Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento článek popisuje, jak používat následující funkce zabezpečení se službou Azure Event Hubs:
- Značky služeb
- Pravidla brány firewall protokolu IP
- Koncové body síťové služby
- Privátní koncové body
Značky služeb
Značka služby představuje skupinu předpon IP adres z dané služby Azure. Společnost Microsoft spravuje předpony adres zahrnuté ve značce služby a automaticky aktualizuje tuto značku, když dojde ke změně adres, což minimalizuje složitost častých aktualizací pravidel zabezpečení sítě. Další informace o značkách služeb najdete v tématu Přehled značek služeb.
Značky služeb můžete použít k definování řízení přístupu k síti ve skupinách zabezpečení sítě nebo službě Azure Firewall. Značky služeb můžete používat místo konkrétních IP adres při vytváření pravidel zabezpečení. Zadáním názvu značky služby (například EventHub) do příslušného zdrojového nebo cílového pole pravidla můžete povolit nebo odepřít provoz pro příslušnou službu.
| Značka služby | Účel | Lze použít příchozí nebo odchozí funkce? | Může být regionální? | Může se používat se službou Azure Firewall? |
|---|---|---|---|---|
EventHub |
Azure Event Hubs. | Odchozí | Ano | Ano |
IPový firewall
Ve výchozím nastavení jsou obory názvů služby Event Hubs přístupné z internetu, pokud je požadavek dodáván s platným ověřováním a autorizací. S bránou firewall protokolu IP ji můžete dál omezit jenom na sadu IPv4 nebo IPv6 adres nebo rozsahů adres v zápisu CIDR (classless Inter-Domain Routing).
Tato funkce je užitečná ve scénářích, ve kterých by služba Azure Event Hubs měla být přístupná jenom z určitých dobře známých webů. Pravidla brány firewall umožňují nakonfigurovat pravidla pro příjem provozu pocházejícího z konkrétních adres IPv4 nebo IPv6. Pokud například používáte službu Event Hubs se službou Azure Express Route, můžete vytvořit pravidlo brány firewall , které povolí provoz jenom z vašich IP adres místní infrastruktury.
Pravidla brány firewall protokolu IP se použijí na úrovni oboru názvů služby Event Hubs. Pravidla se proto vztahují na všechna připojení z klientů pomocí libovolného podporovaného protokolu. Jakýkoli pokus o připojení z IP adresy, která neodpovídá povolenému pravidlu IP adresy v oboru názvů služby Event Hubs, se odmítne jako neautorizováno. Odpověď nezmíní pravidlo IP. Pravidla filtru IP adres se použijí v pořadí a první pravidlo, které odpovídá IP adrese, určuje akci přijetí nebo odmítnutí.
Další informace najdete v Jak konfigurovat IP bránu firewall pro centrum událostí.
Koncové body síťové služby
Integrace služby Event Hubs s koncovými body služby Virtuální síť (virtuální síť) umožňuje zabezpečený přístup k funkcím zasílání zpráv z úloh, jako jsou virtuální počítače vázané na virtuální sítě, s cestou síťového provozu zabezpečenou na obou koncích.
Jakmile je nakonfigurovaný tak, aby byl vázaný na alespoň jeden koncový bod služby podsítě virtuální sítě, příslušný obor názvů služby Event Hubs už nepřijímá provoz odkudkoli, ale autorizované podsítě ve virtuálních sítích. Z perspektivy virtuální sítě vazba oboru názvů Event Hubs na služební koncový bod nakonfiguruje izolovaný síťový tunel z podsítě virtuální sítě ke službě zasílání zpráv.
Výsledkem je privátní a izolovaný vztah mezi úlohami vázanými na podsíť a příslušným oborem názvů služby Event Hubs, a to i přes pozorovatelnou síťovou adresu koncového bodu služby zasílání zpráv v rozsahu veřejných IP adres. Toto chování má výjimku. Když ve výchozím nastavení povolíte koncový bod služby, služba povolí denyall pravidlo v bráně firewall protokolu IP přidružené k virtuální síti. Do brány firewall protokolu IP můžete přidat konkrétní IP adresy, abyste povolili přístup k veřejnému koncovému bodu služby Event Hubs.
Důležité
Tato funkce není ve vrstvě Basic podporovaná.
Pokročilé scénáře zabezpečení povolené integrací virtuální sítě
Řešení, která vyžadují těsné a rozdělené zabezpečení a kde podsítě virtuální sítě poskytují segmentaci mezi odděleními služeb, stále potřebují komunikační cesty mezi službami umístěnými v těchto oddílech.
Jakákoli přímá IP trasa mezi oddíly, včetně těch, které přenášejí protokol HTTPS přes protokol TCP/IP, nese riziko zneužití zranitelností od síťové vrstvy výš. Služby zasílání zpráv poskytují izolované komunikační cesty, kde se zprávy při přechodu mezi stranami dokonce zapisují na disk. Úlohy ve dvou různých virtuálních sítích, které jsou svázané se stejnou instancí služby Event Hubs, můžou efektivně a spolehlivě komunikovat prostřednictvím zpráv, zatímco je zachována příslušná integrita hranice izolace sítě.
To znamená, že vaše cloudová řešení citlivá na zabezpečení nejen získávají přístup k špičkovým a škálovatelným funkcím asynchronního zasílání zpráv v Azure, ale teď můžou používat zasílání zpráv k vytváření komunikačních cest mezi zabezpečenými prostory řešení, které jsou ze své podstaty bezpečnější než to, co je dosažitelné s jakýmkoli komunikačním režimem peer-to-peer, včetně protokolů HTTPS a dalších protokolů soketů zabezpečených protokolem TLS.
Vytvoření vazby center událostí k virtuálním sítím
Pravidla virtuální sítě jsou funkce zabezpečení brány firewall, která řídí, jestli váš obor názvů služby Azure Event Hubs přijímá připojení z konkrétní podsítě virtuální sítě.
Připojení oblasti názvů služby Event Hubs k virtuální síti je dvoustupňový proces. Nejprve musíte vytvořit koncový bod služby virtuální sítě v podsíti virtuální sítě a povolit ho pro Microsoft.EventHub , jak je vysvětleno v článku s přehledem koncového bodu služby . Po přidání koncového bodu služby přiřadíte obor názvů Event Hubs k němu pomocí pravidla virtuální sítě.
Pravidlo virtuální sítě je přidružení oboru názvů Event Hubs k podsíti virtuální sítě. I když pravidlo existuje, mají všechny úlohy vázané na podsíť udělený přístup k oboru názvů služby Event Hubs. Služba Event Hubs nikdy sama nenavazuje odchozí připojení, takže nepotřebuje získat přístup, a proto jí nikdy není udělen přístup k vaší podsíti ani při povolení tohoto pravidla.
Další informace najdete v tématu Konfigurace koncových bodů služby virtuální sítě pro centrum událostí.
Privátní koncové body
Služba Azure Private Link umožňuje přístup ke službám Azure (například Azure Event Hubs, Azure Storage a Azure Cosmos DB) a službám hostovaným zákazníkům nebo partnerům Azure přes privátní koncový bod ve vaší virtuální síti.
Privátní koncový bod je síťové rozhraní, které vás privátně a zabezpečeně připojí ke službám využívajícím službu Azure Private Link. Privátní koncový bod využívá privátní IP adresu z vaší virtuální sítě, a tím skutečně přináší danou službu do vaší virtuální sítě. Veškeré přenosy do služby lze směrovat přes privátní koncový bod, takže nejsou potřeba žádné brány, zařízení NAT, připojení ExpressRoute nebo VPN ani veřejné IP adresy. Provoz mezi vaší virtuální sítí a službou prochází přes páteřní síť Microsoftu a eliminuje rizika vystavení na veřejném internetu. Můžete se připojit k instanci prostředku Azure a získat tak nejvyšší úroveň členitosti řízení přístupu.
Důležité
Tato funkce není ve vrstvě Basic podporovaná.
Další informace najdete v tématu Konfigurace privátních koncových bodů pro centrum událostí.
Další kroky
Podívejte se na následující články: