Segurança de rede para o Barramento de Serviço do Azure
Este artigo descreve como usar os seguintes recursos de segurança com o Barramento de Serviço do Azure:
- Etiquetas de serviço
- Regras de firewall IP
- Pontos finais de serviço de rede
- Pontos finais privados
Etiquetas de serviço
Uma marca de serviço representa um grupo de prefixos de endereço IP de um determinado serviço do Azure. A Microsoft gerencia os prefixos de endereço incluídos pela etiqueta de serviço e atualiza automaticamente a etiqueta de serviço à medida que os endereços mudam, minimizando a complexidade das atualizações frequentes das regras de segurança de rede. Para obter mais informações sobre tags de serviço, consulte Visão geral de tags de serviço.
Pode utilizar etiquetas de serviço para definir controlos de acesso à rede em grupos de segurança de rede ou no Azure Firewall. Utilize etiquetas de serviço em vez de endereços IP específicos quando criar regras de segurança. Ao especificar o nome da etiqueta de serviço (por exemplo, ServiceBus) no campo de origem ou destino apropriado de uma regra, você pode permitir ou negar o tráfego para o serviço correspondente.
| Etiqueta de serviço | Propósito | Pode usar inbound ou outbound? | Pode ser regional? | Pode usar com o Firewall do Azure? |
|---|---|---|---|---|
| ServiceBus | Tráfego do Barramento de Serviço do Azure que usa a camada de serviço Premium. | De Saída | Sim | Sim |
Nota
Você pode usar tags de serviço somente para namespaces premium . Se você estiver usando um namespace padrão , use o FQDN do namespace em vez disso, na forma de <contoso.servicebus.windows.net>. Como alternativa, você pode usar o endereço IP que você vê quando executa o seguinte comando: nslookup <host name for the namespace>, no entanto, isso não é recomendado ou suportado, e você precisará acompanhar as alterações nos endereços IP.
Firewall de IP
Por padrão, os namespaces do Service Bus são acessíveis pela Internet, desde que a solicitação seja fornecida com autenticação e autorização válidas. Com o firewall IP, você pode restringi-lo ainda mais a apenas um conjunto de endereços IPv4 ou intervalos de endereços IPv4 na notação CIDR (Roteamento entre Domínios sem Classe).
Esse recurso é útil em cenários nos quais o Barramento de Serviço do Azure só deve ser acessível a partir de determinados sites conhecidos. As regras de firewall permitem configurar regras para aceitar tráfego originado de endereços IPv4 específicos. Por exemplo, se você usar o Service Bus com a Rota Expressa do Azure, poderá criar uma regra de firewall para permitir o tráfego somente de seus endereços IP de infraestrutura local ou endereços de um gateway NAT corporativo.
As regras de firewall IP são aplicadas no nível de namespace do Service Bus. Portanto, as regras se aplicam a todas as conexões de clientes usando qualquer protocolo suportado. Qualquer tentativa de conexão de um endereço IP que não corresponda a uma regra de IP permitida no namespace do Service Bus é rejeitada como não autorizada. A resposta não menciona a regra de IP. As regras de filtro IP são aplicadas em ordem e a primeira regra que corresponde ao endereço IP determina a ação de aceitação ou rejeição.
Para obter mais informações, consulte Como configurar o firewall IP para um namespace do Service Bus
Pontos finais de serviço de rede
A integração do Service Bus com pontos de extremidade de serviço de Rede Virtual (VNet) permite o acesso seguro a recursos de mensagens de cargas de trabalho, como máquinas virtuais vinculadas a redes virtuais, com o caminho de tráfego de rede protegido em ambas as extremidades.
Uma vez configurado para ser vinculado a pelo menos um ponto de extremidade de serviço de sub-rede de rede virtual, o namespace respetivo do Service Bus não aceitará mais tráfego de qualquer lugar, exceto a(s) rede(s) virtual(is) autorizada(s). Do ponto de vista da rede virtual, vincular um namespace do Service Bus a um ponto de extremidade de serviço configura um túnel de rede isolado da sub-rede da rede virtual para o serviço de mensagens.
O resultado é uma relação privada e isolada entre as cargas de trabalho vinculadas à sub-rede e o respetivo namespace do Service Bus, apesar do endereço de rede observável do ponto de extremidade do serviço de mensagens estar em um intervalo de IP público.
Importante
As Redes Virtuais são suportadas apenas em namespaces do Service Bus de camada Premium.
Ao usar pontos de extremidade de serviço VNet com o Service Bus, você não deve habilitar esses pontos de extremidade em aplicativos que misturam namespaces do Service Bus de camada Standard e Premium. Porque a camada Standard não suporta redes virtuais. O ponto de extremidade é restrito apenas a namespaces de camada Premium.
Cenários avançados de segurança habilitados pela integração de VNet
Soluções que exigem segurança apertada e compartimentada, e onde as sub-redes de rede virtual fornecem a segmentação entre os serviços compartimentados, geralmente ainda precisam de caminhos de comunicação entre os serviços que residem nesses compartimentos.
Qualquer rota IP imediata entre os compartimentos, incluindo aqueles que transportam HTTPS sobre TCP/IP, acarreta o risco de exploração de vulnerabilidades da camada de rede para cima. Os serviços de mensagens fornecem caminhos de comunicação completamente isolados, onde as mensagens são até mesmo gravadas em disco à medida que transitam entre as partes. As cargas de trabalho em duas redes virtuais distintas que estão vinculadas à mesma instância do Service Bus podem se comunicar de forma eficiente e confiável por meio de mensagens, enquanto a integridade do limite de isolamento de rede respetiva é preservada.
Isso significa que suas soluções de nuvem sensíveis à segurança não apenas obtêm acesso aos recursos de mensagens assíncronas confiáveis e escaláveis líderes do setor do Azure, mas agora podem usar mensagens para criar caminhos de comunicação entre compartimentos de solução seguros que são inerentemente mais seguros do que o que é possível alcançar com qualquer modo de comunicação ponto a ponto, incluindo HTTPS e outros protocolos de soquete protegidos por TLS.
Vincular o Service Bus a redes virtuais
As regras de rede virtual são o recurso de segurança de firewall que controla se o servidor do Barramento de Serviço do Azure aceita conexões de uma sub-rede de rede virtual específica.
Vincular um namespace do Service Bus a uma rede virtual é um processo de duas etapas. Primeiro, você precisa criar um ponto de extremidade de serviço de Rede Virtual em uma sub-rede de Rede Virtual e habilitá-lo para Microsoft.ServiceBus, conforme explicado na visão geral do ponto de extremidade de serviço. Depois de adicionar o ponto de extremidade de serviço, você vincula o namespace do Service Bus a ele com uma regra de rede virtual.
A regra de rede virtual é uma associação do namespace do Service Bus com uma sub-rede de rede virtual. Enquanto a regra existir, todas as cargas de trabalho vinculadas à sub-rede recebem acesso ao namespace do Service Bus. O Service Bus em si nunca estabelece conexões de saída, não precisa obter acesso e, portanto, nunca recebe acesso à sua sub-rede habilitando essa regra.
Para obter mais informações, consulte Como configurar pontos de extremidade de serviço de rede virtual para um namespace do Service Bus
Pontos finais privados
O Serviço de Link Privado do Azure permite que você acesse os serviços do Azure (por exemplo, o Barramento de Serviço do Azure, o Armazenamento do Azure e o Azure Cosmos DB) e os serviços de cliente/parceiro hospedados pelo Azure em um ponto de extremidade privado em sua rede virtual.
Um ponto final privado é uma interface de rede que o liga a um serviço de forma privada e segura com a tecnologia Azure Private Link. O ponto final privado utiliza um endereço IP privado da VNet, para que possa aceder ao serviço de forma eficaz através da VNet. Todo o tráfego para o serviço pode ser encaminhado através do ponto final privado, pelo que não são necessários gateways, dispositivos NAT, ligações ExpressRoute ou VPN nem endereços IP públicos. O tráfego entre a rede virtual e o serviço percorre a rede de backbone da Microsoft, eliminando a exposição da Internet pública. Você pode se conectar a uma instância de um recurso do Azure, oferecendo o mais alto nível de granularidade no controle de acesso.
Para obter mais informações, consulte O que é o Azure Private Link?
Nota
Esse recurso é suportado com a camada premium do Barramento de Serviço do Azure. Para obter mais informações sobre a camada premium, consulte o artigo Service Bus Premium e Standard messaging tiers .
Para obter mais informações, consulte Como configurar pontos de extremidade privados para um namespace do Service Bus
Próximos passos
Consulte os seguintes artigos: