Consenti l'accesso agli spazi dei nomi Hub eventi di Azure da reti virtuali specifiche

L'integrazione di Hub eventi con gli endpoint del servizio della rete virtuale consente di proteggere l'accesso alle funzionalità di messaggistica da carichi di lavoro come macchine virtuali associate a reti virtuali, con il percorso del traffico di rete protetto a entrambe le estremità.

Una volta configurato per l'associazione a almeno un endpoint del servizio subnet di rete virtuale, lo spazio dei nomi di Hub eventi non accetta più il traffico da qualsiasi posizione, ma le subnet autorizzate nelle reti virtuali. Dal punto di vista della rete virtuale, l'associazione di uno spazio dei nomi di Hub eventi a un endpoint del servizio consente di configurare un tunnel di rete isolato dalla subnet della rete virtuale al servizio di messaggistica.

Il risultato è una relazione privata e isolata tra i carichi di lavoro associati alla subnet e lo spazio dei nomi di Hub eventi corrispondente, nonostante l'indirizzo di rete osservabile dell'endpoint del servizio di messaggistica sia in un intervallo di IP pubblici. È presente un'eccezione a questo comportamento. L'abilitazione di un endpoint di servizio, per impostazione predefinita, abilita la denyall regola nel firewall IP associato alla rete virtuale. È possibile aggiungere indirizzi IP specifici nel firewall IP per abilitare l'accesso all'endpoint pubblico di Hub eventi.

Considerazioni importanti

  • Questa funzionalità non è supportata nel livello di base .
  • L'abilitazione delle reti virtuali per lo spazio dei nomi hub eventi blocca le richieste in ingresso per impostazione predefinita, a meno che le richieste non provengono da un servizio che opera dalle reti virtuali consentite. Le richieste che vengono bloccate sono quelle che provengono da altri servizi di Azure, dal portale di Azure, dai servizi di registrazione e metriche e così via. Come eccezione, è possibile consentire l'accesso alle risorse di Hub eventi da determinati servizi attendibili anche quando sono abilitate le reti virtuali. Per un elenco di servizi attendibili, vedere Servizi attendibili.
  • Specificare almeno una regola IP o una regola di rete virtuale per lo spazio dei nomi per consentire il traffico solo dagli indirizzi IP specificati o dalla subnet di una rete virtuale. Se non sono presenti regole di rete virtuale e IP, lo spazio dei nomi può essere accessibile tramite Internet pubblico (usando la chiave di accesso).

Scenari di sicurezza avanzati resi possibili dall'integrazione della rete virtuale

Le soluzioni che richiedono sicurezza stretta e compartimentata e dove le subnet di rete virtuale forniscono la segmentazione tra i servizi compartimentati, devono comunque essere necessari percorsi di comunicazione tra i servizi che risiedono in tali compartimenti.

Qualsiasi route IP immediata tra i compartimenti, incluse quelle destinate al traffico HTTPS su TCP/IP, comportano il rischio di sfruttamento delle vulnerabilità dal livello rete verso l'alto. I servizi di messaggistica forniscono percorsi di comunicazione isolati, dove i messaggi vengono scritti anche su disco durante la transizione tra parti. I carichi di lavoro in due reti virtuali distinte associate alla stessa istanza di Hub eventi possono comunicare in modo efficiente e affidabile tramite messaggi, pur mantenendo l'integrità del confine di isolamento rete.

Questo significa che le soluzioni cloud con requisiti di sicurezza elevati non solo possono ottenere l'accesso alle funzionalità di messaggistica asincrona scalabili e affidabili leader del settore di Azure, ma possono ora usare la messaggistica per creare percorsi di comunicazione tra compartimenti sicuri della soluzione, intrinsecamente più sicuri di quanto sia possibile con qualsiasi modalità di comunicazione peer-to-peer, inclusi i protocolli HTTPS e altri protocolli socket protetti da TLS.

Associare hub eventi alle reti virtuali

Le regole di rete virtuale rappresentano la funzionalità di sicurezza firewall che controlla se lo spazio dei nomi di Hub eventi di Azure accetta le connessioni da una specifica subnet della rete virtuale.

L'associazione di uno spazio dei nomi di Hub eventi a una rete virtuale è un processo in due passaggi. Per prima cosa è necessario creare un endpoint servizio di rete virtuale nella subnet di una rete virtuale e abilitarlo per Microsoft.EventHub , come illustrato nell'articolo panoramica dell'endpoint di servizio . Dopo aver aggiunto l'endpoint del servizio, si associa lo spazio dei nomi hub eventi a esso con una regola di rete virtuale.

La regola di rete virtuale è un'associazione dello spazio dei nomi di Hub eventi e una subnet della rete virtuale. Fino a quando esiste la regola, a tutti i carichi di lavoro associati alla subnet viene concesso l'accesso allo spazio dei nomi di Hub eventi. Hub eventi non stabilisce mai connessioni in uscita, non deve ottenere l'accesso e non viene quindi mai concesso l'accesso alla subnet abilitando questa regola.

Usare il portale di Azure

Questa sezione illustra come usare portale di Azure per aggiungere un endpoint del servizio di rete virtuale. Per limitare l'accesso, è necessario integrare l'endpoint del servizio di rete virtuale per questo spazio dei nomi di Hub eventi.

  1. Passare allo spazio dei nomi di Hub eventi nel portale di Azure.

  2. Selezionare Rete in Impostazioni nel menu a sinistra.

  3. Nella pagina Rete , per l'accesso alla rete pubblica, è possibile impostare una delle tre opzioni seguenti. Scegliere L'opzione Reti selezionate per consentire l'accesso solo da reti virtuali specifiche.

    • Disabilitato. Questa opzione disabilita qualsiasi accesso pubblico allo spazio dei nomi. Lo spazio dei nomi sarà accessibile solo tramite endpoint privati.

      Networking page - public access tab - public network access is disabled.

    • Reti selezionate. Questa opzione consente l'accesso pubblico allo spazio dei nomi usando una chiave di accesso dalle reti selezionate.

      Importante

      Se si sceglie Reti selezionate, aggiungere almeno una regola del firewall IP o una rete virtuale che avrà accesso allo spazio dei nomi. Scegliere Disabilitato se si vuole limitare tutto il traffico a questo spazio dei nomi solo sugli endpoint privati .

      Networking page with the selected networks option selected.

    • Tutte le reti (impostazione predefinita). Questa opzione consente l'accesso pubblico da tutte le reti usando una chiave di accesso. Se si seleziona l'opzione Tutte le reti , l'hub eventi accetta le connessioni da qualsiasi indirizzo IP (usando la chiave di accesso). Questa impostazione equivale a una regola che accetti l'intervallo di indirizzi IP 0.0.0.0/0.

      Screenshot that shows the Public access page with the All networks option selected.

  4. Per limitare l'accesso a reti specifiche, scegliere l'opzione Reti selezionate nella parte superiore della pagina se non è già selezionata.

  5. Nella sezione Reti virtuali della pagina selezionare +Aggiungi rete virtuale esistente*. Selezionare + Crea nuova rete virtuale se si vuole creare una nuova rete virtuale.

    Selection of Add existing virtual network menu item.

    Importante

    Se si sceglie Reti selezionate, aggiungere almeno una regola del firewall IP o una rete virtuale che avrà accesso allo spazio dei nomi. Scegliere Disabilitato se si vuole limitare tutto il traffico a questo spazio dei nomi solo sugli endpoint privati .

  6. Selezionare la rete virtuale dall'elenco delle reti virtuali e quindi selezionare la subnet. È necessario abilitare l'endpoint del servizio prima di aggiungere la rete virtuale all'elenco. Se l'endpoint del servizio non è abilitato, il portale richiederà di abilitarlo.

    Image showing the selection of a subnet.

  7. Verrà visualizzato il messaggio seguente dopo l'abilitazione dell'endpoint di servizio per la subnet per Microsoft.EventHub. Selezionare Aggiungi nella parte inferiore della pagina per aggiungere la rete.

    Image showing the selection of a subnet and enabling an endpoint.

    Nota

    Se non è possibile abilitare l'endpoint del servizio, è possibile ignorare l'endpoint del servizio di rete virtuale mancante usando il modello di Resource Manager. Questa funzionalità non è disponibile sul portale.

  8. Specificare se si vuole consentire ai servizi Microsoft attendibili di ignorare il firewall. Per informazioni dettagliate, vedere Servizi Microsoft attendibile.

  9. Selezionare Salva sulla barra degli strumenti per salvare le impostazioni. Attendere qualche minuto la visualizzazione della conferma tra le notifiche del portale.

    Image showing the saving of virtual network.

    Nota

    Per limitare l'accesso a specifici indirizzi IP o intervalli, vedere Consenti l'accesso da indirizzi IP o intervalli specifici.

Servizi Microsoft attendibili

Quando si abilita l'opzione Consenti servizi Microsoft attendibile per ignorare questa impostazione del firewall, i servizi seguenti all'interno dello stesso tenant vengono concessi l'accesso alle risorse di Hub eventi.

Servizio attendibile Scenari di utilizzo supportati
Griglia di eventi di Azure Consente Griglia di eventi di Azure di inviare eventi agli hub eventi nello spazio dei nomi hub eventi. È anche necessario eseguire questa procedura:
  • Abilitare l'identità assegnata dal sistema per un argomento o un dominio
  • Aggiungere l'identità al ruolo Hub eventi di Azure mittente dati nello spazio dei nomi Hub eventi
  • Configurare quindi la sottoscrizione dell'evento che usa un hub eventi come endpoint per usare l'identità assegnata dal sistema.

Per altre informazioni, vedere Recapito eventi con un'identità gestita

Monitoraggio di Azure (gruppi di azioni e Impostazioni di diagnostica) Consente a Monitoraggio di Azure di inviare informazioni di diagnostica e notifiche di avviso agli hub eventi nello spazio dei nomi hub eventi. Monitoraggio di Azure può leggere dall'hub eventi e scrivere dati anche nell'hub eventi.
Analisi di flusso di Azure Consente a un processo di Analisi di flusso di Azure di leggere i dati da (input) o scrivere dati in hub eventi (output) nello spazio dei nomi hub eventi.

Importante: il processo di Analisi di flusso deve essere configurato per usare un'identità gestita per accedere all'hub eventi. Per altre informazioni, vedere Usare identità gestite per accedere all'hub eventi da un processo di Analisi di flusso di Azure (anteprima).

Hub IoT Azure Consente hub IoT di inviare messaggi agli hub eventi nello spazio dei nomi dell'hub eventi. È anche necessario eseguire questa procedura:
  • Abilitare l'identità assegnata dal sistema per l'hub IoT
  • Aggiungere l'identità al ruolo Mittente dati Hub eventi di Azure nello spazio dei nomi di Hub eventi.
  • Configurare quindi il hub IoT che usa un hub eventi come endpoint personalizzato per usare l'autenticazione basata sull'identità.
Gestione API di Azure

Il servizio Gestione API consente di inviare eventi a un hub eventi nello spazio dei nomi di Hub eventi.

Azure IoT Central

Consente a IoT Central di esportare i dati negli hub eventi nello spazio dei nomi dell'hub eventi. È anche necessario eseguire i passaggi seguenti:

Usare i modelli di Resource Manager

Nell'esempio seguente Resource Manager modello viene aggiunta una regola di rete virtuale a uno spazio dei nomi di Hub eventi esistente. Per la regola di rete, specifica l'ID di una subnet in una rete virtuale.

L'ID è un percorso di Resource Manager completo per la subnet della rete virtuale. Ad esempio, /subscriptions/{id}/resourceGroups/{rg}/providers/Microsoft.Network/virtualNetworks/{vnet}/subnets/default per la subnet predefinita di una rete virtuale.

Quando si aggiungono regole di rete virtuale o firewall, impostare il valore di defaultAction su Deny.

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
      "eventhubNamespaceName": {
        "type": "string",
        "metadata": {
          "description": "Name of the Event Hubs namespace"
        }
      },
      "virtualNetworkName": {
        "type": "string",
        "metadata": {
          "description": "Name of the Virtual Network Rule"
        }
      },
      "subnetName": {
        "type": "string",
        "metadata": {
          "description": "Name of the Virtual Network Sub Net"
        }
      },
      "location": {
        "type": "string",
        "metadata": {
          "description": "Location for Namespace"
        }
      }
    },
    "variables": {
      "namespaceNetworkRuleSetName": "[concat(parameters('eventhubNamespaceName'), concat('/', 'default'))]",
      "subNetId": "[resourceId('Microsoft.Network/virtualNetworks/subnets/', parameters('virtualNetworkName'), parameters('subnetName'))]"
    },
    "resources": [
      {
        "apiVersion": "2018-01-01-preview",
        "name": "[parameters('eventhubNamespaceName')]",
        "type": "Microsoft.EventHub/namespaces",
        "location": "[parameters('location')]",
        "sku": {
          "name": "Standard",
          "tier": "Standard"
        },
        "properties": { }
      },
      {
        "apiVersion": "2017-09-01",
        "name": "[parameters('virtualNetworkName')]",
        "location": "[parameters('location')]",
        "type": "Microsoft.Network/virtualNetworks",
        "properties": {
          "addressSpace": {
            "addressPrefixes": [
              "10.0.0.0/23"
            ]
          },
          "subnets": [
            {
              "name": "[parameters('subnetName')]",
              "properties": {
                "addressPrefix": "10.0.0.0/23",
                "serviceEndpoints": [
                  {
                    "service": "Microsoft.EventHub"
                  }
                ]
              }
            }
          ]
        }
      },
      {
        "apiVersion": "2018-01-01-preview",
        "name": "[variables('namespaceNetworkRuleSetName')]",
        "type": "Microsoft.EventHub/namespaces/networkruleset",
        "dependsOn": [
          "[concat('Microsoft.EventHub/namespaces/', parameters('eventhubNamespaceName'))]"
        ],
        "properties": {
          "publicNetworkAccess": "Enabled",
          "defaultAction": "Deny",
          "virtualNetworkRules": 
          [
            {
              "subnet": {
                "id": "[variables('subNetId')]"
              },
              "ignoreMissingVnetServiceEndpoint": false
            }
          ],
          "ipRules":[],
          "trustedServiceAccessEnabled": false
        }
      }
    ],
    "outputs": { }
  }

Per distribuire il modello, seguire le istruzioni per Azure Resource Manager.

Importante

Se non sono presenti regole di rete virtuale e IP, tutto il traffico passa allo spazio dei nomi anche se si imposta su defaultActiondeny. È possibile accedere allo spazio dei nomi tramite la rete Internet pubblica (usando la chiave di accesso). Specificare almeno una regola IP o una regola di rete virtuale per lo spazio dei nomi per consentire il traffico solo dagli indirizzi IP o dalla subnet specificati di una rete virtuale.

azione predefinita e accesso alla rete pubblica

API REST

Il valore predefinito della proprietà era Deny per l'API defaultAction versione 2021-01-01-preview e versioni precedenti. Tuttavia, la regola di negazione non viene applicata a meno che non si impostino filtri IP o regole di rete virtuale. Ovvero, se non sono presenti filtri IP o regole di rete virtuale, viene considerato come Allow.

A partire dalla versione API 2021-06-01-preview, il valore predefinito della defaultAction proprietà è Allow, per riflettere in modo accurato l'imposizione sul lato servizio. Se l'azione predefinita è impostata su Deny, vengono applicati i filtri IP e le regole della rete virtuale. Se l'azione predefinita è impostata su Allow, i filtri IP e le regole della rete virtuale non vengono applicati. Il servizio memorizza le regole quando vengono disattivate e quindi riattivate di nuovo.

L'API versione 2021-06-01-preview introduce anche una nuova proprietà denominata publicNetworkAccess. Se è impostato su Disabled, le operazioni sono limitate solo ai collegamenti privati. Se è impostato su Enabled, le operazioni sono consentite su Internet pubblico.

Per altre informazioni su queste proprietà, vedere Creare o aggiornare il set di regole di rete e Creare o aggiornare le connessioni endpoint private.

Nota

Nessuna delle impostazioni precedenti ignora la convalida delle attestazioni tramite firma di accesso condiviso o Azure AD l'autenticazione. Il controllo di autenticazione viene sempre eseguito dopo che il servizio convalida i controlli di rete configurati dalle defaultActionimpostazioni , publicNetworkAccess. privateEndpointConnections

Portale di Azure

portale di Azure usa sempre la versione più recente dell'API per ottenere e impostare le proprietà. Se lo spazio dei nomi è stato configurato in precedenza usando 2021-01-01-preview e versioni precedenti con defaultAction impostato su Denye sono stati specificati zero filtri IP e regole di rete virtuale, il portale avrebbe precedentemente controllato Reti selezionate nella pagina Rete dello spazio dei nomi. Ora controlla l'opzione Tutte le reti .

Screenshot that shows the Public access page with the All networks option selected.

Passaggi successivi

Per altre informazioni sulle reti virtuali, vedere i collegamenti seguenti: