Keamanan jaringan untuk Azure Service Bus
Artikel ini menjelaskan cara menggunakan fitur keamanan berikut ini dengan Azure Service Bus:
- Tag layanan
- Aturan Firewall IP
- Titik akhir layanan jaringan virtual
- Titik Akhir Privat
Tag layanan
Tag layanan mewakili sekelompok awalan alamat IP dari layanan Azure tertentu. Microsoft mengelola awalan alamat yang di mencakup tag layanan dan secara otomatis memperbarui tag layanan saat alamat berubah, meminimalkan kompleksitas pembaruan yang sering diterapkan pada aturan keamanan jaringan. Untuk informasi selengkapnya tentang tag layanan, lihat Ringkasan tag layanan.
Anda dapat menggunakan tag layanan jaringan virtual untuk menentukan kontrol pada akses jaringan pada kelompok keamanan jaringan atau Azure Firewall. Gunakan tag layanan sebagai pengganti alamat IP tertentu saat Anda membuat aturan keamanan. Dengan menentukan nama tag layanan (misalnya, ServiceBus) di bidang sumber atau tujuan yang sesuai dari aturan, Anda dapat mengizinkan atau menolak lalu lintas untuk layanan yang sesuai.
| Tag layanan | Tujuan | Dapat menggunakan inbound atau outbound? | Dapat dijalankan secara regional? | Bisa digunakan dengan Azure Firewall? |
|---|---|---|---|---|
| ServiceBus | Lalu lintas Azure Service Bus yang menggunakan tingkat layanan Premium. | Keluar | Ya | Ya |
Catatan
Anda dapat menggunakan tag layanan hanya untuk namespace premium. Jika Anda menggunakan namespace standar , gunakan FQDN namespace sebagai gantinya, dalam bentuk <contoso.servicebus.windows.net>. Atau Anda dapat menggunakan alamat IP yang Anda lihat saat menjalankan perintah berikut: nslookup <host name for the namespace>, namun ini tidak direkomendasikan atau didukung, dan Anda harus melacak perubahan pada alamat IP.
Firewall IP
Secara default, namespace Service Bus dapat diakses dari internet selama permintaan dilengkapi dengan autentikasi dan otorisasi yang valid. Dengan IP firewall, Anda dapat membatasinya lebih lanjut hanya untuk satu set alamat IPv4 atau rentang alamat IPv4 di notasi CIDR (Classless Inter-Domain Routing).
Fitur ini sangat membantu dalam skenario di mana Azure Service Bus harus hanya dapat diakses dari situs terkenal tertentu. Aturan firewall memungkinkan Anda mengonfigurasi aturan untuk menerima lalu lintas yang berasal dari alamat IPv4 tertentu. Misalnya, jika Anda menggunakan Service Bus dengan Azure Express Route, Anda dapat membuat aturan firewall untuk mengizinkan lalu lintas hanya dari alamat IP infrastruktur lokal Anda atau alamat gateway NAT perusahaan.
Aturan firewall IP diterapkan pada tingkat namespace Service Bus. Oleh karena itu, aturan berlaku untuk semua koneksi dari klien menggunakan propenyimpananl yang didukung. Semua upaya koneksi dari alamat IP yang tidak cocok dengan aturan IP yang diizinkan pada namespace Azure Service Bus ditolak karena tidak sah. Respons tidak menyebutkan aturan IP. Aturan filter IP diterapkan secara berurutan, dan aturan pertama yang cocok dengan alamat IP menentukan tindakan terima atau tolak.
Untuk informasi selengkapnya, lihat Cara mengonfigurasi firewall IP untuk namespace Service Bus
Titik akhir layanan jaringan virtual
Integrasi Service Bus dengan titik akhir layanan Virtual Network (VNet) memungkinkan akses aman ke kemampuan pesan dari beban kerja seperti komputer virtual yang terikat ke jaringan virtual, dengan jalur lalu lintas jaringan diamankan di kedua ujungnya.
Setelah dikonfigurasi untuk terikat ke setidaknya satu titik akhir layanan subnet jaringan virtual, namespace Service Bus masing-masing tidak akan lagi menerima lalu lintas dari mana saja tetapi jaringan virtual resmi. Dari perspektif jaringan virtual, mengikat namespace Service Bus ke titik akhir layanan mengonfigurasi terowongan jaringan terisolasi dari subnet jaringan virtual ke layanan pesan.
Hasilnya adalah hubungan pribadi dan terisolasi antara beban kerja yang terikat ke subnet dan namespace Service Bus masing-masing, terlepas dari alamat jaringan yang dapat diamati dari titik akhir layanan pesan berada dalam rentang IP publik.
Penting
Jaringan Virtual hanya didukung di namespace Service Bus tingkat Premium.
Saat menggunakan titik akhir layanan VNet dengan Service Bus, Anda tidak boleh mengaktifkan titik akhir ini dalam aplikasi yang mencampur namespace Service Bus tingkat Standar dan Premium. Karena tingkat Standar tidak mendukung VNet. Titik akhir hanya dibatasi untuk namespace tingkat Premium.
Skenario keamanan tingkat lanjut diaktifkan oleh integrasi VNet
Solusi yang membutuhkan keamanan yang ketat dan kompartemen, dan di mana subnet jaringan virtual memberikan segmentasi antara layanan kompartemen, umumnya masih memerlukan jalur komunikasi antara layanan yang berada di kompartemen tersebut.
Setiap rute IP langsung antara kompartemen, termasuk yang membawa HTTPS melalui TCP/IP, yang membawa risiko eksploitasi kerentanan dari lapisan jaringan di atas. Layanan pesan menyediakan jalur komunikasi yang sepenuhnya terisolasi, di mana pesan bahkan ditulis ke disk saat mereka bertransisi antar pihak. Beban kerja dalam dua jaringan virtual berbeda yang keduanya terikat dengan instans Service Bus yang sama dapat berkomunikasi secara efisien dan andal melalui pesan, sementara integritas batas isolasi jaringan masing-masing dipertahankan.
Hal ini berarti solusi cloud sensitif keamanan Anda tidak hanya mendapatkan akses ke kemampuan olahpesan asinkron terdepan di industri Azure dan dapat diskalakan, tetapi sekarang dapat menggunakan olahpesan untuk membuat jalur komunikasi antara kompartemen solusi aman yang secara inheren lebih aman dari yang dapat dicapai dengan mode komunikasi peer-to-peer, termasuk HTTPS dan protokol soket aman TLS lainnya.
Mengikat Service Bus ke Virtual Network
Aturan jaringan virtual adalah fitur keamanan firewall yang mengontrol apakah server Azure Service Bus Anda menerima koneksi dari subnet jaringan virtual tertentu.
Mengikat namespace Service Bus ke jaringan virtual adalah proses dua langkah. Pertama-tama Anda perlu membuat titik akhir layanan Virtual Network pada subnet Virtual Network dan mengaktifkannya untuk Microsoft.ServiceBus seperti yang dijelaskan dalam ringkasan titik akhir layanan. Setelah Anda menambahkan titik akhir layanan, Anda mengikat namespace Service Bus dengan aturan jaringan virtual.
Aturan jaringan virtual adalah asosiasi namespace Service Bus dengan subnet jaringan virtual. Meskipun aturan ada, semua beban kerja yang terikat ke subnet diberikan akses ke namespace Service Bus. Azure Service Bus sendiri tidak pernah membuat koneksi keluar, tidak perlu mendapatkan akses, dan karena itu tidak pernah diberikan akses ke subnet Anda dengan mengaktifkan aturan ini.
Untuk informasi selengkapnya, lihat Cara mengonfigurasi titik akhir layanan jaringan virtual untuk namespace Service Bus
Titik Akhir Privat
Azure Private Link Service memungkinkan Anda mengakses layanan Azure (misalnya, Azure Key Vault, Azure Storage, dan Azure Cosmos DB) dan layanan pelanggan/mitra yang dihosting Azure melalui titik akhir privat di jaringan virtual Anda.
Titik akhir privat adalah antarmuka jaringan yang menghubungkan Anda secara privat dan aman ke layanan yang didukung oleh Azure Private Link. Titik akhir privat menggunakan alamat IP privat dari VNet Anda, membawa layanan ke VNet Anda secara efektif. Semua lalu lintas ke layanan dapat dialihkan melalui titik akhir privat, sehingga tidak ada gateway, perangkat NAT, koneksi ExpressRoute atau VPN, atau alamat IP publik yang diperlukan. Lalu lintas antara jaringan virtual Anda dan layanan melintasi jaringan backbone Microsoft, menghilangkan paparan dari Internet publik. Anda dapat menyambungkan ke instans sumber daya Azure, memberi Anda tingkat granularitas tertinggi dalam kontrol akses.
Untuk informasi selengkapnya, lihat Apa itu Azure Private Link?
Catatan
Fitur ini didukung dengan tingkatan premium Azure Service Bus. Untuk informasi selengkapnya tentang tingkat premium, lihat artikel tingkat olahpesan Service Bus Premium dan Standar.
Untuk informasi selengkapnya, lihat Cara mengonfigurasi titik akhir privat untuk namespace Service Bus
Langkah berikutnya
Lihat artikel berikut: