Zabezpečení přístupu k síti pro služby PaaS pomocí koncových bodů služby pro virtuální síť
Migrovali jste své existující aplikační a databázové servery pro systém ERP do Azure jako virtuální počítače. Teď zvažujete použití některých služeb Azure PaaS (platforma jako služba) ke snížení nákladů a požadavků na správu. Ve službách Storage se budou ukládat určité velké souborové prostředky, jako jsou třeba projektové diagramy. Tyto technické diagramy mají proprietární informace a musí zůstat zabezpečené před neoprávněným přístupem. Přístup k těmto souborům musí být omezen pouze na určité systémy.
V této lekci se podíváme na to, jak použít koncové body služby pro virtuální síť k zabezpečení podporovaných služeb Azure.
Koncové body služby pro virtuální síť
Koncové body služby pro virtuální síť použijte k rozšíření adresního prostoru privátních adres v Azure prostřednictvím poskytnutí přímého připojení ke službám Azure. Koncové body služby umožňují zabezpečit prostředky Azure pouze ve vaší virtuální síti. Provoz služeb zůstane v páteřní síti Azure a neodešle se mimo ni na internet.
Ve výchozím nastavení jsou všechny služby Azure navrženy pro přímý přístup k internetu. Všechny prostředky Azure mají veřejné IP adresy, včetně služeb PaaS, jako jsou Azure SQL Database a Azure Storage. Vzhledem k tomu, že jsou tyto služby zveřejněny na internetu, může k vašim službám Azure potenciálně přistupovat kdokoli.
Koncové body služby můžou připojit určité služby PaaS přímo k vašemu adresnímu prostoru privátních adres v Azure, takže fungují tak, jako by byly ve stejné virtuální síti. Adresní prostor privátních adres můžete používat pro přímý přístup ke službám PaaS. Přidáním koncových bodů služby nedojde k odebrání veřejného koncového bodu. Dojde pouze k přesměrování provozu.
Koncové body služby Azure jsou dostupné pro řadu služeb, jako například:
- Azure Storage
- Azure SQL Database
- Azure Cosmos DB
- Azure Key Vault
- Azure Service Bus
- Azure Data Lake
U služby, jako je SQL Database, ke které nemáte přístup, dokud nepřidáte IP adresy do brány firewall, byste měli zvážit koncové body služby. Pomocí koncového bodu služby pro SQL Database omezíte přístup k určitým virtuálním sítím a zajistíte větší izolaci a snížíte prostor pro útoky.
Jak fungují koncové body služby
Pokud chcete povolit koncový bod služby, musíte:
- Vypněte veřejný přístup ke službě.
- Přidejte koncový bod služby do virtuální sítě.
Když povolíte koncový bod služby, omezíte tok provozu a povolíte virtuálním počítačům Azure přístup ke službě přímo z vašeho privátního adresního prostoru. Zařízení nemohou ke službě přistupovat z veřejné sítě. Když se na síťové kartě nasazeného virtuálního počítače podíváte na Platné trasy, můžete si všimnout koncového bodu služby jako typu dalšího přesměrování.
Toto je příklad směrovací tabulky před povolením koncového bodu služby:
| ZDROJ | STATE | PŘEDPONY ADRES | TYP DALŠÍHO PŘESMĚROVÁNÍ |
|---|---|---|---|
| Výchozí | Aktivní | 10.1.1.0/24 | Virtuální síť |
| Výchozí | Aktivní | 0.0.0.0./0 | Internet |
| Výchozí | Aktivní | 10.0.0.0/8 | Nic |
| Výchozí | Aktivní | 100.64.0.0./10 | Nic |
| Výchozí | Aktivní | 192.168.0.0/16 | Nic |
A toto je ukázková tabulka směrování po přidání dvou koncových bodů služby do virtuální sítě:
| ZDROJ | STATE | PŘEDPONY ADRES | TYP DALŠÍHO PŘESMĚROVÁNÍ |
|---|---|---|---|
| Výchozí | Aktivní | 10.1.1.0/24 | Virtuální síť |
| Výchozí | Aktivní | 0.0.0.0./0 | Internet |
| Výchozí | Aktivní | 10.0.0.0/8 | Nic |
| Výchozí | Aktivní | 100.64.0.0./10 | Nic |
| Výchozí | Aktivní | 192.168.0.0/16 | Nic |
| Výchozí | Aktivní | 20.38.106.0/23, 10 dalších | Koncový bod služby pro virtuální síť |
| Výchozí | Aktivní | 20.150.2.0/23, 9 dalších | Koncový bod služby pro virtuální síť |
Veškerý provoz pro službu je teď směrován na VirtualNetworkServiceEndpoint a zůstává interní do Azure.
Koncové body služby a hybridní sítě
Prostředky služby, které jste zabezpečili pomocí koncových bodů služby pro virtuální síť, nejsou ve výchozím nastavení přístupné z místních sítí. Pokud chcete k prostředkům přistupovat z místní sítě, použijte IP adresy pro překlad adres (NAT). Pokud pro připojení z místního prostředí do Azure používáte ExpressRoute, musíte identifikovat IP adresy PŘEKLADU adres, které ExpressRoute používá. Ve výchozím nastavení používá každý okruh k připojení k páteřní síti Azure dvě IP adresy pro překlad adres (NAT). Tyto IP adresy pak musíte přidat do konfigurace brány firewall protokolu IP prostředku služby Azure (například Azure Storage).
Následující diagram ukazuje, jak pomocí koncového bodu služby a konfigurace brány firewall povolit místním zařízením přístup k prostředkům služby Azure Storage:
