ما هي Azure Private Link ؟

  • 12 دقائق

قبل أن تتعرف على Azure Private Link وميزاتها ومزاياها، دعنا نفحص المشكلة التي تم تصميم Private Link لحلها.

تمتلك شركة Contoso شبكة Azure ظاهرية وتريد الاتصال بمورد النظام الأساسي كخدمة مثل قاعدة بيانات Azure SQL. عند إنشاء مثل هذه الموارد، فإنك تحدد عادة نقطة نهاية عامة كطريقة اتصال.

إن وجود نقطة نهاية عامة يعني أنه تم تعيين عنوان IP عام للمورد. لذلك، على الرغم من وجود كل من شبكتك الظاهرية وقاعدة بيانات Azure SQL داخل سحابة Azure، فإن الاتصال بينهما يتم عبر الإنترنت.

تكمن المشكلة في أن قاعدة بيانات Azure SQL تتعرض للإنترنت عبر عنوان IP العام الخاص بها. هذا التعرض يسبب مخاطر أمنية متعددة. توجد نفس المخاطر الأمنية عند الوصول إلى مورد Azure عبر عنوان IP عام من المواقع التالية:

  • شبكة Azure ظاهرية متناظرة
  • شبكة محلية تتصل بـ Azure باستخدام ExpressRoute وتناظر Microsoft
  • شبكة Azure الظاهرية للعميل التي تتصل بخدمة Azure التي تقدمها شركتك

Network diagram of an Azure virtual network, an Azure peered virtual network, and an on-premises network accessing an Azure SQL database via the internet.

تم تصميم Private Link للقضاء على هذه المخاطر الأمنية عن طريق إزالة الجزء العام من الاتصال.

توفر Private Link وصولاً آمنًا إلى خدمات Azure. تحقق Private Link هذا الأمان عن طريق استبدال نقطة النهاية العامة للمورد بواجهة شبكة خاصة. هناك ثلاث نقاط رئيسية يجب مراعاتها مع هذا التصميم الجديد:

  • يصبح مورد Azure، بمعنى ما، جزءًا من شبكتك الظاهرية.
  • يستخدم الاتصال بالمورد الآن شبكة Microsoft Azure الأساسية بدلاً من الإنترنت العام.
  • يمكنك تكوين مورد Azure بحيث لا يعرض عنوان IP العام الخاص به بعد الآن، ما يلغي المخاطر الأمنية المحتملة.

ما هي Azure Private Endpoint؟

Private Endpoint هي التقنية الرئيسية وراء Private Link. Private Endpoint هي واجهة شبكة تتيح اتصالاً خاصًا وآمنًا بين الشبكة الظاهرية الخاصة بك وخدمة Azure. بمعنى آخر، Private Endpoint هي واجهة الشبكة التي تحل محل نقطة النهاية العامة للمورد.

إشعار

Private Endpoint ليست خدمة مجانية. حيث تدفع رسومًا محددة لكل ساعة، بالإضافة إلى رسم محدد لكل جيجابايت لكل من البيانات الواردة والصادرة التي تمر عبر نقطة النهاية الخاصة.

تمنحك Private Link وصولاً خاصًا من شبكة Azure الظاهرية إلى خدمات النظام الأساسي كخدمة وخدمات شركاء Microsoft في Azure. ومع ذلك، ماذا لو أنشأت شركتك خدمات Azure الخاصة بها لعملاء شركتك للاستهلاك؟ هل من الممكن أن نقدم لهؤلاء العملاء اتصالاً خاصًا بخدمات شركتك؟

نعم، باستخدام Azure Private Link Service. تتيح لك هذه الخدمة تقديم اتصالات Private Link لخدمات Azure المخصصة. يمكن لمستهلكي خدماتك المخصصة بعد ذلك الوصول إلى هذه الخدمات بشكل خاص -أي بدون استخدام الإنترنت- من شبكات Azure الظاهرية الخاصة بهم.

إشعار

لا توجد رسوم لاستخدام خدمة Private Link Service.

توفر Private Link التي تعمل مع نقطة النهاية الخاصة وخدمة Private Link Service المزايا التالية:

  • وصول خاص إلى خدمات النظام الأساسي كخدمة وخدمات Microsoft Partner على Azure. عند استخدام نقطة النهاية الخاصة، يتم تعيين خدمات Azure إلى شبكة Azure الظاهرية. لا يهم وجود مورد Azure في شبكة ظاهرية مختلفة وفي مستأجر Active Directory مختلف. للمستخدمين في شبكة Azure الظاهرية، يبدو أن المورد جزء من تلك الشبكة.
  • وصول خاص إلى خدمات Azure في أي منطقة. Private Link تعمل بشكل عمومي. يعمل الاتصال الخاص بخدمة Azure حتى إذا كانت الشبكة الظاهرية لتلك الخدمة في منطقة مختلفة عن الشبكة الظاهرية الخاصة بك.
  • التوجيهات غير العامة إلى خدمات Azure. يتغير مسار نسبة استخدام الشبكة، بمجرد تعيين خدمة Azure إلى شبكتك الظاهرية. تنتقل جميع البيانات الواردة والصادرة بين شبكتك الظاهرية وخدمة Azure عبر شبكة Microsoft Azure الأساسية. لا يتم استخدام الإنترنت العام مطلقًا لنسبة استخدام شبكة الخدمة.
  • نقاط النهاية العامة لم تعد مطلوبة. نظرًا إلى أن كل نسبة استخدام الشبكة من وإلى خدمة Azure المعينة تتدفق الآن عبر العمود الفقري لـ Microsoft Azure، لم تعد نقطة النهاية العامة للخدمة مطلوبة. يمكنك تعطيل نقطة النهاية العامة هذه، ومن ثمَّ التخلص من أي تهديد أمني محتمل.
  • تحصل شبكات Azure الظاهرية الخاصة بك أيضًا على حق الوصول إلى الموارد التي تعمل باستخدام Private Link. إذا كنت تستخدم شبكة ظاهرية واحدة أو أكثر من شبكات Azure الظاهرية المتناظرة، فلا يلزم تكوين إضافي لتلك الشبكات النظيرة للوصول إلى مورد Azure خاص. يمكن للعملاء داخل أي شبكة متناظرة الوصول إلى أي نقطة نهاية خاصة قمت بتعيينها لخدمة Azure.
  • تحصل الشبكة المحلية الخاصة بك أيضًا على حق الوصول إلى الموارد التي تعمل باستخدام Private Link. هل تتصل شبكتك المحلية بشبكة Azure الظاهرية باستخدام التناظر الخاص لخدمة ExpressRoute أو نفق الشبكة الظاهرية الخاصة؟ إذا كان الأمر كذلك، فلا حاجة إلى تكوين إضافي للعملاء داخل الشبكة المحلية للوصول إلى مورد Azure خاص.
  • الحماية من النقل غير المصرّح للبيانات. عندما تقوم بتعيين نقطة نهاية خاصة لخدمة Azure، فإنك تقوم بالتعيين إلى مثيل معين لتلك الخدمة. على سبيل المثال، إذا كنت تقوم بإعداد وصول خاص إلى تخزين Azure Storage، فإنه يمكنك تعيين الوصول إلى كائن ثنائي كبير الحجم أو جدول أو مثيل تخزين آخر. لن يتمكن المتطفل من نقل البيانات أو نسخها إلى مثيل مورد آخر، إذا تم اختراق جهاز ظاهري في شبكتك.
  • وصول خاص إلى خدمات Azure الخاصة بك. يمكنك تنفيذ خدمة Private Link Service وتزويد العملاء بوصول خاص إلى خدمات Azure المخصصة.

تعمل Private Link ونقطة النهاية الخاصة مع العديد من خدمات Azure. لمواكبة أحدث الخدمات والمناطق التي تدعم Private Link، راجع تحديثات Azure.