数据中心到 Azure 迁移——我走在正确的道路上吗？

简单介绍一下背景。我们是一家小公司（13 名员工，其中 6 名是 IT/开发人员）。每个人都远程工作，没有中央办公室。我们的数据中心仅用于开发和生产环境。我们不将其用于任何内部公司功能（例如，目前只有 IT 部门可以通过 VPN 访问它，我们使用 Office365/OneDrive 之类的东西，而不是我们网络上的文件服务器）我们开发、托管和销售 SaaS 解决方案。我们处理一些医疗数据（例如 HIPAA 和 PHI），因此我们已经完成了获得 HIPAA 和 NIST 认证的过程，这对我们的客户非常重要。

现有基础设施

我们在数据中心有一个半机架，其中有集群 Hyper-V 环境（3 个物理服务器连接到 Nimble SAN）。我们的环境包括：

1. pfSense 周边防火墙（配置了 OpenVPN 以及用于 IDS/IPS 的 Snort）
2. 使用带有 SSL 终止的 keepalived 实现冗余 HAProxy
3. 两个运行 IIS 的 Windows 2008R2 VM 用于我们的主要应用程序（注意：当前使用具有 WAF 的 Cloudflare Business）
4. 主动/被动故障转移群集中两个运行 SQL 2014 的 Windows 2012R2 VM。
5. 我们还有一个单独的 Dev VM、2 个 AD VM 和一个 DPM VM 用于备份，但我并不关心这篇文章中提到的这些内容 - 只是想提一下它们的存在

我们已经使用 Azure 存储来存储客户文档以及异地备份。我们还在 Azure 中配置了一个冷灾难恢复站点，该站点由三台虚拟机（AD、Web 和 DB）组成，虽然规模很小，但可以让我们在几个小时内启动 Azure 上的主要基础设施。

未来计划

我们的目标（理想情况下是在 2019 年底）是将数据中心迁移到 Azure。我们当前的硬件正在老化，虽然没有出现故障迹象（希望如此），但我们希望摆脱数据中心领域，因为微软（或亚马逊/谷歌等）等公司更有能力做到这一点，而数据中心领域则不必担心物理设备。我对如何实现这一目标有一个不错的想法，并且在过去一个月里一直在使用 Azure 来熟悉各种选项。

从高层次的角度来看，我正在研究像这种部署一样简单的事情（https://docs.microsoft.com/en-us/azure/architecture/reference-architectures/app-service-web-app/basic-web-app) 来为我们的应用程序。我们考虑过直接在 Azure 中重新创建现有虚拟机的直接迁移方法，但从维护的角度来看，迁移到 PaaS 更具吸引力。主要区别在于我们将使用 SQL 托管实例作为数据库，而不是 SQL 数据库。此架构仅适用于我们的生产环境。对于我们的开发/QA 环境，我们很可能会在单独的资源组和 vNet 中部署相同或类似的架构。

我最大的疑问在于防火墙是否适合这里。我们收到 IT 问卷，并且必须对大多数客户进行全面的 IT 安全审计。以下是我们收到的一些问题示例：

• 所有内部连接都使用防火墙吗？
• 所有外部连接都使用防火墙吗？
• 防火墙是否用于分割内部网络？
• 该组织是否采用入侵检测 (IDS) 或入侵防御 (IPS) 系统？

基本上，到目前为止，我发现的所有示例中，推荐的 Azure 部署都不包含任何与防火墙或 IDS/IPS 相关的内容。这很标准吗？我知道 Azure 防火墙是存在的，但每月 900 美元的价格并不值得，因为它在 NSG 之上提供的保护有限。我已经开始考虑 NVA 选项（特别是 Netgate pfSense，因为我对 pfSense 非常熟悉），但我不知道这是否会过度？

因此，如果您在读完这个冗长的计划后仍然在读下去，我想我要问的是：

1. 至少看起来我的前进道路是正确的吗？还是我完全错了？
2. 如果我们继续进行上述部署，您将如何处理客户有关防火墙和 IDS/IPS 的问题？