أمان الشبكة لمراكز الأحداث
توضح هذه المقالة كيفية استخدام ميزات الأمان التالية مع مراكز الأحداث:
- علامات الخدمة
- قواعد جدار حماية IP
- نقاط نهاية خدمة الشبكة
- نقاط النهاية الخاصة
علامات الخدمة
تمثل علامة الخدمة مجموعة من بادئات عنوان IP من خدمة Azure معينة. تقوم Microsoft بإدارة بادئات العناوين التي تشملها علامة الخدمة، كما تقوم بتحديث علامة الخدمة تلقائيًا مع تغيير العناوين، ما يقلل من تعقيد التحديثات المتكررة لقواعد أمان الشبكة. لمزيد من المعلومات حول علامات الخدمة، راجع نظرة عامة على علامات الخدمة.
يمكنك استخدام علامات الخدمة لتعريف عناصر التحكم في الوصول إلى الشبكة على مجموعات أمان الشبكة أو Azure Firewall. استخدم علامات الخدمة بدلاً من عناوين IP معينة عند إنشاء قواعد الأمان. من خلال تحديد اسم علامة الخدمة (على سبيل المثال، EventHub) في حقل المصدر أو الوجهة المناسب للقاعدة، يمكنك السماح بنسبة استخدام الشبكة للخدمة المقابلة أو رفضها.
| علامة الخدمة | الغرض | هل يمكن استخدام الوارد أو الصادر؟ | هل يمكن أن تكون إقليمية؟ | هل يمكن استخدامها مع جدار Azure Firewall؟ |
|---|---|---|---|---|
EventHub |
مراكز الأحداث. | صادر | نعم | نعم |
إشعار
تحتوي علامة خدمة Azure Event Hubs على بعض عناوين IP التي يستخدمها Azure Service Bus لأسباب تتعلق بالمحفوظات التاريخية.
جدار حماية IP
بشكل افتراضي، يمكن الوصول إلى مساحات أسماء مراكز الأحداث من الإنترنت طالما أن الطلب يأتي مع مصادقة وتخويل صالحين. باستخدام جدار حماية IP، يمكنك تقييده بشكل أكبر على مجموعة من عناوين IPv4 أو IPv6 أو نطاقات العناوين فقط في رمز CIDR (توجيه بين المجالات بدون فئة).
هذه الميزة مفيدة في السيناريوهات التي يجب أن تكون فيها مراكز الأحداث متاحة فقط من مواقع معروفة معينة. تمكنك قواعد جدار الحماية من تكوين القواعد لقبول نسبة استخدام الشبكة التي تنشأ من عناوين IPv4 أو IPv6 محددة. على سبيل المثال، إذا كنت تستخدم مراكز الأحداث مع مسار Azure Express، يمكنك إنشاء قاعدة جدار الحماية للسماح بنسبة استخدام الشبكة من عناوين IP للبنية التحتية المحلية فقط.
يتم تطبيق قواعد جدار الحماية على مستوى مساحة اسم مراكز الأحداث. لذلك، تنطبق القواعد على جميع الاتصالات من العملاء الذين يستخدمون أي بروتوكول مدعوم. يتم رفض أي محاولة اتصال من عنوان IP لا يتطابق مع قاعدة IP المسموح بها في مساحة اسم Event Hubs باعتبارها غير مصرح بها. لم يُذكر في الاستجابة قاعدة IP. يتم تطبيق قواعد عامل تصفية IP بالترتيب، وتحدد القاعدة الأولى التي تطابق عنوان IP إجراء القبول أو الرفض.
لمزيد من المعلومات، راجع كيفية تكوين جدار حماية IP لمركز أحداث.
نقاط نهاية خدمة الشبكة
يتيح تكامل مراكز الأحداث مع نقاط نهاية خدمة الشبكة الظاهرية (الشبكة الظاهرية) الوصول الآمن إلى قدرات المراسلة من أحمال العمل مثل الأجهزة الظاهرية المرتبطة بالشبكات الظاهرية، مع تأمين مسار نسبة استخدام الشبكة على كلا الطرفين.
بمجرد تكوينها للربط بنقطة نهاية خدمة شبكة فرعية افتراضية واحدة على الأقل، لم تعد مساحة اسم مراكز الأحداث تقبل نسبة استخدام الشبكة من أي مكان ولكن الشبكات الفرعية المصرح بها في الشبكات الافتراضية. من منظور الشبكة الافتراضية، يؤدي ربط مساحة اسم مراكز الأحداث بنقطة نهاية الخدمة إلى تكوين نفق شبكة معزول من الشبكة الفرعية للشبكة الظاهرية إلى خدمة المراسلة.
والنتيجة هي علاقة خاصة ومعزولة بين أحمال العمل المرتبطة بالشبكة الفرعية ومساحة اسم مراكز الأحداث المعنية، على الرغم من عنوان الشبكة الملاحظ لنقطة نهاية خدمة المراسلة في نطاق IP عام. هناك استثناء لهذا السلوك. عند تمكين نقطة نهاية خدمة، بشكل افتراضي، تمكن denyall الخدمة القاعدة في جدار حماية IP المقترن بالشبكة الظاهرية. يمكنك إضافة عناوين IP معينة في جدار حماية IP لتمكين الوصول إلى نقطة النهاية العامة بمركز الأحداث.
هام
هذه الميزة غير مدعمة في المستوى الأساسي.
سيناريوهات الأمان المتقدمة التي تم تمكينها بواسطة تكامل الشبكة الظاهرية
الحلول التي تتطلب أمانًا محكمًا ومجزئًا، وحيث توفر الشبكات الفرعية للشبكة الظاهرية التجزئة بين الخدمات المجزأة، لا تزال بحاجة إلى مسارات اتصال بين الخدمات الموجودة في تلك الحجرات.
أي مسار IP فوري بين الحجرات، بما في ذلك تلك التي تحمل HTTPS عبر TCP/IP، يحمل خطر استغلال نقاط الضعف من طبقة الشبكة وما فوقها. توفر خدمات المراسلة مسارات اتصال معزولة، حيث تتم كتابة الرسائل حتى على القرص أثناء انتقالها بين الأطراف. يمكن لأحمال العمل في شبكتين ظاهريتين متميزتين مرتبطتين بمثيل "مراكز الأحداث" نفسه الاتصال بكفاءة وموثوقية عبر الرسائل، بينما يتم الاحتفاظ بسلامة حدود عزل الشبكة المعنية.
هذا يعني أن حلول السحابة الحساسة للأمان لا تحصل فقط على إمكانية الوصول إلى قدرات المراسلة غير المتزامنة الموثوقة والقابلة للتطوير والرائدة في صناعة Azure، بل يمكنها الآن استخدام المراسلة لإنشاء مسارات اتصال بين حجرات الحلول الآمنة التي تكون بطبيعتها أكثر أمانًا مما يمكن تحقيقه مع أي وضع الاتصال من نظير إلى نظير، بما في ذلك HTTPS وبروتوكولات مأخذ توصيل بروتوكول أمان طبقة النقل الأخرى.
ربط محاور الأحداث بالشبكات الظاهرية
قواعد الشبكة الظاهرية هي ميزة أمان جدار الحماية التي تتحكم في ما إذا كانت مساحة اسم مراكز الأحداث تقبل الاتصالات من شبكة فرعية خاصة بالشبكة الظاهرية.
ربط مساحة اسم مراكز الأحداث إلى شبكة اتصال ظاهرية عملية من خطوتين. تحتاج أولا إلى إنشاء نقطة نهاية خدمة شبكة ظاهرية على الشبكة الفرعية لشبكة ظاهرية وتمكينها ل Microsoft.EventHub كما هو موضح في مقالة نظرة عامة على نقطة تقديم الخدمة. بمجرد إضافة نقطة تقديم الخدمة، يمكنك ربط مساحة اسم "مراكز الأحداث" به من خلال قاعدة الشبكة الظاهرية.
قاعدة الشبكة الظاهرية عبارة عن ارتباط لمساحة اسم مراكز الأحداث بشبكة فرعية للشبكة الافتراضية. أثناء وجود القاعدة، يتم منح كافة أحمال العمل المرتبطة بالشبكة الفرعية حق الوصول إلى مساحة اسم "مراكز الأحداث". لا تقوم مراكز الأحداث نفسها بتأسيس اتصالات صادرة، ولا تحتاج إلى الوصول، وبالتالي لا يتم منحها مطلقًا حق الوصول إلى شبكتك الفرعية من خلال تمكين هذه القاعدة.
لمزيد من المعلومات، راجع كيفية تكوين نقاط نهاية خدمة الشبكة الظاهرية لمركز أحداث.
نقاط النهاية الخاصة
تمكّنك خدمة الارتباط الخاص في Azure من الوصول إلى خدمات Azure (على سبيل المثال، مراكز أحداث وموقع تخزين Azure وAzure Cosmos DB) وخدمات العملاء/الشركاء المستضافة في Azure عبر نقطة نهاية خاصة في شبكتك الافتراضية.
نقطة النهاية الخاصة هي واجهة شبكة اتصال تربطك بشكل خاص وآمن بخدمة مدعومة من ارتباط Azure الخاص. تستخدم نقطة النهاية الخاصة عنوان IP خاص من الشبكة الظاهرية؛ مما يؤدي إلى إدخال الخدمة إلى الشبكة الظاهرية. يمكن توجيه كافة حركة المرور إلى الخدمة من خلال نقطة النهاية الخاصة، لذلك لا توجد بوابات أو أجهزة NAT أو اتصالات ExpressRoute أو VPN أو عناوين IP عامة مطلوبة. قم بنقل البيانات بين شبكتك الظاهرية وخدمات الاجتياز عبر شبكة Microsoft الأساسية، مما يلغي التعرض للإنترنت العام. يمكنك الاتصال بمثيل مورد Azure، مما يمنحك أعلى مستوى من الدقة في التحكم في الوصول.
هام
هذه الميزة غير مدعمة في المستوى الأساسي.
لمزيد من المعلومات، راجع كيفية تكوين نقاط النهاية الخاصة لمركز أحداث.
الخطوات التالية
راجع المقالات التالية:
الملاحظات
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجع https://aka.ms/ContentUserFeedback.
إرسال الملاحظات وعرضها المتعلقة بـ