Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se describe cómo usar características de seguridad con Azure Service Bus.
Etiquetas de servicio
Una etiqueta de servicio representa un grupo de prefijos de direcciones IP de un servicio de Azure. Microsoft administra los prefijos de direcciones que la etiqueta de servicio incluye y actualiza automáticamente dicha etiqueta a medida que las direcciones cambian. Esta administración minimiza la complejidad de las actualizaciones frecuentes de las reglas de seguridad de red. Para obtener más información sobre las etiquetas de servicio, consulte Descripción general de las etiquetas de servicio de Azure para la seguridad de redes virtuales.
Use etiquetas de servicio para definir controles de acceso de red en grupos de seguridad de red o Azure Firewall. Utilice etiquetas de servicio en lugar de direcciones IP específicas al crear reglas de seguridad. Al especificar el nombre de etiqueta de servicio (por ejemplo, ServiceBus) en el campo de origen o destino adecuado de una regla, puede permitir o denegar el tráfico para el servicio correspondiente.
En el contexto de las etiquetas de servicio, el término saliente hace referencia al tráfico que sale de una red virtual de Azure. Este tráfico representa el tráfico entrante a Service Bus. En otras palabras, la etiqueta de servicio contiene las direcciones IP que se usan para el tráfico que fluye hacia Service Bus desde la red virtual.
| Etiqueta de servicio | Propósito | ¿Se puede usar para tráfico entrante o saliente? | ¿Puede ser regional? | ¿Se puede usar con Azure Firewall? |
|---|---|---|---|---|
ServiceBus |
Tráfico de Azure Service Bus | Salida | Sí | Sí |
Nota:
Anteriormente, las etiquetas de servicio de Service Bus solo incluían las direcciones IP de los espacios de nombres en el nivel Premium. Ahora incluyen las direcciones IP de todos los espacios de nombres, independientemente del nivel.
Reglas de cortafuegos de IP
De forma predeterminada, los usuarios pueden acceder a los espacios de nombres de Service Bus desde Internet siempre que la solicitud tenga autenticación y autorización válidas. Mediante el firewall de IP, puede restringir el acceso solo a un conjunto específico de direcciones IPv4 o intervalos de direcciones IPv4 en notación CIDR (enrutamiento entre dominios sin clase).
Esta característica es útil en escenarios en los que Azure Service Bus solo debe ser accesible desde determinados sitios conocidos. Puede usar reglas de firewall para configurar reglas para aceptar el tráfico que se origina en direcciones IPv4 específicas. Por ejemplo, si usa Service Bus con Azure ExpressRoute, puede crear una regla de firewall para permitir el tráfico solo desde las direcciones IP de la infraestructura local o las direcciones de una puerta de enlace NAT corporativa.
El espacio de nombres de Service Bus aplica las reglas de firewall de IP. Las reglas se aplican a todas las conexiones de los clientes que usan cualquier protocolo compatible. El espacio de nombres de Service Bus rechaza cualquier intento de conexión de una dirección IP que no coincida con una regla IP permitida como no autorizada. La respuesta no menciona la regla IP. Las reglas de filtro IP se aplican en orden y la primera regla que coincide con la dirección IP determina la aceptación o el rechazo.
Para obtener más información, consulte Configuración de un firewall de IP para un espacio de nombres existente.
Puntos de conexión de servicio de red
Al integrar Service Bus con puntos de conexión de servicio de red virtual, puede acceder de forma segura a las funcionalidades de mensajería desde cargas de trabajo como máquinas virtuales enlazadas a redes virtuales. La ruta de acceso de tráfico de red está protegida en ambos extremos.
Al configurar un espacio de nombres de Service Bus para que esté enlazado a al menos un punto de conexión de servicio para una subred de red virtual, el espacio de nombres de Service Bus ya no acepta tráfico desde ningún lugar, sino redes virtuales autorizadas. Desde la perspectiva de la red virtual, la asignación de un namespace de Service Bus a un punto de conexión de servicio configura un túnel de red aislado desde la subred de la red virtual hasta el servicio de mensajería.
El resultado es una relación privada y aislada entre las cargas de trabajo enlazadas a la subred y el espacio de nombres correspondiente de Service Bus, aunque la dirección de red observable del punto de conexión de servicio de mensajería esté en un intervalo IP público.
Importante
Las redes virtuales solo se admiten en espacios de nombres de Service Bus de nivel Premium .
Al usar puntos de conexión de servicio de red virtual con Service Bus, no habilite estos puntos de conexión en aplicaciones que combinen espacios de nombres de Service Bus de nivel Estándar y Premium. Dado que el nivel Estándar no admite redes virtuales, los puntos de conexión solo están restringidos a espacios de nombres de nivel Premium.
Escenarios de seguridad avanzada para la integración de red virtual
Las soluciones que requieren una seguridad estrecha y compartimentada, y donde las subredes de red virtual proporcionan la segmentación entre los servicios compartimentados, por lo general todavía necesitan rutas de comunicación entre esos servicios.
Cualquier ruta IP inmediata entre los compartimientos, incluidas las que llevan HTTPS a través de TCP/IP, conlleva el riesgo de aprovechar vulnerabilidades de la capa de red y capas superiores. Los servicios de mensajería proporcionan rutas de comunicación completamente aisladas, donde los mensajes se escriben incluso en el disco a medida que pasan entre partes. Las cargas de trabajo de dos redes virtuales distintas que están enlazadas a la misma instancia de Service Bus pueden comunicarse de forma eficaz y confiable a través de mensajes, a la vez que conservan la integridad del límite de aislamiento de red correspondiente.
Esta mensajería es intrínsecamente más segura que lo que se puede lograr con cualquier modo de comunicación punto a punto, incluidos HTTPS y otros protocolos de socket protegidos por TLS.
Enlace de Service Bus a Virtual Networks
Las reglas de red virtual son una característica de firewall que controla si el servidor de Azure Service Bus acepta las conexiones de una subred determinada de una red virtual.
Enlazar un espacio de nombres de Service Bus a una red virtual es un proceso de dos pasos. En primer lugar, cree un punto de conexión de servicio de red virtual en una subred de red virtual y habilítelo para Microsoft.ServiceBus, como se explica en la descripción general del punto de conexión de servicio. Después de agregar el punto de conexión de servicio, enlace el espacio de nombres de Service Bus a él mediante una regla de red virtual.
La regla de red virtual asocia el espacio de nombres de Service Bus a una subred de red virtual. Mientras exista la regla, todas las cargas de trabajo enlazadas a la subred tendrán acceso al espacio de nombres del Bus de Servicio. Service Bus nunca establece conexiones salientes, no necesita obtener acceso y nunca se le concede acceso a la subred al habilitar esta regla.
Para más información, consulte Permitir el acceso a un espacio de nombres de Azure Service Bus desde redes virtuales específicas.
Puntos de conexión privados
Mediante el servicio Azure Private Link, puede acceder a los servicios de Azure (por ejemplo, Azure Service Bus, Azure Storage y Azure Cosmos DB) y a los servicios de asociados o clientes hospedados en Azure a través de un punto de conexión privado de la red virtual.
Un punto de conexión privado es una interfaz de red que le conecta de forma privada a un servicio relacionado con Azure Private Link. El punto de conexión privado usa una dirección IP privada de la red virtual para incorporar eficazmente el servicio a la red virtual.
Puede enrutar todo el tráfico al servicio a través del punto de conexión privado, por lo que no necesita ninguna puerta de enlace, dispositivos NAT, conexiones ExpressRoute o VPN ni direcciones IP públicas. El tráfico entre la red virtual y el servicio atraviesa la red troncal de Microsoft para eliminar la exposición de la red pública de Internet. Puede conectarse a una instancia de un recurso de Azure para el nivel más alto de granularidad en el control de acceso.
Para obtener más información, consulte ¿Qué es Azure Private Link?.
Nota:
El nivel Premium de Azure Service Bus admite esta característica. Para obtener más información sobre el nivel Premium, consulte el artículo sobre los niveles de mensajería Premium y Estándar de Service Bus.
Para más información, consulte Permitir el acceso a espacios de nombres de Azure Service Bus a través de puntos de conexión privados.
Perímetro de seguridad de red
Otra manera de ayudar a proteger el espacio de nombres de Service Bus es incluirlo en un perímetro de seguridad de red. Un perímetro de seguridad de red establece un límite lógico para los recursos de plataforma como servicio (PaaS). Este límite restringe la comunicación a los recursos dentro del perímetro y controla el acceso público a través de reglas explícitas. Esta técnica puede ser especialmente útil cuando desea establecer un límite de seguridad alrededor de Service Bus y otros recursos de PaaS, como Azure Key Vault.
Para más información, consulte Perímetro de seguridad de red para Azure Service Bus.