Sécurité du réseau pour les ressources Azure Event GridNetwork security for Azure Event Grid resources

Cet article explique comment utiliser les fonctionnalités de sécurité suivantes avec Azure Event Grid :This article describes how to use the following security features with Azure Event Grid:

  • Étiquettes de service en sortieService tags for egress
  • Règles de pare-feu IP en entréeIP Firewall rules for ingress
  • Points de terminaison privés pour l’entréePrivate endpoints for ingress

Balises de serviceService tags

Une balise de service représente un groupe de préfixes d’adresses IP d’un service Azure donné.A service tag represents a group of IP address prefixes from a given Azure service. Microsoft gère les préfixes d’adresses englobés par l’étiquette de service et met à jour automatiquement l’étiquette de service quand les adresses changent, ce qui réduit la complexité des mises à jour fréquentes relatives aux règles de sécurité réseau.Microsoft manages the address prefixes encompassed by the service tag and automatically updates the service tag as addresses change, minimizing the complexity of frequent updates to network security rules. Pour plus d’informations sur les étiquettes de service, consultez Vue d’ensemble des balises de service.For more information about service tags, see Service tags overview.

Vous pouvez utiliser des étiquettes de service pour définir des contrôles d’accès réseau sur des groupes de sécurité réseau ou sur le pare-feu Azure.You can use service tags to define network access controls on network security groups or Azure Firewall. Utilisez des étiquettes de service à la place des adresses IP spécifiques lors de la création de règles de sécurité.Use service tags in place of specific IP addresses when you create security rules. En spécifiant le nom de l'étiquette de service (par exemple, AzureEventGrid) dans le champ source ou destination approprié d'une règle, vous pouvez autoriser ou refuser le trafic pour le service correspondant.By specifying the service tag name (for example, AzureEventGrid) in the appropriate source or destination field of a rule, you can allow or deny the traffic for the corresponding service.

Balise du serviceService tag ObjectifPurpose Peut-elle utiliser le trafic entrant ou sortant ?Can use inbound or outbound? Peut-elle être étendue à une zone régionale ?Can be regional? Peut-elle être utilisée avec le Pare-feu Azure ?Can use with Azure Firewall?
AzureEventGridAzureEventGrid Azure Event Grid.Azure Event Grid. Les deuxBoth NonNo NonNo

Pare-feu IPIP firewall

Azure Event Grid prend en charge les contrôles d’accès basés sur IP pour la publication sur des rubriques et des domaines.Azure Event Grid supports IP-based access controls for publishing to topics and domains. Les contrôles basés sur IP vous permettent de limiter les serveurs de publication à une rubrique ou un domaine sur un ensemble d’ordinateurs et de services cloud approuvés.With IP-based controls, you can limit the publishers to a topic or domain to only a set of approved set of machines and cloud services. Cette fonctionnalité complète les mécanismes d’authentification pris en charge par Event Grid.This feature complements the authentication mechanisms supported by Event Grid.

Par défaut, la rubrique et le domaine sont accessibles sur Internet tant que la demande s’accompagne d’une authentification et d’une autorisation valides.By default, topic and domain are accessible from the internet as long as the request comes with valid authentication and authorization. Avec le pare-feu IP, vous pouvez les limiter à un ensemble d’adresses IP ou de plages d’adresses IP dans la notation CIDR (Classless InterDomain Routing).With IP firewall, you can restrict it further to only a set of IP addresses or IP address ranges in CIDR (Classless Inter-Domain Routing) notation. Les serveurs de publication provenant de toute autre adresse IP seront rejetés et recevront une réponse 403 (interdit).Publishers originating from any other IP address will be rejected and will receive a 403 (Forbidden) response.

Pour obtenir des instructions pas à pas sur la configuration du pare-feu IP pour les rubriques et les domaines, consultez Configurer le pare-feu IP.For step-by-step instructions to configure IP firewall for topics and domains, see Configure IP firewall.

Instances Private EndpointPrivate endpoints

Vous pouvez utiliser des points de terminaison privés pour autoriser l’entrée sécurisée d’événements directement à partir de votre réseau virtuel vers vos rubriques et domaines via une liaison privée, sans passer par le réseau Internet public.You can use private endpoints to allow ingress of events directly from your virtual network to your topics and domains securely over a private link without going through the public internet. Un point de terminaison privé est une interface réseau spéciale pour un service Azure dans votre réseau virtuel.A private endpoint is a special network interface for an Azure service in your VNet. Lorsque vous créez un point de terminaison privé pour votre rubrique ou domaine, il offre une connectivité sécurisée entre les clients sur votre réseau virtuel et votre ressource Event Grid.When you create a private endpoint for your topic or domain, it provides secure connectivity between clients on your VNet and your Event Grid resource. Une adresse IP est attribuée au point de terminaison privé à partir de la plage d’adresses IP de votre réseau virtuel.The private endpoint is assigned an IP address from the IP address range of your VNet. La connexion entre le point de terminaison privé et le service Event Grid utilise une liaison privée.The connection between the private endpoint and the Event Grid service uses a secure private link.

Diagramme de l'architecture

L’utilisation de points de terminaison privés pour ressource Event Grid vous permet d’effectuer les opérations suivantes :Using private endpoints for your Event Grid resource enables you to:

  • Sécurisez l’accès à votre rubrique ou domaine à partir d’un réseau virtuel via le réseau principal Microsoft, par opposition au réseau Internet public.Secure access to your topic or domain from a VNet over the Microsoft backbone network as opposed to the public internet.
  • Se connecter en toute sécurité à partir de réseaux locaux qui se connectent au réseau virtuel à l'aide d'un VPN ou d'itinéraires ExpressRoute avec le peering privé.Securely connect from on-premises networks that connect to the VNet using VPN or Express Routes with private-peering.

Quand vous créez un point de terminaison privé pour une rubrique ou un domaine dans votre réseau virtuel, une demande de consentement est envoyée pour approbation au propriétaire de la ressource.When you create a private endpoint for a topic or domain in your VNet, a consent request is sent for approval to the resource owner. Si l’utilisateur qui demande la création du point de terminaison privé est également propriétaire de la ressource, cette demande de consentement est automatiquement approuvée.If the user requesting the creation of the private endpoint is also an owner of the resource, this consent request is automatically approved. Sinon, la connexion affiche l’état En attente jusqu’à ce qu’elle soit approuvée.Otherwise, the connection is in pending state until approved. Les applications du réseau virtuel peuvent se connecter en toute transparence au service Event Grid sur le point de terminaison privé, à l’aide des mêmes chaînes de connexion et mécanismes d’autorisation qu’ils utiliseraient dans tous les cas.Applications in the VNet can connect to the Event Grid service over the private endpoint seamlessly, using the same connection strings and authorization mechanisms that they would use otherwise. Les propriétaires de la ressource peuvent gérer les demandes de consentement et les points de terminaison privés, via l’onglet Points de terminaison privés de la ressource dans le portail Azure.Resource owners can manage consent requests and the private endpoints, through the Private endpoints tab for the resource in the Azure portal.

Se connecter à des points de terminaison privésConnect to private endpoints

Les serveurs de publication sur un réseau virtuel utilisant le point de terminaison privé doivent utiliser la même chaîne de connexion pour la rubrique ou le domaine que les clients se connectant au point de terminaison public.Publishers on a VNet using the private endpoint should use the same connection string for the topic or domain as clients connecting to the public endpoint. La résolution DNS achemine automatiquement les connexions du réseau virtuel vers la rubrique ou le domaine via une liaison privée.DNS resolution automatically routes connections from the VNet to the topic or domain over a private link. Event Grid crée une zone DNS privée attachée au réseau virtuel avec la mise à jour nécessaire pour les points de terminaison privés, par défaut.Event Grid creates a private DNS zone attached to the VNet with the necessary update for the private endpoints, by default. Toutefois, si vous utilisez votre propre serveur DNS, vous devrez peut-être apporter des modifications supplémentaires à votre configuration DNS.However, if you're using your own DNS server, you may need to make additional changes to your DNS configuration.

Modifications DNS pour les points de terminaison privésDNS changes for private endpoints

Quand vous créez un point de terminaison privé, l’enregistrement DNS CNAME pour la ressource est mis à jour avec un alias dans un sous-domaine avec le préfixe privatelink.When you create a private endpoint, the DNS CNAME record for the resource is updated to an alias in a subdomain with the prefix privatelink. Par défaut, une zone DNS privée correspondant au sous-domaine de la liaison privée est créée.By default, a private DNS zone is created that corresponds to the private link's subdomain.

Lorsque vous résolvez l’URL du point de terminaison de la rubrique ou du domaine à l’extérieur du réseau virtuel avec le point de terminaison privé, elle correspond au point de terminaison public du service.When you resolve the topic or domain endpoint URL from outside the VNet with the private endpoint, it resolves to the public endpoint of the service. Les enregistrements de ressources DNS pour 'topicA', lorsqu’ils sont résolus depuis l’extérieur du réseau virtuel hébergeant le point de terminaison privé, sont les suivants :The DNS resource records for 'topicA', when resolved from outside the VNet hosting the private endpoint, will be:

NomName TypeType ValeurValue
topicA.westus.eventgrid.azure.net CNAMECNAME topicA.westus.privatelink.eventgrid.azure.net
topicA.westus.privatelink.eventgrid.azure.net CNAMECNAME <Azure traffic manager profile>

Vous pouvez refuser ou contrôler l’accès pour un client en dehors du réseau virtuel via le point de terminaison public à l’aide du pare-feu ID.You can deny or control access for a client outside the VNet through the public endpoint using the IP firewall.

En cas de résolution à partir du réseau virtuel hébergeant le point de terminaison privé, l’URL du point de terminaison de la rubrique ou du domaine correspond à l’adresse IP du point de terminaison privé.When resolved from the VNet hosting the private endpoint, the topic or domain endpoint URL resolves to the private endpoint's IP address. Les enregistrements de ressources DNS pour la rubrique 'topicA', lorsqu’ils sont résolus par un client depuis le réseau virtuel hébergeant le point de terminaison privé, sont les suivants :The DNS resource records for the topic 'topicA', when resolved from inside the VNet hosting the private endpoint, will be:

NomName TypeType ValeurValue
topicA.westus.eventgrid.azure.net CNAMECNAME topicA.westus.privatelink.eventgrid.azure.net
topicA.westus.privatelink.eventgrid.azure.net UnA 10.0.0.510.0.0.5

Cette approche permet d’accéder à la rubrique ou au domaine avec la même chaîne de connexion pour les clients sur le réseau virtuel hébergeant les points de terminaison privés, ainsi que des clients en dehors du réseau virtuel.This approach enables access to the topic or domain using the same connection string for clients on the VNet hosting the private endpoints, and clients outside the VNet.

Si vous utilisez un serveur DNS personnalisé sur votre réseau, les clients peuvent résoudre le nom de domaine complet du point de terminaison de la rubrique ou du domaine vers l’adresse IP du point de terminaison privé.If you're using a custom DNS server on your network, clients can resolve the FQDN for the topic or domain endpoint to the private endpoint IP address. Configurez votre serveur DNS pour déléguer votre sous-domaine de liaison privée à la zone DNS privée du réseau virtuel, ou configurer les enregistrements A pour topicOrDomainName.regionName.privatelink.eventgrid.azure.net avec l’adresse IP du point de terminaison privé.Configure your DNS server to delegate your private link subdomain to the private DNS zone for the VNet, or configure the A records for topicOrDomainName.regionName.privatelink.eventgrid.azure.net with the private endpoint IP address.

Le nom recommandé pour la zone DNS est privatelink.eventgrid.azure.net.The recommended DNS zone name is privatelink.eventgrid.azure.net.

Points de terminaison privés et publicationPrivate endpoints and publishing

Le tableau suivant décrit les différents états de connexion au point de terminaison privé et les effets sur la publication :The following table describes the various states of the private endpoint connection and the effects on publishing:

État de la connexionConnection State Publication réussie (oui/non)Successfully publish (Yes/No)
ApprovedApproved OuiYes
RejetéRejected NonNo
PendingPending NonNo
DéconnectéDisconnected NonNo

Pour réussir une publication, l’état de la connexion au point de terminaison privé doit être approuvé.For publishing to be successful, the private endpoint connection state should be approved. Si une connexion est rejetée, elle ne peut pas être approuvée à l’aide du portail Azure.If a connection is rejected, it can't be approved using the Azure portal. La seule possibilité consiste à supprimer la connexion et à en créer une nouvelle à la place.The only possibility is to delete the connection and create a new one instead.

Tarifs et quotasPricing and quotas

La fonctionnalité Points de terminaison privés est disponible dans les niveaux De base et Premium d’Event Grid.Private endpoints is available in both basic and premium tiers of Event Grid. Event Grid permet de créer jusqu’à 64 connexions de points de terminaison privés par rubrique ou domaine.Event Grid allows up to 64 private endpoint connections to be created per topic or domain.

La fonctionnalité Pare-feu IP est disponible dans les niveaux De base et Premium d’Event Grid.IP Firewall feature is available in both basic and premium tiers of Event Grid. Nous autorisons la création d’un maximum de 16 règles de pare-feu IP par rubrique ou domaine.We allow up to 16 IP Firewall rules to be created per topic or domain.

Étapes suivantesNext steps

Vous pouvez configurer le pare-feu IP de votre ressource Event Grid pour limiter l’accès au réseau Internet public à un ensemble spécifique d’adresses IP ou de plages d’adresses IP.You can configure IP firewall for your Event Grid resource to restrict access over the public internet from only a select set of IP Addresses or IP Address ranges. Pour obtenir des instructions pas à pas, consultez Configurer le pare-feu IP.For step-by-step instructions, see Configure IP firewall.

Vous pouvez configurer des points de terminaison privés pour limiter l’accès exclusivement aux réseaux virtuels sélectionnés.You can configure private endpoints to restrict access from only from selected virtual networks. Pour obtenir des instructions pas à pas, consultez Configurer des points de terminaison privés.For step-by-step instructions, see Configure private endpoints.

Pour résoudre les problèmes de connectivité réseau, consultez Résoudre les problèmes de connectivité réseauTo troubleshoot network connectivity issues, see Troubleshoot network connectivity issues