Mi az az Azure privát kapcsolat?
Mielőtt megismerené az Azure Private Linket, valamint annak funkcióit és előnyeit, vizsgáljuk meg azt a problémát, amelyet a Private Link megoldására terveztek.
A Contoso rendelkezik Azure-beli virtuális hálózattal, és egy PaaS-erőforráshoz, például egy Azure SQL-adatbázishoz szeretne csatlakozni. Ilyen erőforrások létrehozásakor általában egy nyilvános végpontot ad meg kapcsolati módszerként.
A nyilvános végpont azt jelenti, hogy az erőforráshoz nyilvános IP-cím van hozzárendelve. Így annak ellenére, hogy mind a virtuális hálózat, mind az Azure SQL-adatbázis az Azure-felhőben található, a köztük lévő kapcsolat az interneten keresztül történik.
A probléma az, hogy az Azure SQL-adatbázis nyilvános IP-címével van kitéve az internetnek. Ez az expozíció több biztonsági kockázatot is jelent. Ugyanezek a biztonsági kockázatok akkor is fennállnak, ha egy Azure-erőforrás nyilvános IP-címen keresztül érhető el a következő helyekről:
- Egy társhálózatú Azure-beli virtuális hálózat
- Egy helyszíni hálózat, amely az ExpressRoute és a Microsoft társviszony-létesítés használatával csatlakozik az Azure-hoz
- Az ügyfél Azure-beli virtuális hálózata, amely a vállalat által kínált Azure-szolgáltatáshoz csatlakozik
A Private Link úgy lett kialakítva, hogy kiküszöbölje ezeket a biztonsági kockázatokat a kapcsolat nyilvános részének eltávolításával.
A Private Link áttekintése
A Private Link biztonságos hozzáférést biztosít az Azure-szolgáltatásokhoz. A Private Link ezt a biztonságot úgy éri el, hogy egy erőforrás nyilvános végpontját lecseréli egy privát hálózati adapterre. Az új architektúrával három fontos szempontot érdemes figyelembe venni:
- Az Azure-erőforrás bizonyos értelemben a virtuális hálózat részévé válik.
- Az erőforráshoz való csatlakozás mostantól a Microsoft Azure gerinchálózatát használja a nyilvános internet helyett.
- Az Azure-erőforrást úgy konfigurálhatja, hogy többé ne tegye közzé nyilvános IP-címét, ami kiküszöböli a potenciális biztonsági kockázatot.
Mi az az Azure privát végpont?
A Private Endpoint a Private Link fő technológiája. A privát végpont egy olyan hálózati adapter, amely privát és biztonságos kapcsolatot tesz lehetővé a virtuális hálózat és egy Azure-szolgáltatás között. Más szóval a privát végpont az erőforrás nyilvános végpontját lecserélő hálózati adapter.
Megjegyzés:
A privát végpont nem ingyenes szolgáltatás. A privát végponton áthaladó bejövő és kimenő forgalomért óránként meghatározott díjat, valamint gigabájtonkénti díjat kell fizetnie.
Mi az az Azure Private Link Service?
A Private Link privát hozzáférést biztosít az Azure-beli virtuális hálózatról a PaaS-szolgáltatásokhoz és az Azure-beli Microsoft Partnerszolgáltatásokhoz. Mi a teendő azonban, ha a vállalat saját Azure-szolgáltatásokat hozott létre a vállalat ügyfelei számára? Lehetséges privát kapcsolatot biztosítani ezeknek az ügyfeleknek a vállalat szolgáltatásaihoz?
Igen, az Azure Private Link Service használatával. Ezzel a szolgáltatással privát kapcsolati kapcsolatokat kínálhat egyéni Azure-szolgáltatásaihoz. Az egyéni szolgáltatások felhasználói ezután saját Azure-beli virtuális hálózataikról privátan, vagyis az internet használata nélkül is hozzáférhetnek ezekhez a szolgáltatásokhoz.
Megjegyzés:
A Private Link szolgáltatás használata díjmentes.
A Private Link főbb előnyei
A Private Endpoint és a Private Link Service együttes használata a következő előnyöket nyújtja:
- Privát hozzáférés a PaaS-szolgáltatásokhoz és a Microsoft Partnerszolgáltatásokhoz az Azure-ban. Privát végpont használata esetén az Azure-szolgáltatások le vannak képezve az Azure-beli virtuális hálózatra. Nem számít, hogy az Azure-erőforrás egy másik virtuális hálózatban és egy másik Active Directory-bérlőben található. Az Azure-beli virtuális hálózat felhasználói számára úgy tűnik, hogy az erőforrás ennek a hálózatnak a része.
- Privát hozzáférés az Azure-szolgáltatásokhoz bármely régióban. A Private Link globálisan működik. Az Azure-szolgáltatáshoz való privát kapcsolat akkor is működik, ha a szolgáltatás virtuális hálózata más régióban van, mint a saját virtuális hálózata.
- Nem nyilvános útvonalak az Azure-szolgáltatásokhoz. Miután leképeztek egy Azure-szolgáltatást a virtuális hálózatra, a forgalom útvonala megváltozik. A virtuális hálózat és az Azure szolgáltatás közötti bejövő és kimenő forgalom a Microsoft Azure gerinchálózatán halad át. A nyilvános internetet soha nem használják szolgáltatásforgalomhoz.
- A nyilvános végpontokra már nincs szükség. Mivel a leképezett Azure-szolgáltatásba irányuló és onnan érkező összes forgalom most már a Microsoft Azure gerinchálózatán halad át, a szolgáltatás nyilvános végpontja már nem szükséges. Letilthatja a nyilvános végpontot, így kiküszöbölheti a lehetséges biztonsági fenyegetéseket.
- A társviszonyban álló Azure-beli virtuális hálózatok privát kapcsolattal rendelkező erőforrásokhoz is hozzáférnek. Ha egy vagy több társhálózattal rendelkező Azure-beli virtuális hálózatot használ, nincs szükség további konfigurációra ahhoz, hogy ezek a társhálózatok hozzáférjenek egy privát Azure-erőforráshoz. A társhálózaton belüli ügyfelek bármely Azure-szolgáltatáshoz leképezett privát végponthoz hozzáférhetnek.
- A helyszíni hálózat is hozzáfér a Private Link-alapú erőforrásokhoz. A helyszíni hálózat expressRoute-beli privát társviszony-létesítéssel vagy VPN-alagúttal csatlakozik az Azure-beli virtuális hálózathoz? Ha igen, nincs szükség további konfigurációra a helyszíni hálózaton belüli ügyfelek számára egy privát Azure-erőforrás eléréséhez.
- Adatvédelem az adatkiszivárgás ellen. Amikor leképez egy privát végpontot egy Azure-szolgáltatáshoz, az adott szolgáltatás egy adott példányára lesz leképezve. Ha például privát hozzáférést állít be az Azure Storage-hoz, leképezi egy blobhoz, táblához vagy más tárpéldányhoz való hozzáférést. Ha a hálózat egy virtuális gépe megsérül, a támadó nem tud adatokat áthelyezni vagy másolni egy másik erőforráspéldányba.
- Privát hozzáférés a saját Azure-szolgáltatásaihoz. Implementálhatja a Private Link szolgáltatást, és privát hozzáférést biztosíthat az ügyfeleknek az egyéni Azure-szolgáltatásokhoz.
Private Link rendelkezésre állása
A Private Link és a Privát végpont számos Azure-szolgáltatással működik együtt. A Private Linket támogató legújabb szolgáltatások és régiók naprakészen tartásához tekintse meg az Azure-frissítéseket.