige functie, genaamd Source Network Address Translation (SNAT). Daarmee kunnen interne VM's uitgaand verkeer naar het internet sturen via een vast, publiek IP-adres. Dit zorgt ervoor dat al het outbound verkeer afkomstig is van een bekend IP-adres, wat netwerkbeheer en beveiliging een stuk makkelijker maakt.
- Gebalanceerd verkeer: Met Azure Load Balancer kan je niet alleen de inkomende, maar ook de uitgaande traffic efficiënt beheren. Dat maakt het een veelzijdige oplossing voor zowel je outbound connectiviteit én voor je inkomende aanvragen in evenwicht te houden.
- Integratie met virtuele netwerken: Azure Load Balancer integreert naadloos met Azure Virtual Networks (VNets), waardoor het eenvoudig is om de Load Balancer toe te wijzen aan een subnet en het outbound verkeer te beheren.
- Automatische scaling en betrouwbaarheid: Azure Load Balancer is ontworpen om automatisch op en af te schalen op basis van de behoeften van je netwerkverkeer. Dat zorgt voor hoge beschikbaarheid en betrouwbaarheid zonder handmatige interventie.
Vast en dedicated IP-adres per VM
Een dedicated assigned IP-adres in Azure is een publiek IP-adres dat expliciet is toegewezen aan een specifieke virtuele machine, scale set of netwerkinterface. Dat wordt uitsluitend gebruikt voor zowel inkomend als uitgaand verkeer. En biedt op die manier een vast en voorspelbaar IP-adres voor communicatie met het internet.
Voordelen van een dedicated IP-adres:
- Consistent en voorspelbaar: Door een dedicated IP-adres toe te wijzen aan een VM of netwerkinterface, zorg je ervoor dat alle uitgaande communicatie via dit specifieke IP-adres En dat maakt het een stuk consistenter en voorspelbaarder om je netwerkverkeer en beveiligingsbeleid te beheren.
- Directe toewijzing: Het IP-adres wordt direct gekoppeld aan een specifieke resource. Daardoor is er geen aanvullende configuratie nodig, wat de implementatie erg eenvoudig en rechtlijnig maakt.
- Beveiliging en controle: Door een dedicated IP-adres te gebruiken, kan je nauwkeurige firewallregels en toegangscontrolelijsten (ACL's) instellen, specifiek voor dit IP-adres. Zo creëer je een betere beveiliging door alleen het toegelaten verkeer toe te staan.
Hoe zit het met jouw outbound connectivity?
* Alle NIC’s in dezelfde groep (VM/availability set/VMSS) mogen niet toegewezen zijn aan standaard PIP, standaard publieke LP of NAT Gateway. En mogen ook geen deel uitmaken van VMSS met flexibele orchestratiemodus.
Hulp nodig bij je keuze?
Onze Azure-experten helpen je met veel plezier de juiste netwerkoplossing te vinden voor jouw IT-omgeving. Neem gerust contact op met een van onze specialisten.