PaaS-szolgáltatásokhoz való hálózati hozzáférés védelme virtuális hálózati szolgáltatásvégpontokkal
ERP-rendszerének meglévő alkalmazás- és adatbázis-kiszolgálóit virtuális gépekként migrálta az Azure-ba. Most az Azure szolgáltatásként nyújtott platformjainak (PaaS) használatát fontolgatja a költségek és a felügyeleti követelmények csökkentése érdekében. A tárolási szolgáltatásokat bizonyos nagy méretű fájlobjektumok, például mérnöki diagramok tárolására fogja használni. Ezek a mérnöki diagramok védett információkkal rendelkeznek, és biztonságosnak kell lenniük a jogosulatlan hozzáférés ellen. Ezek a fájlok csak adott rendszerekből lehetnek elérhetők.
Ebben a leckében megtudhatja, hogyan használhatja a virtuális hálózati szolgáltatásvégpontokat a támogatott Azure-szolgáltatások védelmére.
Virtuális hálózati szolgáltatásvégpontok
A virtuális hálózatok szolgáltatásvégpontjai kiterjesztik a magáncímtartományt az Azure-ban azáltal, hogy közvetlen kapcsolatot biztosítanak az Azure-szolgáltatásokhoz. A szolgáltatásvégpontok segítségével biztosíthatja, hogy Azure-erőforrásai csak a virtuális hálózatai számára legyenek elérhetők. A szolgáltatások adatforgalma mindig az Azure gerinchálózatán halad át, és soha nem lép ki az internetre.
Az Azure-szolgáltatások alapértelmezés szerint közvetlen internet-hozzáféréshez lettek tervezve. Minden Azure-erőforrás rendelkezik nyilvános IP-címmel, beleértve a PaaS-szolgáltatásokat (pl. Azure SQL Database és Azure Storage). Mivel ezek a szolgáltatások elérhetők az interneten, bárki hozzáférhet az Ön Azure-szolgáltatásaihoz.
A szolgáltatásvégpontok bizonyos PaaS-szolgáltatásokat közvetlenül csatlakoztatni tudnak az Azure-beli magáncímtartományhoz, ezért úgy működnek, mintha ugyanazon a virtuális hálózaton lennének. A PaaS-szolgáltatások közvetlen eléréséhez a saját magáncímtartományát használja. Ha szolgáltatásvégpontokat ad hozzá, azzal nem távolítja el a nyilvános végpontot. Ezzel egyszerűen csak átirányítja a forgalmat.
Az Azure szolgáltatásvégpontjai számos szolgáltatáshoz elérhetők, például a következőkhöz:
- Azure Storage
- Azure SQL Database
- Azure Cosmos DB
- Azure Key Vault
- Azure Service Bus
- Azure Data Lake
Egy olyan szolgáltatás esetében, mint az SQL Database, amely csak akkor érhető el, ha IP-címeket nem ad hozzá a tűzfalához, érdemes megfontolnia a szolgáltatásvégpontokat. Ha szolgáltatásvégpontot használ az SQL Database-hez, azzal korlátozza az adott virtuális hálózatokhoz való hozzáférést, továbbá nagyobb mértékű elszigetelést és a támadási felület csökkenését eredményezi.
A szolgáltatásvégpontok működése
Szolgáltatásvégpont engedélyezéséhez a következőket kell tennie:
- Tiltsa le a szolgáltatáshoz való nyilvános hozzáférést.
- Adja hozzá a szolgáltatásvégpontot egy virtuális hálózathoz.
Szolgáltatásvégpont engedélyezésekor korlátozhatja a forgalom áramlását, és engedélyezheti, hogy az Azure-beli virtuális gépek közvetlenül a privát címtérről érhessék el a szolgáltatást. Az eszközök nyilvános hálózaton keresztül nem férhetnek hozzá a szolgáltatáshoz. Ha egy üzembe helyezett virtuális gép hálózati adapterén megtekinti az Érvényes útvonalak menüpontot, látni fogja, hogy Következő ugrási típus a szolgáltatásvégpont.
Ez egy példaútmutató-táblázat egy szolgáltatásvégpont engedélyezése előtt:
| FORRÁS | ÁLLAMI | CÍMELŐTAGOK | KÖVETKEZŐ UGRÁSI TÍPUS |
|---|---|---|---|
| Alapértelmezett | Aktív | 10.1.1.0/24 | VNet |
| Alapértelmezett | Aktív | 0.0.0.0./0 | Internet |
| Alapértelmezett | Aktív | 10.0.0.0/8 | None |
| Alapértelmezett | Aktív | 100.64.0.0./10 | None |
| Alapértelmezett | Aktív | 192.168.0.0/16 | None |
Íme egy példaként szolgáló útvonaltábla két szolgáltatásvégpont a virtuális hálózathoz való hozzáadása után:
| FORRÁS | ÁLLAMI | CÍMELŐTAGOK | KÖVETKEZŐ UGRÁSI TÍPUS |
|---|---|---|---|
| Alapértelmezett | Aktív | 10.1.1.0/24 | VNet |
| Alapértelmezett | Aktív | 0.0.0.0./0 | Internet |
| Alapértelmezett | Aktív | 10.0.0.0/8 | None |
| Alapértelmezett | Aktív | 100.64.0.0./10 | None |
| Alapértelmezett | Aktív | 192.168.0.0/16 | None |
| Alapértelmezett | Aktív | 20.38.106.0/23, 10 további | VirtualNetworkServiceEndpoint |
| Alapértelmezett | Aktív | 20.150.2.0/23, 9 további | VirtualNetworkServiceEndpoint |
A szolgáltatás összes forgalma a VirtualNetworkServiceEndpointra lesz irányítva, és belső marad az Azure-ba.
Szolgáltatásvégpontok és hibrid hálózatok
Alapértelmezés szerint a virtuális hálózati szolgáltatásvégpontok használatával biztosított szolgáltatási erőforrások nem érhetők el helyszíni hálózatokról. Ha helyszíni hálózatról szeretné elérni az erőforrásokat, NAT IP-címeket kell használnia. Ha az ExpressRoute-ot használja a helyszíni és az Azure-beli kapcsolatokhoz, azonosítania kell az ExpressRoute által használt NAT IP-címeket. Alapértelmezés szerint minden kapcsolatcsoport két NAT IP-címet használ az Azure gerinchálózatához való kapcsolódáshoz. Ezután hozzá kell adnia ezeket az IP-címeket az Azure-szolgáltatás erőforrásának IP-tűzfalkonfigurációjába (például az Azure Storage-ba).
Az alábbi ábra bemutatja, hogyan használhat szolgáltatásvégpontot és tűzfalkonfigurációt a helyszíni eszközök számára az Azure Storage-erőforrások eléréséhez:
