ما هي Azure Private Link ؟

مكتمل

قبل أن تتعرف على Azure Private Link وميزاتها ومزاياها، دعنا نفحص المشكلة التي تم تصميم Private Link لحلها.

تمتلك شركة Contoso شبكة Azure ظاهرية وتريد الاتصال بمورد النظام الأساسي كخدمة مثل قاعدة بيانات Azure SQL. عند إنشاء مثل هذه الموارد، تحدد ⁧⁩نقطة نهاية عامة⁧⁩كطريقة اتصال.

إن وجود نقطة نهاية عامة يعني أنه تم تعيين عنوان IP عام للمورد. لذلك، على الرغم من وجود كل من شبكتك الظاهرية وقاعدة بيانات Azure SQL داخل سحابة Azure، فإن الاتصال بينهما يتم عبر الإنترنت.

تكمن المشكلة في أن قاعدة بيانات Azure SQL تتعرض للإنترنت عبر عنوان IP العام الخاص بها. هذا التعرض يسبب مخاطر أمنية متعددة. توجد نفس المخاطر الأمنية عند الوصول إلى مورد Azure عبر عنوان IP عام من المواقع التالية:

  • شبكة Azure ظاهرية متناظرة
  • شبكة محلية تتصل بـ Azure باستخدام ExpressRoute وتناظر Microsoft
  • شبكة Azure الظاهرية للعميل التي تتصل بخدمة Azure التي تقدمها شركتك

⁩رسم تخطيطي للشبكات خاص بشبكة Azure الظاهرية، وشبكة ظاهرية نظيره لـ Azure، وشبكة محلية لها حق الوصول إلى قاعدة بيانات Azure SQL عبر الإنترنت.⁧

تم تصميم Private Link للتخلص من المخاطر الأمنية هذه عن طريق إزالة الجزء ⁧⁩العام ⁧⁩من الاتصال.

توفر Private Link وصولاً آمنًا إلى خدمات Azure. تحقق Private Link هذا الأمان عن طريق استبدال نقطة النهاية العامة للمورد بواجهة شبكة خاصة. هناك ثلاث نقاط رئيسية يجب مراعاتها مع هذا التصميم الجديد:

  • يصبح مورد Azure، بمعنى ما، جزءًا من شبكتك الظاهرية.
  • يستخدم الاتصال بالمورد الآن شبكة Microsoft Azure الأساسية بدلاً من الإنترنت العام.
  • يمكنك تكوين مورد Azure بحيث لا يعرض عنوان IP العام الخاص به بعد الآن، ما يلغي المخاطر الأمنية المحتملة.

ما هي Azure Private Endpoint؟

Private Endpoint هي التقنية الرئيسية وراء Private Link. Private Endpoint هي واجهة شبكة تتيح اتصالاً خاصًا وآمنًا بين الشبكة الظاهرية الخاصة بك وخدمة Azure. بمعنى آخر، Private Endpoint هي واجهة الشبكة التي تحل محل نقطة النهاية العامة للمورد.

ملاحظة

Private Endpoint ليست خدمة مجانية. حيث تدفع رسومًا محددة لكل ساعة، بالإضافة إلى رسم محدد لكل جيجابايت لكل من البيانات الواردة والصادرة التي تمر عبر نقطة النهاية الخاصة.

تمنحك Private Link وصولاً خاصًا من شبكة Azure الظاهرية إلى خدمات النظام الأساسي كخدمة وخدمات شركاء Microsoft في Azure. ومع ذلك، ماذا لو أنشأت شركتك خدمات Azure الخاصة بها والتي يستهلكها عملاء شركتك؟ هل من الممكن أن نقدم لهؤلاء العملاء اتصالاً خاصًا بخدمات شركتك؟

نعم، باستخدام Azure Private Link Service. تتيح لك هذه الخدمة تقديم اتصالات Private Link لخدمات Azure المخصصة. يمكن لمستهلكي خدماتك المخصصة بعد ذلك الوصول إلى هذه الخدمات بشكل خاص -أي بدون استخدام الإنترنت- من شبكات Azure الظاهرية الخاصة بهم.

ملاحظة

لا توجد رسوم لاستخدام خدمة Private Link Service.

توفر Private Link التي تعمل مع نقطة النهاية الخاصة وخدمة Private Link Service المزايا التالية:

  • وصول خاص إلى خدمات النظام الأساسي كخدمة وخدمات Microsoft Partner على Azure. يتم تعيين خدمات Azure إلى شبكة Azure الظاهرية الخاصة بك، باستخدامAzure Private Endpoint. لا يهم وجود مورد Azure في شبكة ظاهرية مختلفة وفي مستأجر Active Directory مختلف. بالنسبة إلى المستخدمين في شبكة Azure الظاهرية، يبدو أن المورد جزء من تلك الشبكة.
  • وصول خاص إلى خدمات Azure في أي منطقة. Private Link تعمل بشكل عمومي. يعمل الاتصال الخاص بخدمة Azure حتى إذا كانت الشبكة الظاهرية لتلك الخدمة في منطقة مختلفة عن الشبكة الظاهرية الخاصة بك.
  • المسارات غير العامة إلى خدمات Azure. يتغير مسار نسبة استخدام الشبكة، بمجرد تعيين خدمة Azure إلى شبكتك الظاهرية. تنتقل جميع البيانات الواردة والصادرة بين شبكتك الظاهرية وخدمة Azure عبر شبكة Microsoft Azure الأساسية. لا يتم استخدام الإنترنت العام مطلقًا لنسبة استخدام شبكة الخدمة.
  • نقاط النهاية العامة لم تعد مطلوبة. نظرًا إلى أن كل نسبة استخدام الشبكة من وإلى خدمة Azure المعينة تتدفق الآن عبر العمود الفقري لـ Microsoft Azure، لم تعد نقطة النهاية العامة للخدمة مطلوبة. يمكنك تعطيل نقطة النهاية العامة هذه، ومن ثمَّ التخلص من أي تهديد أمني محتمل.
  • تحصل شبكات Azure الظاهرية الخاصة بك أيضًا على حق الوصول إلى الموارد التي تعمل باستخدام Private Link. إذا كان لديك شبكة Azure ظاهرية واحدة أو أكثر من شبكات Azure الظاهرية المتناظرة، فليست هناك حاجة إلى تكوين إضافي لهذه الشبكات المتطابقة للوصول إلى مورد Azure خاص. يمكن للعملاء داخل أي شبكة متناظرة الوصول إلى أي نقطة نهاية خاصة قمت بتعيينها لخدمة Azure.
  • تحصل الشبكة المحلية الخاصة بك أيضًا على حق الوصول إلى الموارد التي تعمل باستخدام Private Link. هل تتصل شبكتك المحلية بشبكة Azure الظاهرية باستخدام التناظر الخاص لخدمة ExpressRoute أو نفق الشبكة الظاهرية الخاصة؟ إذا كان الأمر كذلك، فلا حاجة إلى تكوين إضافي للعملاء داخل الشبكة المحلية للوصول إلى مورد Azure خاص.
  • الحماية من النقل غير المصرّح للبيانات. عندما تقوم بتعيين نقطة نهاية خاصة لخدمة Azure، فإنك تقوم بالتعيين إلى مثيل معين لتلك الخدمة. على سبيل المثال، إذا كنت تقوم بإعداد وصول خاص إلى تخزين Azure Storage، فإنه يمكنك تعيين الوصول إلى كائن ثنائي كبير الحجم أو جدول أو مثيل تخزين آخر. لن يتمكن المتطفل من نقل البيانات أو نسخها إلى مثيل مورد آخر، إذا تم اختراق جهاز ظاهري في شبكتك.
  • وصول خاص إلى خدمات Azure الخاصة بك. يمكنك تنفيذ خدمة Private Link Service وتزويد العملاء بوصول خاص إلى خدمات Azure المخصصة.

تعمل Private Link ونقطة النهاية الخاصة مع العديد من خدمات Azure. لمواكبة أحدث الخدمات والمناطق التي تدعم Private Link، راجع ⁧⁩Azure updates⁧⁩.