Mi az az Azure privát kapcsolat?

  • 12 perc

Mielőtt megismerené az Azure Private Linket, valamint annak funkcióit és előnyeit, vizsgáljuk meg azt a problémát, amelyet a Private Link megoldására terveztek.

A Contoso rendelkezik Azure-beli virtuális hálózattal, és egy PaaS-erőforráshoz, például egy Azure SQL-adatbázishoz szeretne csatlakozni. Ilyen erőforrások létrehozásakor általában egy nyilvános végpontot ad meg kapcsolati módszerként.

A nyilvános végpont azt jelenti, hogy az erőforráshoz nyilvános IP-cím van hozzárendelve. Így annak ellenére, hogy mind a virtuális hálózat, mind az Azure SQL-adatbázis az Azure-felhőben található, a köztük lévő kapcsolat az interneten keresztül történik.

A probléma az, hogy az Azure SQL-adatbázis nyilvános IP-címével van kitéve az internetnek. Ez az expozíció több biztonsági kockázatot is jelent. Ugyanezek a biztonsági kockázatok akkor is fennállnak, ha egy Azure-erőforrás nyilvános IP-címen keresztül érhető el a következő helyekről:

  • Egy társhálózatú Azure-beli virtuális hálózat
  • Egy helyszíni hálózat, amely az ExpressRoute és a Microsoft társviszony-létesítés használatával csatlakozik az Azure-hoz
  • Az ügyfél Azure-beli virtuális hálózata, amely a vállalat által kínált Azure-szolgáltatáshoz csatlakozik

Network diagram of an Azure virtual network, an Azure peered virtual network, and an on-premises network accessing an Azure SQL database via the internet.

A Private Link úgy lett kialakítva, hogy kiküszöbölje ezeket a biztonsági kockázatokat a kapcsolat nyilvános részének eltávolításával.

A Private Link biztonságos hozzáférést biztosít az Azure-szolgáltatásokhoz. A Private Link ezt a biztonságot úgy éri el, hogy egy erőforrás nyilvános végpontját lecseréli egy privát hálózati adapterre. Az új architektúrával három fontos szempontot érdemes figyelembe venni:

  • Az Azure-erőforrás bizonyos értelemben a virtuális hálózat részévé válik.
  • Az erőforráshoz való csatlakozás mostantól a Microsoft Azure gerinchálózatát használja a nyilvános internet helyett.
  • Az Azure-erőforrást úgy konfigurálhatja, hogy többé ne tegye közzé nyilvános IP-címét, ami kiküszöböli a potenciális biztonsági kockázatot.

Mi az az Azure privát végpont?

A Private Endpoint a Private Link fő technológiája. A privát végpont egy olyan hálózati adapter, amely privát és biztonságos kapcsolatot tesz lehetővé a virtuális hálózat és egy Azure-szolgáltatás között. Más szóval a privát végpont az erőforrás nyilvános végpontját lecserélő hálózati adapter.

Megjegyzés:

A privát végpont nem ingyenes szolgáltatás. A privát végponton áthaladó bejövő és kimenő forgalomért óránként meghatározott díjat, valamint gigabájtonkénti díjat kell fizetnie.

A Private Link privát hozzáférést biztosít az Azure-beli virtuális hálózatról a PaaS-szolgáltatásokhoz és az Azure-beli Microsoft Partnerszolgáltatásokhoz. Mi a teendő azonban, ha a vállalat saját Azure-szolgáltatásokat hozott létre a vállalat ügyfelei számára? Lehetséges privát kapcsolatot biztosítani ezeknek az ügyfeleknek a vállalat szolgáltatásaihoz?

Igen, az Azure Private Link Service használatával. Ezzel a szolgáltatással privát kapcsolati kapcsolatokat kínálhat egyéni Azure-szolgáltatásaihoz. Az egyéni szolgáltatások felhasználói ezután saját Azure-beli virtuális hálózataikról privátan, vagyis az internet használata nélkül is hozzáférhetnek ezekhez a szolgáltatásokhoz.

Megjegyzés:

A Private Link szolgáltatás használata díjmentes.

A Private Endpoint és a Private Link Service együttes használata a következő előnyöket nyújtja:

  • Privát hozzáférés a PaaS-szolgáltatásokhoz és a Microsoft Partnerszolgáltatásokhoz az Azure-ban. Privát végpont használata esetén az Azure-szolgáltatások le vannak képezve az Azure-beli virtuális hálózatra. Nem számít, hogy az Azure-erőforrás egy másik virtuális hálózatban és egy másik Active Directory-bérlőben található. Az Azure-beli virtuális hálózat felhasználói számára úgy tűnik, hogy az erőforrás ennek a hálózatnak a része.
  • Privát hozzáférés az Azure-szolgáltatásokhoz bármely régióban. A Private Link globálisan működik. Az Azure-szolgáltatáshoz való privát kapcsolat akkor is működik, ha a szolgáltatás virtuális hálózata más régióban van, mint a saját virtuális hálózata.
  • Nem nyilvános útvonalak az Azure-szolgáltatásokhoz. Miután leképeztek egy Azure-szolgáltatást a virtuális hálózatra, a forgalom útvonala megváltozik. A virtuális hálózat és az Azure szolgáltatás közötti bejövő és kimenő forgalom a Microsoft Azure gerinchálózatán halad át. A nyilvános internetet soha nem használják szolgáltatásforgalomhoz.
  • A nyilvános végpontokra már nincs szükség. Mivel a leképezett Azure-szolgáltatásba irányuló és onnan érkező összes forgalom most már a Microsoft Azure gerinchálózatán halad át, a szolgáltatás nyilvános végpontja már nem szükséges. Letilthatja a nyilvános végpontot, így kiküszöbölheti a lehetséges biztonsági fenyegetéseket.
  • A társviszonyban álló Azure-beli virtuális hálózatok privát kapcsolattal rendelkező erőforrásokhoz is hozzáférnek. Ha egy vagy több társhálózattal rendelkező Azure-beli virtuális hálózatot használ, nincs szükség további konfigurációra ahhoz, hogy ezek a társhálózatok hozzáférjenek egy privát Azure-erőforráshoz. A társhálózaton belüli ügyfelek bármely Azure-szolgáltatáshoz leképezett privát végponthoz hozzáférhetnek.
  • A helyszíni hálózat is hozzáfér a Private Link-alapú erőforrásokhoz. A helyszíni hálózat expressRoute-beli privát társviszony-létesítéssel vagy VPN-alagúttal csatlakozik az Azure-beli virtuális hálózathoz? Ha igen, nincs szükség további konfigurációra a helyszíni hálózaton belüli ügyfelek számára egy privát Azure-erőforrás eléréséhez.
  • Adatvédelem az adatkiszivárgás ellen. Amikor leképez egy privát végpontot egy Azure-szolgáltatáshoz, az adott szolgáltatás egy adott példányára lesz leképezve. Ha például privát hozzáférést állít be az Azure Storage-hoz, leképezi egy blobhoz, táblához vagy más tárpéldányhoz való hozzáférést. Ha a hálózat egy virtuális gépe megsérül, a támadó nem tud adatokat áthelyezni vagy másolni egy másik erőforráspéldányba.
  • Privát hozzáférés a saját Azure-szolgáltatásaihoz. Implementálhatja a Private Link szolgáltatást, és privát hozzáférést biztosíthat az ügyfeleknek az egyéni Azure-szolgáltatásokhoz.

A Private Link és a Privát végpont számos Azure-szolgáltatással működik együtt. A Private Linket támogató legújabb szolgáltatások és régiók naprakészen tartásához tekintse meg az Azure-frissítéseket.