Zabezpieczenia sieci dla usługi Azure Service Bus
W tym artykule opisano sposób używania następujących funkcji zabezpieczeń w usłudze Azure Service Bus:
- Tagi usługi
- Reguły zapory adresów IP
- Punkty końcowe usługi sieciowej
- Prywatne punkty końcowe
Tagi usługi
Tag usługi reprezentuje grupę prefiksów adresów IP z danej usługi platformy Azure. Firma Microsoft zarządza prefiksami adresów uwzględnionych przez tag usługi i automatycznie aktualizuje tag usługi w miarę zmiany adresów, minimalizując złożoność częstych aktualizacji reguł zabezpieczeń sieci. Aby uzyskać więcej informacji na temat tagów usług, zobacz Omówienie tagów usługi.
Za pomocą tagów usługi można zdefiniować mechanizmy kontroli dostępu do sieci w sieciowych grupach zabezpieczeń lub usłudze Azure Firewall. Podczas tworzenia reguł zabezpieczeń można użyć tagów usługi zamiast konkretnych adresów IP. Określając nazwę tagu usługi (na przykład ServiceBus) w odpowiednim polu źródłowym lub docelowym reguły, można zezwolić na ruch dla odpowiedniej usługi lub go zablokować.
| Tag usługi | Purpose | Czy można używać ruchu przychodzącego lub wychodzącego? | Czy może być regionalny? | Czy można używać z usługą Azure Firewall? |
|---|---|---|---|---|
| ServiceBus | Ruch usługi Azure Service Bus korzystający z warstwy usługi Premium. | Wychodzące | Tak | Tak |
Uwaga
Tagi usługi można używać tylko dla przestrzeni nazw w warstwie Premium . Jeśli używasz standardowej przestrzeni nazw, użyj nazwy FQDN przestrzeni nazw w postaci <contoso.servicebus.windows.net>. Alternatywnie możesz użyć adresu IP widocznego podczas uruchamiania następującego polecenia: nslookup <host name for the namespace>, jednak nie jest to zalecane lub obsługiwane, i należy śledzić zmiany adresów IP.
Zapora bazująca na adresach IP
Domyślnie przestrzenie nazw usługi Service Bus są dostępne z Internetu, o ile żądanie jest dostarczane z prawidłowym uwierzytelnianiem i autoryzacją. Zapora IP umożliwia dalsze ograniczenie go tylko do zestawu adresów IPv4 lub zakresów adresów IPv4 w notacji CIDR (routing międzydomenowy bezklasowy).
Ta funkcja jest przydatna w scenariuszach, w których usługa Azure Service Bus powinna być dostępna tylko z niektórych dobrze znanych witryn. Reguły zapory umożliwiają konfigurowanie reguł akceptowania ruchu pochodzącego z określonych adresów IPv4. Jeśli na przykład używasz usługi Service Bus z usługą Azure Express Route, możesz utworzyć regułę zapory, aby zezwolić na ruch tylko z adresów IP infrastruktury lokalnej lub adresów firmowej bramy translatora adresów sieciowych.
Reguły zapory adresów IP są stosowane na poziomie przestrzeni nazw usługi Service Bus. W związku z tym reguły mają zastosowanie do wszystkich połączeń od klientów przy użyciu dowolnego obsługiwanego protokołu. Wszelkie próby nawiązania połączenia z adresu IP, który nie jest zgodny z dozwoloną regułą IP w przestrzeni nazw usługi Service Bus, są odrzucane jako nieautoryzowane. Odpowiedź nie wspomina o regule adresu IP. Reguły filtrowania adresów IP są stosowane w kolejności, a pierwsza reguła zgodna z adresem IP określa akcję akceptowania lub odrzucania.
Aby uzyskać więcej informacji, zobacz How to configure IP firewall for a Service Bus namespace (Jak skonfigurować zaporę IP dla przestrzeni nazw usługi Service Bus)
Punkty końcowe usługi sieciowej
Integracja usługi Service Bus z punktami końcowymi usługi Virtual Network (VNet) umożliwia bezpieczny dostęp do funkcji obsługi komunikatów z obciążeń, takich jak maszyny wirtualne powiązane z sieciami wirtualnymi, przy czym ścieżka ruchu sieciowego jest zabezpieczona na obu końcach.
Po skonfigurowaniu powiązania z co najmniej jednym punktem końcowym usługi podsieci sieci wirtualnej odpowiednia przestrzeń nazw usługi Service Bus nie będzie już akceptować ruchu z dowolnego miejsca, ale autoryzowanych sieci wirtualnych. Z perspektywy sieci wirtualnej powiązanie przestrzeni nazw usługi Service Bus z punktem końcowym usługi konfiguruje izolowany tunel sieciowy z podsieci sieci wirtualnej do usługi obsługi komunikatów.
Wynikiem jest prywatna i izolowana relacja między obciążeniami powiązanymi z podsiecią a odpowiednią przestrzenią nazw usługi Service Bus, pomimo zauważalnego adresu sieciowego punktu końcowego usługi obsługi komunikatów w publicznym zakresie adresów IP.
Ważne
Sieci wirtualne są obsługiwane tylko w przestrzeniach nazw usługi Service Bus w warstwie Premium.
W przypadku korzystania z punktów końcowych usługi sieci wirtualnej z usługą Service Bus nie należy włączać tych punktów końcowych w aplikacjach, które mieszają przestrzenie nazw usługi Service Bus w warstwie Standardowa i Premium. Ponieważ warstwa Standardowa nie obsługuje sieci wirtualnych. Punkt końcowy jest ograniczony tylko do przestrzeni nazw warstwy Premium.
Zaawansowane scenariusze zabezpieczeń włączone przez integrację z siecią wirtualną
Rozwiązania, które wymagają ścisłego i podzielonego zabezpieczeń, a podsieci sieci wirtualnej zapewniają segmentację między usługami z podziałem na przedziały, zwykle wymagają ścieżek komunikacyjnych między usługami znajdującymi się w tych przedziałach.
Każda natychmiastowa trasa IP między przedziałami, w tym przewożące protokół HTTPS za pośrednictwem protokołu TCP/IP, niesie ze sobą ryzyko wykorzystania luk w zabezpieczeniach z warstwy sieciowej. Usługi obsługi komunikatów zapewniają całkowicie izolowane ścieżki komunikacyjne, w których komunikaty są nawet zapisywane na dysku podczas przechodzenia między stronami. Obciążenia w dwóch odrębnych sieciach wirtualnych, które są powiązane z tym samym wystąpieniem usługi Service Bus, mogą wydajnie i niezawodnie komunikować się za pośrednictwem komunikatów, podczas gdy odpowiednia integralność granicy izolacji sieci jest zachowywana.
Oznacza to, że poufne rozwiązania w chmurze zabezpieczeń nie tylko uzyskują dostęp do wiodących w branży niezawodnych i skalowalnych możliwości obsługi komunikatów asynchronicznych, ale mogą teraz używać komunikatów do tworzenia ścieżek komunikacyjnych między bezpiecznymi przedziałami rozwiązań, które są z natury bezpieczniejsze niż to, co jest osiągalne w przypadku dowolnego trybu komunikacji równorzędnej, w tym protokołów HTTPS i innych protokołów gniazd zabezpieczonych za pomocą protokołu TLS.
Wiązanie usługi Service Bus z sieciami wirtualnymi
Reguły sieci wirtualnej to funkcja zabezpieczeń zapory, która kontroluje, czy serwer usługi Azure Service Bus akceptuje połączenia z określonej podsieci sieci wirtualnej.
Powiązanie przestrzeni nazw usługi Service Bus z siecią wirtualną jest procesem dwuetapowym. Najpierw należy utworzyć punkt końcowy usługi sieci wirtualnej w podsieci sieci wirtualnej i włączyć go dla usługi Microsoft.ServiceBus zgodnie z opisem w omówieniu punktu końcowego usługi. Po dodaniu punktu końcowego usługi należy powiązać z nią przestrzeń nazw usługi Service Bus za pomocą reguły sieci wirtualnej.
Reguła sieci wirtualnej jest skojarzeniem przestrzeni nazw usługi Service Bus z podsiecią sieci wirtualnej. Chociaż reguła istnieje, wszystkie obciążenia powiązane z podsiecią mają dostęp do przestrzeni nazw usługi Service Bus. Sama usługa Service Bus nigdy nie ustanawia połączeń wychodzących, nie musi uzyskiwać dostępu i dlatego nigdy nie udziela dostępu do podsieci przez włączenie tej reguły.
Aby uzyskać więcej informacji, zobacz How to configure virtual network service endpoints for a Service Bus namespace (Jak skonfigurować punkty końcowe usługi sieci wirtualnej dla przestrzeni nazw usługi Service Bus)
Prywatne punkty końcowe
Usługa Azure Private Link umożliwia dostęp do usług platformy Azure (na przykład Azure Service Bus, Azure Storage i Azure Cosmos DB) oraz hostowanych przez platformę Azure usług klientów/partnerów za pośrednictwem prywatnego punktu końcowego w sieci wirtualnej.
Prywatny punkt końcowy to interfejs sieciowy, który nawiązuje prywatne i bezpieczne połączenie z usługą obsługiwaną przez usługę Azure Private Link. Prywatny punkt końcowy używa prywatnego adresu IP z sieci wirtualnej, efektywnie przenosząc usługę do sieci wirtualnej. Cały ruch do usługi może być kierowany przez prywatny punkt końcowy. Nie jest wówczas wymagane użycie bram, urządzeń NAT, połączeń ExpressRoute, połączeń VPN ani publicznych adresów IP. Ruch między siecią wirtualną a usługą odbywa się za pośrednictwem sieci szkieletowej firmy Microsoft, eliminując ekspozycję z publicznego Internetu. Możesz nawiązać połączenie z wystąpieniem zasobu platformy Azure, zapewniając najwyższy poziom szczegółowości kontroli dostępu.
Aby uzyskać więcej informacji, zobacz Co to jest usługa Azure Private Link?
Uwaga
Ta funkcja jest obsługiwana w warstwie Premium usługi Azure Service Bus. Aby uzyskać więcej informacji na temat warstwy Premium, zobacz artykuł Service Bus Premium and Standard messaging tiers (Warstwy obsługi komunikatów w warstwie Premium i Standardowa).
Aby uzyskać więcej informacji, zobacz How to configure private endpoints for a Service Bus namespace (Jak skonfigurować prywatne punkty końcowe dla przestrzeni nazw usługi Service Bus)
Następne kroki
Odwiedź następujące artykuły: