Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird beschrieben, wie Sie die folgenden Sicherheitsfeatures mit Azure Service Bus verwenden:
- Diensttags
- IP-Firewallregeln
- Netzwerkdienstendpunkte
- Private Endpunkte
Diensttags
Ein Diensttag steht für eine Gruppe von IP-Adresspräfixen aus einem bestimmten Azure-Dienst. Microsoft verwaltet die von dem Dienst-Tag umfassten Adresspräfixe und aktualisiert das Dienst-Tag automatisch, wenn sich die Adressen ändern, wodurch die Komplexität häufiger Aktualisierungen der Netzwerksicherheitsregeln reduziert wird. Weitere Informationen zu Diensttags finden Sie unter Diensttags: Übersicht.
Sie können Diensttags verwenden, um Netzwerkzugriffssteuerungen in Netzwerksicherheitsgruppen oder in der Azure Firewall zu definieren. Verwenden Sie Diensttags anstelle von spezifischen IP-Adressen, wenn Sie Sicherheitsregeln erstellen. Durch Angeben des Diensttagnamens (z. B. ServiceBus) im entsprechenden Quell - oder Zielfeld einer Regel können Sie den Datenverkehr für den entsprechenden Dienst zulassen oder verweigern.
| Diensttag | Zweck | Eingehend oder ausgehend möglich? | Kann es regional sein? | Einsatz mit Azure Firewall möglich? |
|---|---|---|---|---|
| ServiceBus | Azure Service Bus-Datenverkehr. | Ausgehend | Ja | Ja |
Hinweis
Zuvor enthielten Service Bus-Diensttags nur die IP-Adressen von Namespaces in der Premium-SKU. Dies wurde jetzt aktualisiert, um die IP-Adressen aller Namespaces unabhängig von der SKU einzuschließen.
IP-Firewall
Standardmäßig sind Service Bus-Namespaces über das Internet zugänglich, solange die Anforderung mit gültiger Authentifizierung und Autorisierung ausgestattet ist. Mit der IP-Firewall können Sie den Zugriff auf eine Gruppe von IPv4-Adressen oder IPv4-Adressbereichen in der CIDR-Notation (Classless Inter-Domain Routing) weiter einschränken.
Diese Funktion ist in Szenarien hilfreich, in denen Azure Service Bus nur von bestimmten bekannten Websites aus zugänglich sein soll. Mithilfe von Firewallregeln können Sie Regeln konfigurieren, um Datenverkehr von bestimmten IPv4-Adressen zuzulassen. Wenn Sie Service Bus mit Azure ExpressRoute verwenden, können Sie beispielsweise eine Firewallregel erstellen, um nur Datenverkehr von den IP-Adressen Ihrer lokalen Infrastruktur oder von Adressen eines unternehmenseigenen NAT-Gateways zuzulassen.
Die IP-Firewallregeln werden auf der Service Bus-Namespaceebene angewendet. Daher gelten die Regeln für alle Clientverbindungen mit einem beliebigen unterstützten Protokoll. Jeder Verbindungsversuch über eine IP-Adresse, die nicht mit einer IP-Zulassungsregel im Service Bus-Namespace übereinstimmt, wird als nicht autorisiert abgelehnt. In der Antwort wird die IP-Regel nicht erwähnt. IP-Filterregeln werden der Reihe nach angewendet, und die erste Regel, die eine Übereinstimmung mit der IP-Adresse ergibt, bestimmt die Aktion (Zulassen oder Ablehnen).
Weitere Informationen finden Sie unter Konfigurieren der IP-Firewall für einen Service Bus-Namespace
Netzwerkdienstendpunkte
Die Integration von Service Bus mit VNet-Dienstendpunkten (Virtual Network) ermöglicht sicheren Zugriff auf Messagingfunktionen von Workloads wie virtuellen Computern, die an virtuelle Netzwerke gebunden sind, wobei der Netzwerkdatenverkehrpfad auf beiden Enden gesichert wird.
Nach der Konfiguration, die an mindestens einen Subnetzendpunkt eines virtuellen Netzwerks gebunden ist, akzeptiert der entsprechende Service Bus-Namespace keinen Datenverkehr mehr von beliebigen Quellen, sondern nur von autorisierten virtuellen Netzwerken. Aus Sicht des virtuellen Netzwerks wird durch die Bindung eines Service Bus-Namespace an einen Dienstendpunkt ein isolierter Netzwerktunnel vom Subnetz des virtuellen Netzwerks zum Messagingdienst konfiguriert.
Das Ergebnis ist eine private und isolierte Beziehung zwischen den Workloads, die an das Subnetz gebunden sind, und dem entsprechenden Service Bus-Namespace, obwohl sich die beobachtbare Netzwerkadresse des Messaging-Dienstendpunkts in einem öffentlichen IP-Bereich befindet.
Wichtig
Virtuelle Netzwerke werden nur in Service Bus-Namespaces im Tarif Premium unterstützt.
Wenn Sie VNet-Dienstendpunkte mit Service Bus verwenden, sollten Sie diese Endpunkte nicht in Anwendungen aktivieren, die Standard- und Premium-Dienstbus-Namespaces kombinieren. Da die Standardebene VNets nicht unterstützt. Der Endpunkt ist nur auf Namespaces im Premium-Tarif beschränkt.
Erweiterte Sicherheitsszenarien, die durch die VNet-Integration aktiviert sind
Lösungen, für die eine strikte und auf mehrere Bereiche aufgeteilte Sicherheit erforderlich ist und bei denen die VNET-Subnetze die Segmentierung zwischen den einzelnen aufgeteilten Diensten bereitstellen, benötigen im Allgemeinen weiterhin Kommunikationspfade zwischen den Diensten, die sich in diesen Bereichen befinden.
Bei allen direkten IP-Routen zwischen den Bereichen, einschließlich derer, die HTTPS über TCP/IP übertragen, besteht das Risiko, dass Sicherheitslücken von der Netzwerkschicht aufwärts ausgenutzt werden. Messaging-Dienste bieten vollständig isolierte Kommunikationspfade, bei denen Nachrichten während des Übergangs zwischen Parteien sogar auf den Datenträger geschrieben werden. Workloads in zwei einzelnen virtuellen Netzwerken, die beide an dieselbe Service Bus-Instanz gebunden sind, können über Nachrichten effizient und zuverlässig kommunizieren, während die Integrität der jeweiligen Netzwerkisolationsgrenze aufrechterhalten wird.
Dies bedeutet, dass Ihre sicherheitsrelevanten Cloudlösungen nicht nur Zugriff auf zuverlässige und skalierbare Azure-Funktionen für asynchrones Messaging eines Branchenführers haben, sondern dass das Messaging jetzt auch genutzt werden kann, um Kommunikationspfade zwischen sicheren Lösungsbereichen zu erstellen. Diese sind deutlich sicherer als alle Optionen des Peer-to-Peer-Kommunikationsmodus, einschließlich HTTPS und andere per TLS geschützte Socketprotokolle.
Binden des Service-Bus an virtuelle Netzwerke
VNET-Regeln sind das Feature für die Firewallsicherheit, mit dem gesteuert wird, ob Ihr Azure Service Bus-Server Verbindungen eines bestimmten VNET-Subnetzes akzeptiert.
Das Binden eines Service Bus-Namespace an ein virtuelles Netzwerk ist ein Prozess mit zwei Schritten. Zunächst müssen Sie einen VNET-Dienstendpunkt in einem Virtual Network-Subnetz erstellen und für Microsoft.ServiceBus aktivieren, wie unter Übersicht über Dienstendpunkte beschrieben. Nachdem Sie den Dienstendpunkt hinzugefügt haben, binden Sie den ServiceBus-Namespace mit einer virtuellen Netzwerkregel an ihn.
Die VNET-Regel ist eine Zuordnung des Service Bus-Namespace zu einem Subnetz eines virtuellen Netzwerks. Während die Regel vorhanden ist, wird allen Workloads, die an das Subnetz gebunden sind, Zugriff auf den Service Bus-Namespace gewährt. Service Bus stellt selbst niemals ausgehende Verbindungen her, muss keinen Zugriff erhalten und erhält daher niemals Zugriff auf Ihr Subnetz, indem diese Regel aktiviert wird.
Weitere Informationen finden Sie unter Konfigurieren von Endpunkten des virtuellen Netzwerks für einen ServiceBus-Namespace
Private Endpunkte
Mit Azure Private Link können Sie über einen privaten Endpunkt in Ihrem virtuellen Netzwerk auf Azure-Dienste wie Azure Service Bus, Azure Storage und Azure Cosmos DB sowie auf in Azure gehostete Kunden-/Partnerdienste zugreifen.
Ein privater Endpunkt ist eine Netzwerkschnittstelle, die Sie privat und sicher mit einem von Azure Private Link betriebenen Dienst verbindet. Der private Endpunkt verwendet eine private IP-Adresse aus Ihrem VNet und bringt den Dienst effektiv in Ihr VNet ein. Der gesamte für den Dienst bestimmte Datenverkehr kann über den privaten Endpunkt geleitet werden. Es sind also keine Gateways, NAT-Geräte, ExpressRoute-/VPN-Verbindungen oder öffentlichen IP-Adressen erforderlich. Datenverkehr zwischen Ihrem virtuellen Netzwerk und dem Dienst durchläuft über das Microsoft-Backbone-Netzwerk, wodurch die Gefährdung durch das öffentliche Internet eliminiert wird. Sie können eine Verbindung mit einer Instanz einer Azure-Ressource herstellen, sodass Sie die höchste Granularität bei der Zugriffssteuerung erhalten.
Weitere Informationen finden Sie unter Was ist Azure Private Link?.
Hinweis
Dieses Feature wird mit dem Tarif Premium von Azure Service Bus unterstützt. Weitere Informationen zum Premium-Tarif finden Sie im Artikel Service Bus Premium- und Standard-Tarif für Messaging.
Weitere Informationen finden Sie unter Konfigurieren privater Endpunkte für einen Service Bus-Namespace
Nächste Schritte
Weitere Informationen finden Sie in folgenden Artikeln: