Nätverkssäkerhet för Azure Event Grid-resurser
I den här artikeln beskrivs hur du använder följande säkerhetsfunktioner med Azure Event Grid:
- Tjänsttaggar för utgående trafik
- IP-brandväggsregler för ingress
- Privata slutpunkter för inkommande
Tjänsttaggar
En tjänsttagg representerar en grupp IP-adressprefix från en viss Azure-tjänst. Microsoft hanterar adressprefixen som omfattas av tjänsttaggen och uppdaterar automatiskt tjänsttaggen när adresserna ändras, vilket minimerar komplexiteten i frekventa uppdateringar av nätverkssäkerhetsregler. Mer information om tjänsttaggar finns i Översikt över tjänsttaggar.
Du kan använda tjänsttaggar för att definiera nätverksåtkomstkontroller i nätverkssäkerhetsgrupper eller Azure Firewall. Använd tjänsttaggar i stället för specifika IP-adresser när du skapar säkerhetsregler. Genom att ange namnet på tjänsttaggen (till exempel AzureEventGrid) i lämpligt käll- eller målfält för en regel kan du tillåta eller neka trafik för motsvarande tjänst.
| Tjänsttagg | Syfte | Kan du använda inkommande eller utgående trafik? | Kan vara regional? | Kan du använda med Azure Firewall? |
|---|---|---|---|---|
| AzureEventGrid | Azure Event Grid. | Båda | Nej | Nej |
IP-brandvägg
Azure Event Grid stöder IP-baserade åtkomstkontroller för publicering till ämnen och domäner. Med IP-baserade kontroller kan du begränsa utgivare till ett ämne eller en domän till endast en uppsättning godkända uppsättningar datorer och molntjänster. Den här funktionen kompletterar de autentiseringsmekanismer som stöds av Event Grid.
Som standard är ämnet och domänen tillgängliga från Internet så länge begäran levereras med giltig autentisering och auktorisering. Med IP-brandväggen kan du begränsa den ytterligare till endast en uppsättning IP-adresser eller IP-adressintervall i CIDR-notationen (klasslös routning mellan domäner). Utgivare som kommer från andra IP-adresser avvisas och får ett 403-svar (förbjudet).
Stegvisa instruktioner för att konfigurera IP-brandväggen för ämnen och domäner finns i Konfigurera IP-brandvägg.
Privata slutpunkter
Du kan använda privata slutpunkter för att tillåta ingress av händelser direkt från ditt virtuella nätverk till dina ämnen och domäner på ett säkert sätt via en privat länk utan att gå via det offentliga Internet. En privat slutpunkt är ett särskilt nätverksgränssnitt för en Azure-tjänst i ditt virtuella nätverk. När du skapar en privat slutpunkt för ditt ämne eller din domän ger den säker anslutning mellan klienter i det virtuella nätverket och Event Grid-resursen. Den privata slutpunkten tilldelas en IP-adress från IP-adressintervallet för ditt virtuella nätverk. Anslutningen mellan den privata slutpunkten och Event Grid-tjänsten använder en säker privat länk.
Med privata slutpunkter för din Event Grid-resurs kan du:
- Skydda åtkomsten till ditt ämne eller din domän från ett virtuellt nätverk via Microsofts stamnätverk i stället för det offentliga Internet.
- Anslut säkert från lokala nätverk som ansluter till det virtuella nätverket med HJÄLP av VPN eller Express Routes med privat peering.
När du skapar en privat slutpunkt för ett ämne eller en domän i ditt virtuella nätverk skickas en begäran om medgivande för godkännande till resursägaren. Om användaren som begär att den privata slutpunkten ska skapas också är ägare till resursen godkänns begäran om medgivande automatiskt. Annars är anslutningen i väntande tillstånd tills den har godkänts. Program i det virtuella nätverket kan ansluta till Event Grid-tjänsten via den privata slutpunkten sömlöst, med samma anslutningssträng och auktoriseringsmekanismer som de skulle använda annars. Resursägare kan hantera begäranden om medgivande och privata slutpunkter via fliken Privata slutpunkter för resursen i Azure-portalen.
Anslut till privata slutpunkter
Utgivare i ett virtuellt nätverk som använder den privata slutpunkten bör använda samma anslutningssträng för ämnet eller domänen som klienter som ansluter till den offentliga slutpunkten. DNS-matchning (Domain Name System) dirigerar automatiskt anslutningar från det virtuella nätverket till ämnet eller domänen via en privat länk. Event Grid skapar som standard en privat DNS-zon som är kopplad till det virtuella nätverket med nödvändig uppdatering för de privata slutpunkterna. Men om du använder din egen DNS-server kan du behöva göra fler ändringar i DNS-konfigurationen.
DNS-ändringar för privata slutpunkter
När du skapar en privat slutpunkt uppdateras DNS CNAME-posten för resursen till ett alias i en underdomän med prefixet privatelink. Som standard skapas en privat DNS-zon som motsvarar den privata länkens underdomän.
När du löser ämnets eller domänens slutpunkts-URL utanför det virtuella nätverket med den privata slutpunkten matchas den mot tjänstens offentliga slutpunkt. DNS-resursposterna för "topicA", när de matchas utanför det virtuella nätverk som är värd för den privata slutpunkten, är:
| Namn | Typ | Värde |
|---|---|---|
topicA.westus.eventgrid.azure.net |
CNAME | topicA.westus.privatelink.eventgrid.azure.net |
topicA.westus.privatelink.eventgrid.azure.net |
CNAME | <Azure Traffic Manager-profil> |
Du kan neka eller kontrollera åtkomsten för en klient utanför det virtuella nätverket via den offentliga slutpunkten med hjälp av IP-brandväggen.
När det löses från det virtuella nätverket som är värd för den privata slutpunkten matchas ämnet eller domänslutpunktens URL till den privata slutpunktens IP-adress. DNS-resursposterna för ämnet "topicA", när de matchas inifrån det virtuella nätverk som är värd för den privata slutpunkten, är:
| Namn | Typ | Värde |
|---|---|---|
topicA.westus.eventgrid.azure.net |
CNAME | topicA.westus.privatelink.eventgrid.azure.net |
topicA.westus.privatelink.eventgrid.azure.net |
A | 10.0.0.5 |
Den här metoden ger åtkomst till ämnet eller domänen med samma anslutningssträng för klienter i det virtuella nätverket som är värd för de privata slutpunkterna och klienter utanför det virtuella nätverket.
Om du använder en anpassad DNS-server i nätverket kan klienterna matcha det fullständigt kvalificerade domännamnet (FQDN) för ämnet eller domänslutpunkten till IP-adressen för den privata slutpunkten. Konfigurera DNS-servern för att delegera din privata länkunderdomän till den privata DNS-zonen för det virtuella nätverket eller konfigurera A-posterna för med ip-adressen för topicOrDomainName.regionName.privatelink.eventgrid.azure.net den privata slutpunkten.
Det rekommenderade DNS-zonnamnet är privatelink.eventgrid.azure.net.
Privata slutpunkter och publicering
I följande tabell beskrivs de olika tillstånden för den privata slutpunktsanslutningen och effekterna på publiceringen:
| Anslut ionstillstånd | Publicera (ja/nej) |
|---|---|
| Godkänd | Ja |
| Avvisat | Nej |
| Väntande | Nej |
| Frånkopplad | Nej |
För att publiceringen ska lyckas bör det privata slutpunktsanslutningstillståndet godkännas. Om en anslutning avvisas kan den inte godkännas med hjälp av Azure-portalen. Den enda möjligheten är att ta bort anslutningen och skapa en ny i stället.
Kvoter och begränsningar
Det finns en gräns för antalet IP-brandväggsregler och privata slutpunktsanslutningar per ämne eller domän. Se Event Grid-kvoter och -gränser.
Nästa steg
Du kan konfigurera IP-brandväggen för Event Grid-resursen för att begränsa åtkomsten via det offentliga Internet från endast en viss uppsättning IP-adresser eller IP-adressintervall. Stegvisa instruktioner finns i Konfigurera IP-brandvägg.
Du kan konfigurera privata slutpunkter för att begränsa åtkomsten från endast valda virtuella nätverk. Stegvisa instruktioner finns i Konfigurera privata slutpunkter.
Information om hur du felsöker problem med nätverksanslutningen finns i Felsöka problem med nätverksanslutningen.