Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se describe cómo usar las siguientes características de seguridad con Azure Service Bus:
- Etiquetas de servicio
- Reglas de firewall de IP
- Puntos de conexión de servicio de red
- Puntos de conexión privados
Etiquetas de servicio
Una etiqueta de servicio representa un grupo de prefijos de direcciones IP de un servicio de Azure determinado. Microsoft administra los prefijos de direcciones que la etiqueta de servicio incluye y actualiza automáticamente dicha etiqueta a medida que las direcciones cambian, lo que minimiza la complejidad de las actualizaciones frecuentes en las reglas de seguridad de red. Para más información sobre las etiquetas de servicio, consulte Introducción a las etiquetas de servicio.
Puede usar etiquetas de servicio para definir controles de acceso a la red en grupos de seguridad de red o Azure Firewall. Utilice etiquetas de servicio en lugar de direcciones IP específicas al crear reglas de seguridad. Al especificar el nombre de la etiqueta de servicio (por ejemplo, ServiceBus) en el campo de origen o destino adecuado de una regla, puede permitir o denegar el tráfico para el servicio correspondiente.
| Etiqueta de servicio | Propósito | ¿Se puede usar para tráfico entrante o saliente? | ¿Puede ser regional? | ¿Se puede usar con Azure Firewall? |
|---|---|---|---|---|
| Service Bus | Tráfico de Azure Service Bus. | Salida | Sí | Sí |
Nota:
Anteriormente, las etiquetas de servicio de Service Bus solo incluían las direcciones IP de los espacios de nombres en la SKU Premium. Esto se ha actualizado para incluir las direcciones IP de todos los espacios de nombres, independientemente de la SKU.
Firewall de IP
De forma predeterminada, los espacios de nombres de Service Bus son accesibles desde Internet siempre y cuando la solicitud llegue con autenticación y autorización válidas. Con el firewall de IP, puedes restringirlo aún más a solo un conjunto de direcciones o rangos de direcciones IPv4 en notación CIDR (Enrutamiento entre dominios sin clase).
Esta característica es útil en escenarios en los que Azure Service Bus debe ser accesible únicamente desde ciertos sitios conocidos. Las reglas de firewall permiten configurar reglas para aceptar el tráfico procedente de direcciones IPv4 concretas. Por ejemplo, si usa Service Bus con Azure ExpressRoute, puede crear una regla de firewall para permitir el tráfico procedente únicamente de las direcciones IP de la infraestructura local o de las direcciones de una puerta de enlace de NAT corporativa.
Las reglas de firewall de IP se aplican en el nivel de espacio de nombres de Service Bus. Por lo tanto, las reglas se aplican a todas las conexiones de clientes que usan cualquier protocolo admitido. Cualquier intento de conexión desde una dirección IP que no coincida con una regla IP admitida en el espacio de nombres de Service Bus se rechaza como no autorizado. La respuesta no menciona la regla IP. Las reglas de filtro IP se aplican en orden y la primera regla que coincida con la dirección IP determina la acción de aceptar o rechazar.
Para más información, consulte Configuración del firewall de IP para un espacio de nombres de Service Bus.
Puntos de conexión de servicio de red
La integración de Service Bus con puntos de conexión de servicio de red virtual (VNet) permite un acceso seguro a las capacidades de mensajería desde cargas de trabajo, como máquinas virtuales que están conectadas a redes virtuales, asegurando la ruta del tráfico de red en ambos extremos.
Una vez configurado para enlazarse a al menos un punto de conexión de servicio de subred de red virtual, el espacio de nombres correspondiente de Service Bus ya no aceptará tráfico desde ningún lugar, sino redes virtuales autorizadas. Desde la perspectiva de la red virtual, la asignación de un namespace de Service Bus a un punto de conexión de servicio configura un túnel de red aislado desde la subred de la red virtual hasta el servicio de mensajería.
El resultado es una relación privada y aislada entre las cargas de trabajo enlazadas a la subred y el espacio de nombres respectivo de Service Bus, a pesar de que la dirección de red que se puede observar en el punto de conexión de servicio de mensajería esté en un intervalo IP público.
Importante
Solo se admiten redes virtuales en espacios de nombres de Service Bus del nivel Premium.
Al utilizar los puntos de conexión de servicio de la red virtual con Service Bus, no debería habilitar estos puntos de conexión en aplicaciones que combinan espacios de nombres de Service Bus de los niveles Estándar y Premium. Dado que el nivel Estándar no admite redes virtuales, El punto de conexión está restringido solo a los espacios de nombres de nivel Premium.
Escenarios de seguridad avanzada habilitados por la integración con red virtual
En el caso de soluciones que requieren una estricta seguridad compartimentalizada y en las que las subredes de redes virtuales proporcionan la segmentación entre los servicios compartimentalizados, estas siguen necesitando, por lo general, rutas de comunicación entre los servicios que residen en esos compartimientos.
Cualquier ruta IP inmediata entre los compartimientos, incluidos los que transportan HTTPS sobre TCP/IP, conlleva el riesgo de explotación de vulnerabilidades desde la capa de red hacia arriba. Los servicios de mensajería proporcionan rutas de comunicación completamente aisladas, donde los mensajes se escriben incluso en el disco a medida que pasan entre partes. Las cargas de trabajo de dos redes virtuales distintas enlazadas a la misma instancia de Service Bus pueden comunicarse de forma eficaz y confiable mediante mensajes, al tiempo que se preserva la integridad de los respectivos límites de aislamiento de red.
Esto significa que sus soluciones confidenciales en la nube no solo obtienen acceso a las funcionalidades de mensajería asíncrona de Azure (líderes del sector en fiabilidad y escalabilidad), sino que también pueden usar la mensajería para crear rutas de comunicación entre compartimentos seguros de la solución, que son intrínsecamente más seguros de lo que se puede lograr con cualquier otro modo de comunicación entre iguales, incluyendo en protocolo HTTPS y los protocolos de socket protegidos por TLS.
Vincular Service Bus a redes virtuales
Las reglas de red virtual son una característica de firewall que controla si el servidor de Azure Service Bus acepta las conexiones de una subred determinada de una red virtual.
Enlazar un espacio de nombres de Service Bus a una red virtual es un proceso de dos pasos. Primero debe crear un punto de conexión de servicio de red virtual en una subred de red virtual y habilitarlo para Microsoft.ServiceBus, tal como se explicó en la introducción a los puntos de conexión de servicio. Una vez que haya agregado el punto de conexión de servicio, enlazará el espacio de nombres de Service Bus a él con una regla de red virtual.
La regla de red virtual es una asociación del espacio de nombres de Service Bus con una subred de red virtual. Mientras exista la regla, todas las cargas de trabajo enlazadas a la subred tendrán acceso al espacio de nombres del Bus de Servicio. Service Bus no establece nunca por sí mismo conexiones de salida, no necesita obtener acceso y, por tanto, nunca se le concede acceso a la subred habilitando esta regla.
Para más información, consulte Configuración de puntos de conexión de servicio de red virtual para un espacio de nombres de Service Bus
Puntos de conexión privados
El servicio Azure Private Link le permite acceder a los servicios de Azure (por ejemplo, Azure Service Bus, Azure Storage y Azure Cosmos DB) y a los servicios de asociados o clientes hospedados por Azure mediante un punto de conexión privado de la red virtual.
Un punto de conexión privado es una interfaz de red que le conecta de forma privada y segura a un servicio con la tecnología de Azure Private Link. El punto de conexión privado usa una dirección IP privada de la red virtual para incorporar el servicio de manera eficaz a su red virtual. Todo el tráfico dirigido al servicio se puede enrutar mediante el punto de conexión privado, por lo que no se necesita ninguna puerta de enlace, dispositivos NAT, conexiones de ExpressRoute o VPN ni direcciones IP públicas. El tráfico entre la red virtual y el servicio atraviesa la red troncal de Microsoft, eliminando la exposición a la red pública de Internet. Puede conectarse a una instancia de un recurso de Azure, lo que le otorga el nivel más alto de granularidad en el control de acceso.
Para más información, consulte ¿Qué es Azure Private Link?
Nota:
Esta característica es compatible con el nivel premium de Azure Service Bus. Para más información sobre el nivel premium, consulte el artículo Niveles de mensajería Premium y Estándar de Service Bus.
Para más información, consulte Configuración de puntos de conexión privados para un espacio de nombres de Service Bus.
Pasos siguientes
Vea los artículos siguientes: