وقت استخدام Azure Private Link

  • 8 دقائق

أنت تعرف ما هي Private Link وكيف تعمل. أنت الآن بحاجة إلى بعض المعايير لمساعدتك في تقييم ما إذا كان Private Link خيارًا مناسبًا لشركتك. لمساعدتك في اتخاذ قرار، دعنا نفكر في الأهداف التالية:

  • إحضار خدمات النظام الأساسي كخدمة لـ Azure إلى شبكتك الظاهرية
  • تأمين نسبة استخدام الشبكة بين شبكة شركتك وسحابة Azure
  • القضاء على التعرض للإنترنت بالنسبة إلى خدمات النظام الأساسي كخدمة
  • الوصول إلى موارد النظام الأساسي كخدمة لـ Azure عبر الشبكات
  • تقليل مخاطر النقل غير المصرّح به للبيانات
  • توفير وصول خاص للعملاء إلى خدمات Azure التي أنشأتها الشركة

فأنت تعلم أن لدى شركة Contoso العديد من هذه الأهداف، كجزء من تقييم Azure Private Link الخاص بك. اقرأ الأقسام المقابلة أدناه لمزيد من التفاصيل.

إحضار خدمات النظام الأساسي كخدمة لـ Azure إلى شبكتك الظاهرية

يمكن أن يكون الاتصال بخدمات النظام الأساسي كخدمة لـ Azure معقدًا، حسب المورد وكيفية تكوينه. تقلل Private Link من هذا التعقيد عن طريق جعل خدمات Azure تبدو وكأنها مجرد عقدة أخرى على شبكة Azure الظاهرية الخاصة بك. مع وجود مورد Private Link أصبح الآن جزءًا فعالًا من شبكتك الظاهرية، يمكن للعملاء استخدام اسم مجال مؤهل بالكامل مباشر نسبيًا لإجراء الاتصال.

تأمين نسبة استخدام الشبكة بين شبكة شركتك وسحابة Azure

إليك إحدى مفارقات الحوسبة السحابية: لكي يتمكن الجهاز الظاهري القائم على السحابة من الوصول إلى خدمة في نفس مزود السحابة، يجب أن يتم الاتصال ونسبة استخدام الشبكة خارج السحابة. وهذا يعني أنه على الرغم من وجود نقاط النهاية في السحابة، يجب أن تنتقل نسبة استخدام الشبكة عبر الإنترنت.

لسوء الحظ، بمجرد مغادرة نسبة استخدام الشبكة للسحابة، تصبح "عامة" وتكون عرضة للخطر. توجد قائمة طويلة من الاستغلالات المحتملة التي يمكن أن يستخدمها أطراف فاعلة شريرة لسرقة أو مراقبة أو إتلاف نسبة استخدام الشبكة هذه.

تزيل Private Link هذا الخطر عن طريق إعادة توجيه نسبة استخدام الشبكة بحيث لا تعبر الإنترنت. بدلاً من ذلك، تسير كل حركة المرور بين شبكتك الظاهرية ومورد Private Link على طول العمود الفقري الآمن والخاص لـ Microsoft Azure.

القضاء على التعرض للإنترنت بالنسبة إلى خدمات النظام الأساسي كخدمة

معظم موارد النظام الأساسي كخدمة لـ Azure يمكن الوصول إليها عبر الإنترنت. تحتوي هذه الموارد، بشكل افتراضي، على نقطة نهاية عامة توفر عنوان IP عامًا بحيث يمكن للعملاء الاتصال بالمورد عبر الإنترنت.

تعرض نقطة النهاية العامة المورد إلى الإنترنت، وذلك حسب التصميم. ومع ذلك، يمكن أن تعمل نقطة النهاية هذه أيضًا كنقطة هجوم للمتسللين ذوي القبعات السوداء الذين يبحثون عن طريقة للتسلل إلى الخدمة أو تعطيلها.

Private Link لا تفعل أي شيء لمنع مثل هذه الهجمات. ومع ذلك، بمجرد إنشاء نقطة نهاية خاصة وتعيينها إلى مورد Azure، لم تعد بحاجة إلى نقطة النهاية العامة للمورد. لحسن الحظ، يمكنك تكوين المورد لتعطيل نقطة النهاية العامة الخاصة به بحيث لم يعد يمثل الأجزاء المعرضة للهجوم على الإنترنت.

الوصول إلى موارد النظام الأساسي كخدمة لـ Azure عبر الشبكات

نادرًا ما تتكون إعدادات الشبكة من شبكة ظاهرية واحدة. تتضمن معظم الشبكات أيضًا أحد العنصرين التاليين أو كليهما:

  • شبكة واحدة أو أكثر متصلة عبر شبكة Azure الظاهرية.

  • شبكة أو أكثر من الشبكات المحلية متصلة إما عبر الإقران الخاص بخدمة ExpressRoute أو عبر نفق شبكة ظاهرية خاصة.

يجب أن تنشئ هذه الشبكات اتصالاتها الخاصة بمورد Azure محدد، بدون Private Link. تتطلب هذه الاتصالات عادةً الإنترنت العام. يتغير ذلك بمجرد تعيين نقطة النهاية الخاصة لمورد Azure إلى عنوان IP خاص في شبكتك الظاهرية. الآن يمكن لجميع الشبكات التي تم فحصها الاتصال بمورد الرابط الخاص مباشرًة، دون إجراء أي تكوين آخر.

تقليل مخاطر النقل غير المصرّح به للبيانات

افترض أن جهازًا ظاهريًا في شبكتك متصل بخدمة Azure. غالبًا ما يكون من الممكن لمستخدم على الجهاز الظاهري الوصول إلى موارد متعددة في خدمة Azure. على سبيل المثال، إذا كانت الخدمة هي Azure Storage، فإنه يمكن للمستخدم الوصول إلى العديد من النقاط الكبيرة والجداول والملفات وما إلى ذلك.

لنفترض الآن أن المستخدم متسلل مخادع استولى على الجهاز الظاهري. في هذا السيناريو، يمكن للمستخدم نقل البيانات من مورد إلى آخر يتحكم فيه المتطفل.

هذا السيناريو هو مثال على ⁧⁩النقل غير المصرّح به للبيانات.⁧⁩ تقوم Private Link بخفض مخاطرة تصفية البيانات عن طريق تعيين نقطة النهاية الخاصة إلى مثيل واحد من مورد Azure. قد يظل المتطفل قادرًا على عرض البيانات، ولكن ليس لديه طريقة لنسخها أو نقلها إلى مورد آخر.

Network diagram of an Azure virtual network accessing a single instance of an Azure SQL database via a private IP address mapped by Private Endpoint and not allowing access to other instances of Azure SQL Database.

توفير وصول خاص للعملاء إلى خدمات Azure التي أنشأتها الشركة

افترض أن شركتك تنشئ خدمات Azure مخصصة. من يستهلك تلك الخدمات؟ يمكن أن يكون أي شخص في القائمة التالية:

  • الأشخاص الذين يشترون المنتجات الخاصة بك.
  • موردو الشركة أو البائعون.
  • موظفو شركتك.

يمكنك القول إن كل مستهلك في القائمة أعلاه يمثل ⁧⁩عميل⁧⁩ للخدمة الخاصة بك.

هناك فرصة ممتازة وهي أن البيانات التي يتم الوصول إليها وإنشاءها من قبل هؤلاء العملاء لا تقل أهمية عن البيانات الخاصة بشركتك. لذلك تستحق بيانات العميل الخاصة بك نفس مستوى الخصوصية والأمان مثل بيانات الشركة الخاصة بك.

إذا كنت تعتقد أن Private Link هي الخيار الصحيح لتأمين بيانات شركتك، فحينئذٍ سترغب في توسيع نموذج الأمان هذا ليشمل خدمات Azure المخصصة. يمكنك استخدام خدمة Private Link Service لتمكين العملاء من الوصول إلى خدمتك باستخدام نقطة النهاية الخاصة خلال وضع خدماتك المخصصة خلف Azure Standard Load Balancer.

تخيل مدى رضا أعضاء قسم التسويق لديك عندما تخبرهم أنه يمكنهم الآن تقديم وصول خاص وآمن للعملاء إلى خدمات Azure المخصصة.