Protección del acceso de red a servicios PaaS mediante puntos de conexión de servicio de red virtual
Ha migrado la aplicación existente y los servidores de bases de datos del sistema de ERP a Azure como máquinas virtuales. Ahora, para reducir los costos y los requisitos administrativos, está planteándose la posibilidad de usar algunos servicios de plataforma como servicio (PaaS) de Azure. Los servicios de almacenamiento contendrán algunos recursos de archivos grandes, como diagramas de ingeniería. Estos diagramas de ingeniería tienen información de su propiedad y deben permanecer protegidos frente a accesos no autorizados. Estos archivos solo deben ser accesibles desde sistemas específicos.
En esta unidad, verá cómo se pueden usar los puntos de conexión de servicio de red virtual para proteger servicios de Azure admitidos.
Puntos de conexión de servicio de red virtual
Use los puntos de conexión de servicio de red virtual para ampliar el espacio de direcciones privadas en Azure proporcionando una conexión directa a los servicios de Azure. Los puntos de conexión de servicio solo permiten proteger los recursos de Azure en la rede virtual. El tráfico del servicio permanecerá en la red troncal de Azure y no pasa a Internet.
De forma predeterminada, todos los servicios de Azure están diseñados para el acceso directo a Internet. Todos los recursos de Azure tienen direcciones IP públicas, incluidos los servicios PaaS como Azure SQL Database y Azure Storage. Como estos servicios se exponen a Internet, cualquiera puede acceder a los servicios de Azure.
Los puntos de conexión de servicio pueden conectar determinados servicios PaaS directamente al espacio de direcciones privado de Azure, por lo que actúan como si estuvieran en la misma red virtual. Use el espacio de direcciones privado para acceder directamente a los servicios PaaS. La incorporación de puntos de conexión de servicio no quita el punto de conexión público. Simplemente proporciona un redireccionamiento del tráfico.
Los puntos de conexión de servicio de Azure están disponibles para muchos servicios, como los siguientes:
- Azure Storage
- Azure SQL Database
- Azure Cosmos DB
- Azure Key Vault
- Azure Service Bus
- Azure Data Lake
Para un servicio como SQL Database, al que no se puede acceder hasta que se agreguen direcciones IP al firewall, debe seguir teniendo en cuenta los puntos de conexión de servicio como una posibilidad. El uso de un punto de conexión de servicio para SQL Database restringe el acceso a redes virtuales específicas, lo que proporciona mayor aislamiento y reduce la superficie expuesta a ataques.
Funcionamiento de los puntos de conexión de servicio
Para habilitar un punto de conexión de servicio, debe:
- Desactivar el acceso público al servicio.
- Agregar el punto de conexión de servicio a una red virtual.
Cuando se habilita un punto de conexión de servicio, se restringe el flujo de tráfico y se permite que las máquinas virtuales de Azure accedan directamente al servicio desde el espacio de direcciones privado. Los dispositivos no pueden acceder al servicio desde una red pública. En una vNIC de máquina virtual implementada, si examina Rutas eficaces, verá el punto de conexión de servicio como Tipo del próximo salto.
Esta es una tabla de rutas de ejemplo, antes de habilitar un punto de conexión de servicio:
| ORIGEN | ESTADO | PREFIJOS DE DIRECCIÓN | TIPO DEL PRÓXIMO SALTO |
|---|---|---|---|
| Predeterminado | Activo | 10.1.1.0/24 | VNet |
| Predeterminado | Activo | 0.0.0.0./0 | Internet |
| Valor predeterminado | Activo | 10.0.0.0/8 | None |
| Valor predeterminado | Activo | 100.64.0.0./10 | Ninguno |
| Valor predeterminado | Activo | 192.168.0.0/16 | None |
Y esta es una tabla de rutas de ejemplo después de agregar dos puntos de conexión de servicio a la red virtual:
| ORIGEN | ESTADO | PREFIJOS DE DIRECCIÓN | TIPO DEL PRÓXIMO SALTO |
|---|---|---|---|
| Predeterminado | Activo | 10.1.1.0/24 | VNet |
| Predeterminado | Activo | 0.0.0.0./0 | Internet |
| Valor predeterminado | Activo | 10.0.0.0/8 | None |
| Valor predeterminado | Activo | 100.64.0.0./10 | Ninguno |
| Valor predeterminado | Activo | 192.168.0.0/16 | None |
| Valor predeterminado | Activo | 20.38.106.0/23, 10 más | VirtualNetworkServiceEndpoint |
| Predeterminado | Activo | 20.150.2.0/23, 9 más | VirtualNetworkServiceEndpoint |
Ahora, todo el tráfico del servicio se enruta a VirtualNetworkServiceEndpoint y sigue siendo interno en Azure.
Puntos de conexión de servicio y redes híbridas
De forma predeterminada, los recursos de servicio que se han protegido mediante puntos de conexión de servicio de red virtual no son accesibles desde redes locales. Para acceder a los recursos desde una red local, use direcciones IP de NAT. Si usa ExpressRoute para la conectividad desde el entorno local a Azure, tiene que identificar las direcciones IP de NAT que ExpressRoute usa. De forma predeterminada, en cada circuito se usan dos direcciones IP de NAT para conectarse a la red troncal de Azure. Después, tendrá que agregar estas direcciones IP a la configuración del firewall IP del recurso de servicio de Azure (por ejemplo, Azure Storage).
En el siguiente diagrama se muestra cómo usar una configuración de punto de conexión de servicio y firewall para permitir que los dispositivos locales accedan a los recursos de Azure Storage:
