Zabezpečení sítě pro Azure Relay

  • Článek

Tento článek popisuje, jak používat následující funkce zabezpečení se službou Azure Relay:

  • Pravidla brány firewall protokolu IP
  • Privátní koncové body

Poznámka:

Azure Relay nepodporuje koncové body síťových služeb.

Brána firewall IP

Ve výchozím nastavení jsou obory názvů služby Relay přístupné z internetu, pokud je požadavek dodáván s platným ověřováním a autorizací. S bránou firewall protokolu IP ji můžete dál omezit jenom na sadu IPv4 adres nebo rozsahů IPv4 v zápisu CIDR (classless Inter-Domain Routing).

Tato funkce je užitečná ve scénářích, ve kterých by služba Azure Relay měla být přístupná jenom z určitých dobře známých webů. Pravidla brány firewall umožňují nakonfigurovat pravidla pro příjem provozu pocházejícího z konkrétních adres IPv4. Pokud například používáte Relay se službou Azure Express Route, můžete vytvořit pravidlo brány firewall, které povolí provoz jenom z místních IP adres infrastruktury.

Pravidla brány firewall protokolu IP se použijí na úrovni oboru názvů služby Relay. Pravidla se proto vztahují na všechna připojení z klientů pomocí libovolného podporovaného protokolu. Jakýkoli pokus o připojení z IP adresy, která neodpovídá povolenému pravidlu IP adresy v oboru názvů služby Relay, se odmítne jako neautorizováno. Odpověď nezmíní pravidlo IP adresy. Pravidla filtru IP adres se použijí v pořadí a první pravidlo, které odpovídá IP adrese, určuje akci přijetí nebo odmítnutí.

Další informace najdete v tématu Konfigurace brány firewall protokolu IP pro obor názvů služby Relay.

Privátní koncové body

Služba Azure Private Link umožňuje přístup ke službám Azure (například Azure Relay, Azure Service Bus, Azure Event Hubs, Azure Storage a Azure Cosmos DB) a službám hostovaným zákazníkům nebo partnerům Azure přes privátní koncový bod ve vaší virtuální síti. Další informace najdete v tématu Co je Azure Private Link?

Privátní koncový bod je síťové rozhraní, které umožňuje úlohám spuštěným ve virtuální síti připojit se soukromě a bezpečně ke službě, která má prostředek privátního propojení (například obor názvů služby Relay). Privátní koncový bod využívá privátní IP adresu z vaší virtuální sítě, čímž je služba efektivně začleněna do vaší virtuální sítě. Veškerý provoz do služby je možné směrovat přes privátní koncový bod, takže nejsou potřeba žádné brány, zařízení NAT, ExpressRoute, připojení VPN nebo veřejné IP adresy. Provoz mezi vaší virtuální sítí a službou prochází přes páteřní síť Microsoftu a eliminuje riziko ohrožení z veřejného internetu. Úroveň členitosti řízení přístupu můžete poskytnout tím, že povolíte připojení ke konkrétním oborům názvů Služby Azure Relay.

Další informace najdete v tématu Konfigurace privátních koncových bodů.

Další kroky

Podívejte se na následující články: