Zabezpečení sítě pro službu Azure Event Hubs
Tento článek popisuje, jak používat následující funkce zabezpečení se službou Azure Event Hubs:
- Značky služeb
- Pravidla brány firewall protokolu IP
- Koncové body síťové služby
- Privátní koncové body
Značky služeb
Značka služby představuje skupinu předpon IP adres z dané služby Azure. Společnost Microsoft spravuje předpony adres zahrnující značku služby a automaticky aktualizuje značku služby jako změny adres a minimalizuje složitost častých aktualizací pravidel zabezpečení sítě. Další informace o značkách služeb najdete v tématu Přehled značek služeb.
Značky služeb můžete použít k definování řízení přístupu k síti ve skupinách zabezpečení sítě nebo službě Azure Firewall. Značky služeb můžete používat místo konkrétních IP adres při vytváření pravidel zabezpečení. Zadáním názvu značky služby (například EventHub) do příslušného zdrojového nebo cílového pole pravidla můžete povolit nebo odepřít provoz pro příslušnou službu.
| Značka služby | Účel | Může používat příchozí nebo odchozí provoz? | Může být regionální? | Může se používat se službou Azure Firewall? |
|---|---|---|---|---|
EventHub |
Azure Event Hubs. | Odchozí | Ano | Ano |
Poznámka:
Značka služby Azure Event Hubs obsahuje některé IP adresy používané službou Azure Service Bus z historických důvodů.
Brána firewall IP
Ve výchozím nastavení jsou obory názvů služby Event Hubs přístupné z internetu, pokud je požadavek dodáván s platným ověřováním a autorizací. S bránou firewall protokolu IP ji můžete dál omezit jenom na sadu IPv4 nebo IPv6 adres nebo rozsahů adres v zápisu CIDR (classless Inter-Domain Routing).
Tato funkce je užitečná ve scénářích, ve kterých by služba Azure Event Hubs měla být přístupná jenom z určitých dobře známých webů. Pravidla brány firewall umožňují nakonfigurovat pravidla pro příjem provozu pocházejícího z konkrétních adres IPv4 nebo IPv6. Pokud například používáte službu Event Hubs se službou Azure Express Route, můžete vytvořit pravidlo brány firewall, které povolí provoz jenom z vašich IP adres místní infrastruktury.
Pravidla brány firewall protokolu IP se použijí na úrovni oboru názvů služby Event Hubs. Pravidla se proto vztahují na všechna připojení z klientů pomocí libovolného podporovaného protokolu. Jakýkoli pokus o připojení z IP adresy, která neodpovídá povolenému pravidlu IP adresy v oboru názvů služby Event Hubs, se odmítne jako neautorizováno. Odpověď nezmíní pravidlo IP adresy. Pravidla filtru IP adres se použijí v pořadí a první pravidlo, které odpovídá IP adrese, určuje akci přijetí nebo odmítnutí.
Další informace najdete v tématu Postup konfigurace brány firewall protokolu IP pro centrum událostí.
Koncové body síťové služby
Integrace služby Event Hubs s koncovými body služby Virtuální síť (virtuální síť) umožňuje zabezpečený přístup k funkcím zasílání zpráv z úloh, jako jsou virtuální počítače vázané na virtuální sítě, s cestou síťového provozu zabezpečenou na obou koncích.
Jakmile je nakonfigurovaný tak, aby byl vázaný na alespoň jeden koncový bod služby podsítě virtuální sítě, příslušný obor názvů služby Event Hubs už nepřijímá provoz odkudkoli, ale autorizované podsítě ve virtuálních sítích. Z hlediska virtuální sítě vazba oboru názvů služby Event Hubs ke koncovému bodu služby nakonfiguruje izolovaný síťový tunel z podsítě virtuální sítě ke službě zasílání zpráv.
Výsledkem je privátní a izolovaný vztah mezi úlohami vázanými na podsíť a příslušným oborem názvů služby Event Hubs, a to i přes pozorovatelnou síťovou adresu koncového bodu služby zasílání zpráv v rozsahu veřejných IP adres. Toto chování má výjimku. Když ve výchozím nastavení povolíte koncový bod služby, služba povolí denyall pravidlo v bráně firewall protokolu IP přidružené k virtuální síti. Do brány firewall protokolu IP můžete přidat konkrétní IP adresy, abyste povolili přístup k veřejnému koncovému bodu služby Event Hubs.
Důležité
Tato funkce není ve vrstvě Basic podporovaná.
Pokročilé scénáře zabezpečení povolené integrací virtuální sítě
Řešení, která vyžadují těsné a rozdělené zabezpečení a kde podsítě virtuální sítě poskytují segmentaci mezi odděleními služeb, stále potřebují komunikační cesty mezi službami umístěnými v těchto oddílech.
Jakákoli okamžitá trasa IP mezi oddíly, včetně těch, které přenášejí protokol HTTPS přes protokol TCP/IP, nese riziko zneužití ohrožení zabezpečení ze síťové vrstvy vzhůru. Služby zasílání zpráv poskytují izolované komunikační cesty, kde se zprávy při přechodu mezi stranami dokonce zapisují na disk. Úlohy ve dvou různých virtuálních sítích, které jsou svázané se stejnou instancí služby Event Hubs, můžou efektivně a spolehlivě komunikovat prostřednictvím zpráv, zatímco je zachována příslušná integrita hranice izolace sítě.
To znamená, že vaše cloudová řešení citlivá na zabezpečení nejen získávají přístup k špičkovým a škálovatelným funkcím asynchronního zasílání zpráv v Azure, ale teď můžou používat zasílání zpráv k vytváření komunikačních cest mezi zabezpečenými prostory řešení, které jsou ze své podstaty bezpečnější než to, co je dosažitelné s jakýmkoli komunikačním režimem peer-to-peer, včetně protokolů HTTPS a dalších protokolů soketů zabezpečených protokolem TLS.
Vytvoření vazby center událostí k virtuálním sítím
Pravidla virtuální sítě jsou funkce zabezpečení brány firewall, která řídí, jestli váš obor názvů služby Azure Event Hubs přijímá připojení z konkrétní podsítě virtuální sítě.
Vytvoření vazby oboru názvů služby Event Hubs k virtuální síti je dvoustupňový proces. Nejprve musíte vytvořit koncový bod služby virtuální sítě v podsíti virtuální sítě a povolit ho pro Microsoft.EventHub, jak je vysvětleno v článku s přehledem koncového bodu služby. Po přidání koncového bodu služby svážete obor názvů služby Event Hubs s pravidlem virtuální sítě.
Pravidlo virtuální sítě je přidružení oboru názvů služby Event Hubs k podsíti virtuální sítě. I když pravidlo existuje, mají všechny úlohy vázané na podsíť udělený přístup k oboru názvů služby Event Hubs. Služba Event Hubs sama nikdy nenavazuje odchozí připojení, nepotřebuje získat přístup, a proto není nikdy udělen přístup k vaší podsíti povolením tohoto pravidla.
Další informace najdete v tématu Konfigurace koncových bodů služby virtuální sítě pro centrum událostí.
Privátní koncové body
Služba Azure Private Link umožňuje přístup ke službám Azure (například Azure Event Hubs, Azure Storage a Azure Cosmos DB) a službám hostovaným zákazníkům nebo partnerům Azure přes privátní koncový bod ve vaší virtuální síti.
Privátní koncový bod je síťové rozhraní, které vás privátně a zabezpečeně připojí ke službám využívajícím službu Azure Private Link. Privátní koncový bod využívá privátní IP adresu z vaší virtuální sítě, a tím skutečně přináší danou službu do vaší virtuální sítě. Veškeré přenosy do služby je možné směrovat přes privátní koncový bod, takže nejsou potřeba žádné brány, zařízení NAT, připojení ExpressRoute nebo VPN ani veřejné IP adresy. Provoz mezi vaší virtuální sítí a službou prochází přes páteřní síť Microsoftu a eliminuje rizika vystavení na veřejném internetu. Můžete se připojit k instanci prostředku Azure a získat tak nejvyšší úroveň členitosti řízení přístupu.
Důležité
Tato funkce není ve vrstvě Basic podporovaná.
Další informace najdete v tématu Konfigurace privátních koncových bodů pro centrum událostí.
Další kroky
Podívejte se na následující články: