Keamanan jaringan untuk Azure Event Hubs
Artikel ini menjelaskan cara menggunakan fitur keamanan berikut ini dengan Azure Event Hubs:
- Tag layanan
- Aturan Firewall IP
- Titik akhir layanan jaringan virtual
- Titik Akhir Privat
Tag layanan
Tag layanan mewakili sekelompok awalan alamat IP dari layanan Azure tertentu. Microsoft mengelola awalan alamat yang di mencakup tag layanan dan secara otomatis memperbarui tag layanan saat alamat berubah, meminimalkan kompleksitas pembaruan yang sering diterapkan pada aturan keamanan jaringan. Untuk informasi selengkapnya tentang tag layanan, lihat Ringkasan tag layanan.
Anda dapat menggunakan tag layanan jaringan virtual untuk menentukan kontrol pada akses jaringan pada kelompok keamanan jaringan atau Azure Firewall. Gunakan tag layanan sebagai pengganti alamat IP tertentu saat Anda membuat aturan keamanan. Dengan menentukan nama tag layanan (misalnya, EventHub) di bidang sumber atau tujuan aturan yang sesuai, Anda dapat mengizinkan atau menolak lalu lintas untuk layanan yang sesuai.
| Tag layanan | Tujuan | Dapat menggunakan inbound atau outbound? | Dapat dijalankan secara regional? | Bisa digunakan dengan Azure Firewall? |
|---|---|---|---|---|
EventHub |
Azure Event Hubs. | Keluar | Ya | Ya |
Catatan
Tag layanan Azure Event Hubs berisi beberapa alamat IP yang digunakan oleh Azure Service Bus karena alasan historis.
Firewall IP
Secara default, ruang nama Azure Event Hubs dapat diakses dari internet selama permintaan dilengkapi dengan autentikasi dan otorisasi yang valid. Dengan firewall IP, Anda dapat membatasinya lebih jauh hanya ke sekumpulan alamat atau rentang alamat IPv4 atau IPv6 dalam notasi CIDR (Perutean Antar-Domain Tanpa Kelas).
Fitur ini sangat membantu dalam skenario di mana Azure Event Hubs seharusnya hanya dapat diakses dari situs terkenal tertentu. Aturan firewall memungkinkan Anda mengonfigurasi aturan untuk menerima lalu lintas yang berasal dari alamat IPv4 atau IPv6 tertentu. Misalnya, jika Anda menggunakan Azure Event Hubs dengan Azure Express Route, Anda dapat membuat aturan firewall untuk mengizinkan lalu lintas hanya dari alamat IP infrastruktur lokal Anda.
Aturan firewall IP diterapkan pada tingkat namespace layanan Azure Event Hubs. Oleh karena itu, aturan berlaku untuk semua koneksi dari klien menggunakan propenyimpananl yang didukung. Setiap upaya koneksi dari alamat IP yang tidak cocok dengan aturan IP yang diizinkan pada ruang nama Azure Event Hubs ditolak karena tidak sah. Respons tidak menyebutkan aturan IP. Aturan filter IP diterapkan secara berurutan, dan aturan pertama yang cocok dengan alamat IP menentukan tindakan terima atau tolak.
Untuk informasi selengkapnya, lihat Cara mengonfigurasi firewall IP untuk pusat aktivitas.
Titik akhir layanan jaringan virtual
Integrasi Azure Event Hubs dengan Titik Akhir Layanan Jaringan Virtual (jaringan virtual) memungkinkan akses aman ke kemampuan olahpesan dari beban kerja seperti komputer virtual yang terikat ke jaringan virtual, dengan jalur lalu lintas jaringan diamankan di kedua ujungnya.
Setelah dikonfigurasi untuk terikat ke paling sedikit satu titik akhir layanan subnet jaringan virtual, namespace Pusat Aktivitas masing-masing tidak lagi menerima lalu lintas dari mana saja kecuali hanya dari subnet resmi di jaringan virtual. Dari perspektif jaringan virtual, mengikat namespace Pusat Aktivitas ke titik akhir layanan mengonfigurasi terowongan jaringan yang terisolasi dari subnet jaringan virtual ke layanan olahpesan.
Hasilnya adalah hubungan pribadi dan terisolasi antara beban kerja yang terikat ke subnet dan namespace Pusat Aktivitas masing-masing, meskipun alamat jaringan yang dapat diamati dari titik akhir layanan olahpesan berada dalam rentang IP publik. Ada pengecualian untuk perilaku tersebut. Saat Anda mengaktifkan titik akhir layanan, secara default, layanan mengaktifkan denyall aturan di firewall IP yang terkait dengan jaringan virtual. Anda dapat menambahkan alamat IP tertentu di firewall IP untuk mengaktifkan akses ke titik akhir publik Azure Event Hubs.
Penting
Fitur ini tidak didukung di tingkat dasar.
Skenario keamanan tingkat lanjut diaktifkan oleh integrasi jaringan virtual
Solusi yang memerlukan keamanan yang ketat dan kompartemen, dan di mana subnet jaringan virtual memberikan segmentasi antara layanan kompartemen, masih memerlukan jalur komunikasi antara layanan yang berada di kompartemen tersebut.
Setiap rute IP langsung antara kompartemen, termasuk yang membawa HTTPS melalui TCP/IP, yang membawa risiko eksploitasi kerentanan dari lapisan jaringan di atas. Layanan olahpesan menyediakan jalur komunikasi yang terisolasi, di mana pesan bahkan ditulis ke disk saat mereka bertransisi antar pihak. Beban kerja dalam dua jaringan virtual berbeda yang keduanya terikat dengan instans Pusat Aktivitas yang sama dapat berkomunikasi secara efisien dan andal melalui pesan, sementara integritas batas isolasi jaringan masing-masing dipertahankan.
Hal ini berarti solusi cloud sensitif keamanan Anda tidak hanya mendapatkan akses ke kemampuan olahpesan asinkron terdepan di industri Azure dan dapat diskalakan, tetapi sekarang dapat menggunakan olahpesan untuk membuat jalur komunikasi antara kompartemen solusi aman yang secara inheren lebih aman dari yang dapat dicapai dengan mode komunikasi peer-to-peer, termasuk HTTPS dan protokol soket aman TLS lainnya.
Mengikat pusat aktivitas ke jaringan virtual
Aturan jaringan virtual adalah fitur keamanan firewall yang mengontrol apakah namespace Azure Event Hubs Anda menerima koneksi dari subnet jaringan virtual tertentu.
Mengikat namespace Pusat Aktivitas ke jaringan virtual adalah proses dua langkah. Pertama-tama Anda perlu membuat titik akhir layanan Jaringan Virtual pada subnet jaringan virtual dan mengaktifkannya untuk Microsoft.EventHub seperti yang dijelaskan dalam artikel ringkasan titik akhir layanan. Setelah Anda menambahkan titik akhir layanan, Anda mengikat namespace layanan Azure Event Hubs ke dalamnya dengan aturan jaringan virtual.
Aturan jaringan virtual adalah asosiasi namespace layanan Azure Event Hubs dengan subnet jaringan virtual. Meskipun ada aturan, semua beban kerja yang terikat ke subnet diberikan akses ke namespace Pusat Aktivitas. Pusat Aktivitas sendiri tidak pernah membuat koneksi keluar, tidak perlu mendapatkan akses, dan oleh karena itu tidak pernah diberikan akses ke subnet Anda dengan mengaktifkan aturan ini.
Untuk informasi selengkapnya, lihat Cara mengonfigurasi titik akhir layanan jaringan virtual untuk hub peristiwa.
Titik Akhir Privat
Layanan Azure Private Link memungkinkan Anda mengakses Layanan Azure (misalnya, Azure Event Hubs, Azure Storage, dan Azure Cosmos DB) dan layanan pelanggan/mitra yang dihosting Azure melalui titik akhir pribadi di jaringan virtual Anda.
Titik akhir privat adalah antarmuka jaringan yang menghubungkan Anda secara privat dan aman ke layanan yang didukung oleh Azure Private Link. Titik akhir privat menggunakan alamat IP privat dari jaringan virtual Anda, membawa layanan ke jaringan virtual Anda secara efektif. Semua lalu lintas ke layanan dapat dialihkan melalui titik akhir privat, sehingga tidak ada gateway, perangkat NAT, koneksi ExpressRoute atau VPN, atau alamat IP publik yang diperlukan. Lalu lintas antara jaringan virtual Anda dan layanan melintasi jaringan backbone Microsoft, menghilangkan paparan dari Internet publik. Anda dapat menyambungkan ke instans sumber daya Azure, memberi Anda tingkat granularitas tertinggi dalam kontrol akses.
Penting
Fitur ini tidak didukung di tingkat dasar.
Untuk informasi selengkapnya, lihat Cara mengonfigurasi titik akhir privat untuk pusat aktivitas.
Langkah berikutnya
Lihat artikel berikut: