¿Qué es Azure Private Link?

  • 12 minutos

Antes de obtener información sobre Azure Private Link y sus características y ventajas, vamos a examinar cuál es el problema que resuelve Azure Private Link.

Contoso tiene una red virtual de Azure y desea conectarse a un recurso PaaS, como una base de datos de Azure SQL. Al crear estos recursos, normalmente se especifica un punto de conexión público como método de conectividad.

Al tener un punto de conexión público, el recurso tendrá asignada una dirección IP pública. Por lo tanto, aunque la red virtual y la base de datos de Azure SQL se encuentran en la nube de Azure, la conexión entre ellas se realiza a través de Internet.

El problema es que la base de datos de Azure SQL queda expuesta a Internet a través de su dirección IP pública. Esa exposición crea varios riesgos de seguridad. Los mismos riesgos de seguridad están presentes cuando se accede a un recurso de Azure a través de una dirección IP pública desde las siguientes ubicaciones:

  • Una red virtual de Azure emparejada
  • Una red local que se conecta a Azure mediante ExpressRoute y el emparejamiento de Microsoft
  • Una red virtual de Azure de un cliente que se conecta a un servicio de Azure ofrecido por su empresa

Network diagram of an Azure virtual network, an Azure peered virtual network, and an on-premises network accessing an Azure SQL database via the internet.

Private Link se ha diseñado para eliminar estos riesgos de seguridad mediante la eliminación de la parte pública de la conexión.

Private Link proporciona acceso seguro a los servicios de Azure. Private Link consigue esa seguridad reemplazando el punto de conexión público de un recurso por una interfaz de red privada. Hay tres puntos clave que se deben tener en cuenta con esta nueva arquitectura:

  • El recurso de Azure se convierte, en cierto modo, en una parte de la red virtual.
  • La conexión al recurso utiliza ahora la red troncal de Microsoft Azure en lugar de la red pública de Internet.
  • Puede configurar el recurso de Azure para que ya no exponga su dirección IP pública, lo que elimina el posible riesgo de seguridad.

¿Qué es un punto de conexión privado de Azure?

El punto de conexión privado es la tecnología clave que está detrás de Private Link. El punto de conexión privado es una interfaz de red que permite una conexión privada y segura entre la red virtual y un servicio de Azure. En otras palabras, el punto de conexión privado es la interfaz de red que reemplaza el punto de conexión público del recurso.

Nota:

El punto de conexión privado no es un servicio gratuito. Se paga una tarifa por hora, así como una tarifa por gigabyte del tráfico entrante y saliente que pasa a través del punto de conexión privado.

Private Link proporciona acceso privado desde la red virtual de Azure a los servicios PaaS y los servicios de asociados de Microsoft en Azure. Sin embargo, ¿qué ocurre si la empresa ha creado sus propios servicios de Azure para sus clientes? ¿Es posible ofrecer a esos clientes una conexión privada a los servicios de la empresa?

Sí, mediante el servicio Azure Private Link. Este servicio permite ofrecer conexiones de Private Link a los servicios de Azure personalizados. Los consumidores de los servicios personalizados pueden acceder a esos servicios de forma privada —es decir, sin usar Internet— desde sus propias redes virtuales de Azure.

Nota:

No se aplica ningún cargo por usar el servicio Private Link.

Private Link, en conjunto con el punto de conexión privado y el servicio Private Link, proporciona las siguientes ventajas:

  • Acceso privado a servicios PaaS y servicios de asociados de Microsoft en Azure. Cuando usa el punto de conexión privado, los servicios de Azure se asignan a la red virtual de Azure. No importa que el recurso de Azure esté en una red virtual distinta y en otro inquilino de Active Directory. Para los usuarios de la red virtual Azure, el recurso será parte de esa red.
  • Acceso privado a los servicios de Azure en cualquier región. Private Link funciona en todo el mundo. La conexión privada a un servicio de Azure funciona incluso si la red virtual de ese servicio está en una región distinta a la de su propia red virtual.
  • Rutas no públicas a los servicios de Azure. Una vez que se ha asignado un servicio de Azure a la red virtual, la ruta de tráfico cambia. Todo el tráfico entrante y saliente entre la red virtual y el servicio de Azure pasa a través de la red troncal de Microsoft Azure. La red pública de Internet nunca se usa para el tráfico del servicio.
  • Los puntos de conexión públicos ya no son necesarios. Dado que todo el tráfico con origen y destino en un servicio de Azure asignado ahora fluye a través de la red troncal de Microsoft Azure, ya no se requiere el punto de conexión público para el servicio. Puede deshabilitar ese punto de conexión público y, por tanto, eliminar una posible amenaza de seguridad.
  • Las redes virtuales emparejadas de Azure también acceden a recursos de Private Link. Si usa una o varias redes virtuales emparejadas de Azure, no es necesario realizar ninguna configuración adicional para que esas redes emparejadas accedan a un recurso privado de Azure. Los clientes de cualquier red emparejada pueden acceder a cualquier punto de conexión privado que usted haya asignado a un servicio de Azure.
  • La red local también accede a recursos de Private Link. ¿La red local se conecta a la red virtual de Azure mediante el emparejamiento privado de ExpressRoute o un túnel VPN? Si es así, no se necesita ninguna configuración adicional para que los clientes de la red local accedan a un recurso privado de Azure.
  • Protección contra la filtración de datos. Cuando se asigna un punto de conexión privado a un servicio de Azure, se asigna a una instancia específica de ese servicio. Por ejemplo, si está configurando el acceso privado a Azure Storage, asigne el acceso a un blob, una tabla u otra instancia de almacenamiento. Si una máquina virtual de la red se ve comprometida, el atacante no podrá trasladar ni copiar datos en otra instancia de recursos.
  • Acceso privado a sus propios servicios de Azure. Puede implementar el servicio Private Link y ofrecer a los clientes acceso privado a sus servicios personalizados de Azure.

Private Link y el punto de conexión privado funcionan con muchos servicios de Azure. Para mantenerse al día de los servicios más recientes y las regiones que admiten Private Link, consulte Actualizaciones de Azure.