Zabezpečení sítě pro Azure Service Bus
Tento článek popisuje, jak používat následující funkce zabezpečení se službou Azure Service Bus:
- Značky služeb
- Pravidla brány firewall protokolu IP
- Koncové body síťové služby
- Privátní koncové body
Značky služeb
Značka služby představuje skupinu předpon IP adres z dané služby Azure. Společnost Microsoft spravuje předpony adres zahrnující značku služby a automaticky aktualizuje značku služby jako změny adres a minimalizuje složitost častých aktualizací pravidel zabezpečení sítě. Další informace o značkách služeb najdete v tématu Přehled značek služeb.
Značky služeb můžete použít k definování řízení přístupu k síti ve skupinách zabezpečení sítě nebo službě Azure Firewall. Značky služeb můžete používat místo konkrétních IP adres při vytváření pravidel zabezpečení. Zadáním názvu značky služby (například ServiceBus) do příslušného zdrojového nebo cílového pole pravidla můžete povolit nebo odepřít provoz pro příslušnou službu.
| Značka služby | Účel | Může používat příchozí nebo odchozí provoz? | Může být regionální? | Může se používat se službou Azure Firewall? |
|---|---|---|---|---|
| ServiceBus | Provoz služby Azure Service Bus, který používá úroveň služby Premium. | Odchozí | Ano | Ano |
Poznámka:
Značky služeb můžete použít jenom pro obory názvů Premium . Pokud používáte standardní obor názvů, použijte místo toho plně kvalifikovaný název <domény oboru názvů ve formě contoso.servicebus.windows.net>. Případně můžete použít IP adresu, kterou uvidíte při spuštění následujícího příkazu: nslookup <host name for the namespace>toto se ale nedoporučuje ani nepodporuje a budete muset sledovat změny IP adres.
Brána firewall IP
Ve výchozím nastavení jsou obory názvů služby Service Bus přístupné z internetu, pokud je požadavek dodáván s platným ověřováním a autorizací. S bránou firewall protokolu IP ji můžete dál omezit jenom na sadu IPv4 adres nebo rozsahů IPv4 v zápisu CIDR (classless Inter-Domain Routing).
Tato funkce je užitečná ve scénářích, ve kterých by služba Azure Service Bus měla být přístupná jenom z určitých dobře známých webů. Pravidla brány firewall umožňují nakonfigurovat pravidla pro příjem provozu pocházejícího z konkrétních adres IPv4. Pokud například používáte Service Bus se službou Azure Express Route, můžete vytvořit pravidlo brány firewall, které povolí provoz jenom z IP adres nebo adres místní infrastruktury nebo adres podnikové brány NAT.
Pravidla brány firewall protokolu IP se použijí na úrovni oboru názvů služby Service Bus. Pravidla se proto vztahují na všechna připojení z klientů pomocí libovolného podporovaného protokolu. Jakýkoli pokus o připojení z IP adresy, která neodpovídá povolenému pravidlu IP adresy v oboru názvů služby Service Bus, se odmítne jako neautorizováno. Odpověď nezmíní pravidlo IP adresy. Pravidla filtru IP adres se použijí v pořadí a první pravidlo, které odpovídá IP adrese, určuje akci přijetí nebo odmítnutí.
Další informace najdete v tématu Konfigurace brány firewall protokolu IP pro obor názvů služby Service Bus.
Koncové body síťové služby
Integrace služby Service Bus s koncovými body služby Virtual Network (VNet) umožňuje zabezpečený přístup k funkcím zasílání zpráv z úloh, jako jsou virtuální počítače vázané na virtuální sítě, přičemž cesta síťového provozu je zabezpečená na obou koncích.
Jakmile je nakonfigurovaná tak, aby byla vázána na alespoň jeden koncový bod služby podsítě virtuální sítě, příslušný obor názvů služby Service Bus už nebude přijímat provoz odkudkoli, ale z autorizovaných virtuálních sítí. Z hlediska virtuální sítě vazba oboru názvů služby Service Bus ke koncovému bodu služby nakonfiguruje izolovaný síťový tunel z podsítě virtuální sítě ke službě zasílání zpráv.
Výsledkem je privátní a izolovaný vztah mezi úlohami vázanými na podsíť a příslušným oborem názvů služby Service Bus, a to i přes pozorovatelnou síťovou adresu koncového bodu služby zasílání zpráv v rozsahu veřejných IP adres.
Důležité
Virtuální sítě se podporují jenom v oborech názvů služby Service Bus úrovně Premium.
Pokud používáte koncové body služby virtuální sítě se službou Service Bus, neměli byste tyto koncové body povolit v aplikacích, které kombinují obory názvů Service Bus úrovně Standard a Premium. Protože úroveň Standard nepodporuje virtuální sítě. Koncový bod je omezen pouze na obory názvů úrovně Premium.
Pokročilé scénáře zabezpečení povolené integrací virtuální sítě
Řešení, která vyžadují těsné a rozdělené zabezpečení a kde podsítě virtuální sítě poskytují segmentaci mezi odděleními služeb, obecně potřebují komunikační cesty mezi službami umístěnými v těchto oddílech.
Jakákoli okamžitá trasa IP mezi oddíly, včetně těch, které přenášejí protokol HTTPS přes protokol TCP/IP, nese riziko zneužití ohrožení zabezpečení ze síťové vrstvy vzhůru. Služby zasílání zpráv poskytují zcela izolované komunikační cesty, kde se zprávy při přechodu mezi stranami dokonce zapisují na disk. Úlohy ve dvou různých virtuálních sítích, které jsou obě vázané na stejnou instanci služby Service Bus, můžou efektivně a spolehlivě komunikovat prostřednictvím zpráv, zatímco příslušná integrita hranice izolace sítě je zachována.
To znamená, že vaše cloudová řešení citlivá na zabezpečení nejen získávají přístup k špičkovým a škálovatelným funkcím asynchronního zasílání zpráv v Azure, ale teď můžou používat zasílání zpráv k vytváření komunikačních cest mezi zabezpečenými prostory řešení, které jsou ze své podstaty bezpečnější než to, co je dosažitelné s jakýmkoli komunikačním režimem peer-to-peer, včetně protokolů HTTPS a dalších protokolů soketů zabezpečených protokolem TLS.
Vytvoření vazby služby Service Bus k virtuálním sítím
Pravidla virtuální sítě jsou funkce zabezpečení brány firewall, která řídí, jestli server Služby Azure Service Bus přijímá připojení z konkrétní podsítě virtuální sítě.
Vytvoření vazby oboru názvů služby Service Bus k virtuální síti je dvoustupňový proces. Nejprve musíte vytvořit koncový bod služby virtuální sítě v podsíti virtuální sítě a povolit ho pro Microsoft.ServiceBus, jak je vysvětleno v přehledu koncového bodu služby. Po přidání koncového bodu služby svážete obor názvů služby Service Bus s pravidlem virtuální sítě.
Pravidlo virtuální sítě je přidružení oboru názvů služby Service Bus k podsíti virtuální sítě. I když pravidlo existuje, mají všechny úlohy vázané na podsíť udělený přístup k oboru názvů služby Service Bus. Služba Service Bus sama nikdy nenavazuje odchozí připojení, nepotřebuje získat přístup a proto nikdy neuděluje přístup k vaší podsíti povolením tohoto pravidla.
Další informace najdete v tématu Konfigurace koncových bodů služby virtuální sítě pro obor názvů služby Service Bus.
Privátní koncové body
Služba Azure Private Link umožňuje přístup ke službám Azure (například Azure Service Bus, Azure Storage a Azure Cosmos DB) a službám hostovaným zákazníkům nebo partnerům Azure přes privátní koncový bod ve vaší virtuální síti.
Privátní koncový bod je síťové rozhraní, které vás privátně a zabezpečeně připojí ke službám využívajícím službu Azure Private Link. Privátní koncový bod využívá privátní IP adresu z vaší virtuální sítě, čímž je služba efektivně začleněna do vaší virtuální sítě. Veškeré přenosy do služby lze směrovat přes privátní koncový bod, takže nejsou potřeba žádné brány, zařízení NAT, připojení ExpressRoute nebo VPN ani veřejné IP adresy. Provoz mezi vaší virtuální sítí a službou prochází přes páteřní síť Microsoftu a eliminuje rizika vystavení na veřejném internetu. Můžete se připojit k instanci prostředku Azure a získat tak nejvyšší úroveň členitosti řízení přístupu.
Další informace najdete v tématu Co je Azure Private Link?
Poznámka:
Tato funkce je podporovaná s úrovní Premium služby Azure Service Bus. Další informace o úrovni Premium najdete v článku o úrovních zasílání zpráv Service Bus Premium a Standard.
Další informace najdete v tématu Konfigurace privátních koncových bodů pro obor názvů služby Service Bus.
Další kroky
Podívejte se na následující články: