Proteger o acesso à rede aos serviços PaaS com pontos de extremidade de serviço de rede virtual
Você migrou seu aplicativo existente e os servidores de banco de dados do sistema ERP para o Azure como VMs. Agora, para reduzir os custos e os requisitos administrativos, você está pensando em usar alguns serviços PaaS (plataforma como serviço) do Azure. Os serviços de armazenamento conterão alguns ativos de arquivos grandes, como diagramas de engenharia. Esses diagramas de engenharia têm informações proprietárias e precisam permanecer seguros contra o acesso não autorizado. Esses arquivos só precisam ser acessíveis em sistemas específicos.
Nesta unidade, você verá como usar pontos de extremidade de serviço de rede virtual para proteger os serviços do Azure compatíveis.
Pontos de extremidade de serviço de rede virtual
Use pontos de extremidade de serviço de rede virtual para estender seu espaço de endereço privado no Azure, fornecendo uma conexão direta com os serviços do Azure. Os pontos de extremidade de serviço permitem que você restrinja o acesso a seus recursos do Azure somente à sua rede virtual. O tráfego do serviço permanecerá no backbone do Azure e não é enviado para a Internet.
Por padrão, os serviços do Azure foram projetados para acesso direto à Internet. Todos os recursos do Azure têm endereços IP públicos e isso inclui serviços PaaS, tais como o Banco de Dados SQL do Azure e o Armazenamento do Azure. Como esses serviços são expostos à Internet, qualquer pessoa pode potencialmente acessar os serviços do Azure.
Os pontos de extremidade de serviço podem se conectar a determinados serviços PaaS diretamente no seu espaço de endereço privado no Azure. Portanto, eles funcionam como se estivessem na mesma rede virtual. Use seu espaço de endereço privado para acessar os serviços PaaS diretamente. Adicionar pontos de extremidade de serviço não remove o ponto de extremidade público. Ele simplesmente fornece um redirecionamento de tráfego.
Os pontos de extremidade de serviço do Azure estão disponíveis para muitos serviços, como:
- Armazenamento do Azure
- Banco de Dados SQL do Azure
- Azure Cosmos DB
- Azure Key Vault
- Barramento de Serviço do Azure
- Azure Data Lake
Para um serviço como o Banco de Dados SQL, que você não pode acessar até adicionar endereços IP ao firewall, você ainda deve considerar pontos de extremidade de serviço. O uso de um ponto de extremidade de serviço para o Banco de Dados SQL restringe o acesso a redes virtuais específicas, fornecendo maior isolamento e reduzindo a superfície de ataque.
Como funcionam os pontos de extremidade de serviço
Para habilitar um ponto de extremidade de serviço, é necessário:
- Desligar o acesso público ao serviço.
- Adicionar o ponto de extremidade de serviço a uma rede virtual.
Ao habilitar um ponto de extremidade de serviço, você restringe o fluxo de tráfego e permite que suas VMs do Azure acessem o serviço diretamente do seu espaço de endereço privado. Os dispositivos não podem acessar o serviço em uma rede pública. Em uma vNIC de VM implantada, se você observar as Rotas efetivas, verá o ponto de extremidade de serviço como o Tipo do Próximo Salto.
Esta é uma tabela de rotas de exemplo antes de habilitar um ponto de extremidade de serviço:
| FONTE | ESTADO | PREFIXOS DE ENDEREÇO | TIPO DO PRÓXIMO SALTO |
|---|---|---|---|
| Padrão | Ativo | 10.1.1.0/24 | VNET |
| Padrão | Ativo | 0.0.0.0./0 | Internet |
| Padrão | Ativo | 10.0.0.0/8 | Nenhum |
| Padrão | Ativo | 100.64.0.0./10 | Nenhum |
| Padrão | Ativo | 192.168.0.0/16 | Nenhum |
E aqui está um exemplo de tabela de rota após você adicionar dois pontos de extremidade de serviço à rede virtual:
| FONTE | ESTADO | PREFIXOS DE ENDEREÇO | TIPO DO PRÓXIMO SALTO |
|---|---|---|---|
| Padrão | Ativo | 10.1.1.0/24 | VNET |
| Padrão | Ativo | 0.0.0.0./0 | Internet |
| Padrão | Ativo | 10.0.0.0/8 | Nenhum |
| Padrão | Ativo | 100.64.0.0./10 | Nenhum |
| Padrão | Ativo | 192.168.0.0/16 | Nenhum |
| Padrão | Ativo | 20.38.106.0/23, mais 10 | VirtualNetworkServiceEndpoint |
| Padrão | Ativo | 20.150.2.0/23, mais 9 | VirtualNetworkServiceEndpoint |
Todo o tráfego do serviço agora é roteado para o VirtualNetworkServiceEndpoint e permanece interno para o Azure.
Pontos de extremidade de serviço e redes híbridas
Os recursos de serviço que você protegeu usando pontos de extremidade de serviço de rede virtual não são, por padrão, acessíveis em redes locais. Para acessar os recursos em uma rede local, use IPs NAT. Se você usar o ExpressRoute para conectividade do local para o Azure, precisará identificar os endereços IP NAT que o ExpressRoute usa. Por padrão, cada circuito usa dois endereços IP NAT para se conectar à rede de backbone do Azure. Em seguida, você precisará adicionar esses endereços IP à configuração de firewall de IP do recurso de serviço do Azure (por exemplo, Armazenamento do Azure).
O diagrama a seguir mostra como você pode usar um ponto de extremidade de serviço e uma configuração de firewall para habilitar dispositivos locais a acessar recursos do Armazenamento do Microsoft Azure:
