أمان الشبكة لناقل خدمة Microsoft Azure
توضح هذه المقالة كيفية استخدام ميزات الأمان التالية مع ناقل خدمة Microsoft Azure:
- علامات الخدمة
- قواعد جدار حماية IP
- نقاط نهاية خدمة الشبكة
- نقاط النهاية الخاصة
علامات الخدمة
تمثل علامة الخدمة مجموعة من بادئات عنوان IP من خدمة Azure معينة. تقوم Microsoft بإدارة بادئات العناوين التي تشملها علامة الخدمة، كما تقوم بتحديث علامة الخدمة تلقائيًا مع تغيير العناوين، ما يقلل من تعقيد التحديثات المتكررة لقواعد أمان الشبكة. لمزيد من المعلومات حول علامات الخدمة، راجع نظرة عامة على علامات الخدمة.
يمكنك استخدام علامات الخدمة لتعريف عناصر التحكم في الوصول إلى الشبكة على مجموعات أمان الشبكة أو Azure Firewall. استخدم علامات الخدمة بدلاً من عناوين IP معينة عند إنشاء قواعد الأمان. بتحديد اسم علامة الخدمة (على سبيل المثال، ServiceBus) في حقل المصدر أو الوجهة المناسب للقاعدة، يمكنك السماح بنسبة استخدام الشبكة للخدمة المقابلة أو رفضها.
| علامة الخدمة | الغرض | هل يمكن استخدام الوارد أو الصادر؟ | هل يمكن أن تكون إقليمية؟ | هل يمكن استخدامها مع جدار Azure Firewall؟ |
|---|---|---|---|---|
| ServiceBus | نسبة استخدام الشبكة لناقل خدمة Azure التي تستخدم مستوى الخدمة Premium. | صادر | نعم | نعم |
إشعار
لا يمكنك استخدام علامات الخدمة إلا لمساحات الأسماء المميزة. إذا كنت تستخدم مساحة اسم قياسية، فاستخدم FQDN لمساحة الاسم بدلا من <ذلك، في شكل contoso.servicebus.windows.net>. بدلا من ذلك، يمكنك استخدام عنوان IP الذي تراه عند تشغيل الأمر التالي: nslookup <host name for the namespace>، ولكن هذا غير مستحسن أو مدعوم، وستحتاج إلى تعقب التغييرات على عناوين IP.
جدار حماية IP
بشكل افتراضي، يمكن الوصول إلى مساحات أسماء ناقل خدمة Microsoft Azure من الإنترنت طالما أن الطلب يأتي مع مصادقة وتخويل صالحين. باستخدام جدار حماية IP، يمكنك تقييده على مجموعة من عناوين IPv4 أو نطاقات عناوين IPv4 فقط في رمز CIDR (التوجيه بين المجالات بدون فئات).
هذه الميزة مفيدة في السيناريوهات التي يجب أن يكون فيها ناقل خدمة Microsoft Azure متاحًا فقط من مواقع معروفة معينة. تمكّنك قواعد جدار الحماية من تكوين قواعد لقبول نسبة استخدام الشبكة التي تنشأ من عناوين IPv4 محددة. على سبيل المثال، إذا كنت تستخدم Service Bus معAzure Express Route، يمكنك إنشاء قاعدة جدار الحماية للسماح بنسبة استخدام الشبكة من عناوين IP للبنية الأساسية المحلية فقط أو عناوين بوابة NAT الخاصة بالشركة.
تُطبق قواعد جدار الحماية على مستوى مساحة اسم ناقل خدمة Microsoft Azure. لذلك، تنطبق القواعد على جميع الاتصالات من العملاء الذين يستخدمون أي بروتوكول مدعوم. تُرفض أي محاولة اتصال من عنوان IP لا يطابق قاعدة IP مسموح بها على مساحة اسم Service Bus باعتبارها غير مصرح بها. لم يُذكر في الاستجابة قاعدة IP. يتم تطبيق قواعد عامل تصفية IP بالترتيب، وتحدد القاعدة الأولى التي تطابق عنوان IP إجراء القبول أو الرفض.
للحصول على مزيدٍ من المعلومات، راجع كيفية تكوين جدار حماية IP لمساحة اسم ناقل خدمة Microsoft Azure
نقاط نهاية خدمة الشبكة
يتيح تكامل ناقل خدمة Microsoft Azure مع نقاط نهاية خدمة شبكة ظاهرية (VNet) الوصول الآمن إلى قدرات المراسلة من أحمال العمل مثل الأجهزة الظاهرية المرتبطة بالشبكات الظاهرية، مع تأمين مسار نسبة استخدام الشبكة على كلا الطرفين.
بمجرد تكوينها لتكون مرتبطة بنقطة نهاية خدمة شبكة ظاهرية فرعية واحدة على الأقل، لم تعد مساحة اسم ناقل خدمة Microsoft Azure المعنية تقبل نسبة استخدام الشبكة من أي مكان إلا من الشبكة الظاهرية (الشبكات الظاهرية) المصرح بها. من منظور الشبكة الظاهرية، يؤدي ربط مساحة اسم ناقل خدمة Microsoft Azure بنقطة نهاية الخدمة إلى تكوين نفق شبكات معزول من الشبكة الفرعية للشبكة الظاهرية إلى خدمة المراسلة.
والنتيجة هي علاقة خاصة ومعزولة بين أحمال العمل المرتبطة بالشبكة الفرعية ومساحة اسم ناقل خدمة Microsoft Azure المعنية، على الرغم من عنوان الشبكة الملاحظ لنقطة نهاية خدمة المراسلة في نطاق IP عام.
هام
لا تُدعم الشبكات الظاهرية إلا في مساحات أسماء المستوى المميز لناقل خدمة Microsoft Azure.
عند استخدام نقاط نهاية خدمة شبكة ظاهرية مع ناقل خدمة Microsoft Azure، يجب عدم تمكين نقاط النهاية هذه في التطبيقات التي تخلط بين المستوى المميز والمستوى القياسي لمساحات أسماء ناقل خدمة Microsoft Azure. لأن المستوى القياسي لا يدعم الشبكات الظاهرية. تقتصر نقطة النهاية إلى مساحات أسماء المستوى المميز فقط.
سيناريوهات الأمان المتقدمة التي مكّنها تكامل الشبكة الظاهرية
الحلول التي تتطلب أمانًا محكمًا ومجزئًا، وحيث توفر الشبكات الفرعية للشبكة الظاهرية التجزئة بين الخدمات المُجزأة، لا تزال بحاجة عمومًا إلى مسارات اتصال بين الخدمات الموجودة في تلك الحجرات.
أي مسار IP فوري بين الحجرات، بما في ذلك تلك التي تحمل HTTPS عبر TCP/IP، يحمل خطر استغلال نقاط الضعف من طبقة الشبكة وما فوقها. تُوفر خدمات المراسلة مسارات اتصال معزولة تمامًا، حيث تُكتب الرسائل حتى على القرص أثناء انتقالها بين الأطراف. أحمال العمل في شبكتين ظاهريتين متميزتين مرتبطتين بنفس مثيل ناقل خدمة Microsoft Azure يُمكنها الاتصال بكفاءة وموثوقية عبر الرسائل، بينما يتم الاحتفاظ بتكامل حدود عزل الشبكة المعنية.
هذا يعني أن حلول السحابة الحساسة للأمان لا تحصل فقط على إمكانية الوصول إلى قدرات المراسلة غير المتزامنة الموثوقة والقابلة للتطوير والرائدة في صناعة Azure، بل يمكنها الآن استخدام المراسلة لإنشاء مسارات اتصال بين حجرات الحلول الآمنة التي تكون بطبيعتها أكثر أمانًا مما يمكن تحقيقه مع أي وضع الاتصال من نظير إلى نظير، بما في ذلك HTTPS وبروتوكولات مأخذ توصيل بروتوكول أمان طبقة النقل الأخرى.
ربط ناقل خدمة Microsoft Azure بالشبكات الظاهرية
قواعد الشبكة الظاهرية هي ميزة أمان جدار الحماية التي تتحكم في ما إذا كانت مساحة اسم ناقل خدمة Microsoft Azure تقبل الاتصالات من شبكة فرعية خاصة بالشبكة الظاهرية.
ربط مساحة اسم ناقل خدمة Microsoft Azure بشبكة اتصال ظاهرية هو عملية من خطوتين. تحتاج أولًا إلى إنشاء نقطة نهاية خدمة شبكة ظاهرية على الشبكة الفرعية لشبكة ظاهرية وتمكينها لـ Microsoft.ServiceBus كما هو موضح في نظرة عامة على نقطة تقديم الخدمة. بمجرد إضافة نقطة نهاية الخدمة، يمكنك ربط مساحة اسم ناقل خدمة Microsoft Azure به من خلال قاعدة الشبكة الظاهرية.
قاعدة الشبكة الظاهرية عبارة عن ارتباط لمساحة اسم ناقل خدمة Microsoft Azure بشبكة فرعية للشبكة الظاهرية. أثناء وجود القاعدة، تُمنح كافة أحمال العمل المرتبطة بالشبكة الفرعية حق الوصول إلى مساحة اسم ناقل خدمة Microsoft Azure. لا يقوم ناقل الخدمة نفسه بتأسيس اتصالات صادرة، ولا يحتاج إلى الوصول، وبالتالي لا يُمنح مطلقًا حق الوصول إلى شبكتك الفرعية من خلال تمكين هذه القاعدة.
للحصول على مزيدٍ من المعلومات، راجع كيفية تكوين نقاط نهاية الخدمة للشبكة الظاهرية لناقل خدمة Microsoft Azure
نقاط النهاية الخاصة
تُمكّنك Azure Private Link Service من الوصول إلى خدمات Azure (على سبيل المثال، ناقل خدمة Microsoft Azure، وAzure Storage، وAzure Cosmos DB) وخدمات العملاء/الشركاء المستضافة في Azure عبر نقطة نهاية خاصة في شبكتك الافتراضية.
نقطة النهاية الخاصة هي واجهة شبكة اتصال تربطك بشكل خاص وآمن بخدمة مدعومة من ارتباط Azure الخاص. تستخدم نقطة النهاية الخاصة عنوان IP خاصًّا من الشبكة الظاهرية الخاصة بك، مما يؤدي إلى جلب الخدمة بشكل فعال إلى الشبكة الظاهرية الخاصة بك. يمكن توجيه كافة حركة المرور إلى الخدمة من خلال نقطة النهاية الخاصة، لذلك لا توجد بوابات أو أجهزة NAT أو اتصالات ExpressRoute أو VPN أو عناوين IP عامة مطلوبة. قم بنقل البيانات بين شبكتك الظاهرية وخدمات الاجتياز عبر شبكة Microsoft الأساسية، مما يلغي التعرض للإنترنت العام. يمكنك الاتصال بمثيل مورد Azure، مما يمنحك أعلى مستوى من الدقة في التحكم في الوصول.
لمزيد من المعلومات، راجع ما هو ارتباط Azure الخاص؟
إشعار
تُدعم هذه الميزة مع المستوى المميز لناقل خدمة Microsoft Azure. لمزيد من المعلومات حول المستوى المميز، راجع مقالة مستويات المراسلة القياسية وناقل خدمة Microsoft Azure المميز.
للحصول على مزيدٍ من المعلومات، راجع كيفية تكوين نقاط النهاية الخاصة لمساحة اسم ناقل خدمة Microsoft Azure
الخطوات التالية
راجع المقالات التالية: