Note
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de changer d’annuaire.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de changer d’annuaire.
Cet article explique comment utiliser les fonctionnalités de sécurité suivantes avec Azure Event Hubs :
- Balises de service
- Règles de pare-feu IP
- Points de terminaison de service réseau
- Points de terminaison privés
Balises de service
Une étiquette de service représente un groupe de préfixes d’adresses IP d’un service Azure donné. Microsoft gère les préfixes d’adresses englobés par l’étiquette de service et met à jour automatiquement l’étiquette de service quand les adresses changent, ce qui réduit la complexité des mises à jour fréquentes relatives aux règles de sécurité réseau. Pour plus d’informations sur les étiquettes de service, consultez Vue d’ensemble des balises de service.
Vous pouvez utiliser des étiquettes de service pour définir des contrôles d’accès réseau sur des groupes de sécurité réseau ou sur le pare-feu Azure. Utilisez des étiquettes de service à la place des adresses IP spécifiques lors de la création de règles de sécurité. En spécifiant le nom de l’étiquette de service (par exemple) EventHubdans le champ source ou de destination approprié d’une règle, vous pouvez autoriser ou refuser le trafic pour le service correspondant.
| Identifiant de service | Objectif | Peut-elle utiliser le trafic entrant ou sortant ? | Peut-elle être étendue à une zone régionale ? | Peut-elle être utilisée avec le Pare-feu Azure ? |
|---|---|---|---|---|
EventHub |
Azure Event Hubs. | Sortant | Oui | Oui |
Pare-feu IP
Par défaut, les espaces de noms Event Hubs sont accessibles depuis Internet à condition que la requête soit accompagnée d'une authentification et d'une autorisation valides. Avec le pare-feu IP, vous pouvez le restreindre davantage à un ensemble d'adresses IPv4 ou IPv6 ou à des plages d'adresses en notation CIDR (Classless Inter-Domain Routing).
Cette fonctionnalité est utile dans les scénarios dans lesquels Azure Event Hubs ne doit être accessible qu’à partir de certains sites connus. Les règles de pare-feu vous permettent de configurer des règles pour accepter le trafic provenant d’adresses IPv4 ou IPv6 spécifiques. Par exemple, si vous utilisez Event Hubs avec Azure Express Route, vous pouvez créer une règle de pare-feu pour autoriser le trafic à partir de vos adresses IP d’infrastructure locales uniquement.
Les règles de pare-feu IP sont appliquées au niveau de l’espace de noms Event Hubs. Par conséquent, les règles s’appliquent à toutes les connexions de clients utilisant un protocole pris en charge. Toute tentative de connexion à partir d’une adresse IP qui ne correspond pas à une règle IP autorisée dans l’espace de noms Event Hubs est rejetée comme étant non autorisée. La réponse ne mentionne pas la règle IP. Les règles de filtre IP sont appliquées dans l’ordre et la première règle qui correspond à l’adresse IP détermine l’action d’acceptation ou de rejet.
Pour plus d’informations, consultez Guide pratique pour configurer un pare-feu IP pour un hub d’événements.
Points de terminaison de service réseau
L’intégration d’Event Hubs à des points de terminaison de service de réseau virtuel (réseau virtuel) permet un accès sécurisé aux fonctionnalités de messagerie à partir de charges de travail telles que les machines virtuelles liées aux réseaux virtuels, avec le chemin du trafic réseau sécurisé aux deux extrémités.
Une fois configuré pour être lié à au moins un point de terminaison de service de sous-réseau de réseau virtuel, l'espace de noms Event Hubs respectif n'accepte plus le trafic que depuis les sous-réseaux autorisés au sein des réseaux virtuels. Du point de vue du réseau virtuel, la liaison d’un espace de noms Event Hubs à un point de terminaison de service configure un tunnel réseau isolé du sous-réseau de réseau virtuel au service de messagerie.
Il en résulte une relation privée et isolée entre les charges de travail liées au sous-réseau et l’espace de noms Event Hubs respectif, et ce malgré le fait que l’adresse réseau observable du point de terminaison du service de messagerie figure dans une plage d’adresses IP publique. Toutefois, il existe une exception à ce comportement. Lorsque vous activez un point de terminaison de service, par défaut, le service active la denyall règle dans le pare-feu IP associé au réseau virtuel. Vous pouvez ajouter des adresses IP spécifiques dans le pare-feu IP pour activer l’accès au point de terminaison public Event Hubs.
Important
Cette fonctionnalité n’est pas prise en charge dans le niveau De base.
Scénarios de sécurité avancés pris en charge par l’intégration au réseau virtuel
Les solutions qui nécessitent une sécurité étroite et compartimentée et où les sous-réseaux de réseau virtuel fournissent la segmentation entre les services compartimentés, nécessitent toujours des chemins de communication entre les services résidant dans ces compartiments.
Toute route IP immédiate entre les compartiments, notamment celles acheminant le trafic HTTPS sur TCP/IP, comporte un risque d’exploitation des vulnérabilités émanant de la couche réseau. Les services de messagerie fournissent des chemins de communication isolés, les messages étant même écrits sur disque à mesure qu’ils passent d’une partie à une autre. Les charges de travail dans deux réseaux virtuels distincts qui sont tous deux liés à la même instance Event Hubs peuvent communiquer efficacement et de manière fiable via des messages, tandis que l’intégrité des limites d’isolation réseau respective est conservée.
Vos solutions cloud sensibles en matière de sécurité accèdent donc aux fonctionnalités de messagerie asynchrones de pointe d’Azure qui allient fiabilité et scalabilité. Vos solutions peuvent désormais utiliser la messagerie pour créer des chemins de communication entre des compartiments de solution sécurisés, ce qui offre intrinsèquement une meilleure sécurité que n’importe quel mode de communication pair à pair (notamment HTTPS et d’autres protocoles de sockets sécurisés par TLS).
Lier des hubs d’événements à des réseaux virtuels
Les règles de réseau virtuel sont la fonctionnalité de sécurité du pare-feu qui contrôle si votre espace de noms Azure Event Hubs accepte les connexions à partir d’un sous-réseau de réseau virtuel particulier.
La liaison d’un espace de noms Event Hubs à un réseau virtuel est un processus en deux étapes. Vous devez d’abord créer un point de terminaison de service de réseau virtuel sur le sous-réseau d’un réseau virtuel et l’activer pour Microsoft.EventHub , comme expliqué dans l’article de vue d’ensemble du point de terminaison de service . Une fois que vous avez ajouté le point de terminaison de service, vous liez l’espace de noms Event Hubs à celui-ci avec une règle de réseau virtuel.
La règle de réseau virtuel est une association de l’espace de noms Event Hubs avec un sous-réseau de réseau virtuel. Bien que la règle existe, toutes les charges de travail liées au sous-réseau sont autorisées à accéder à l’espace de noms Event Hubs. Event Hubs lui-même n’établit jamais de connexions sortantes, n’a pas besoin d’accéder à votre sous-réseau, et n’obtient donc jamais l’accès en activant cette règle.
Pour plus d’informations, consultez Comment configurer des points de terminaison de service de réseau virtuel pour un hub d’événements.
Points de terminaison privés
Le service Azure Private Link vous permet d’accéder aux services Azure (par exemple, Azure Event Hubs, Stockage Azure et Azure Cosmos DB) et aux services clients/partenaires hébergés par Azure sur un point de terminaison privé dans votre réseau virtuel.
Un point de terminaison privé est une interface réseau qui vous permet de vous connecter de façon privée et sécurisée à un service basé sur Azure Private Link. Le point de terminaison privé utilise une adresse IP privée de votre réseau virtuel, plaçant de fait le service dans votre réseau virtuel. Sachant que l’ensemble du trafic à destination du service peut être routé via le point de terminaison privé, il n’y a aucun besoin de passerelles, d’appareils NAT, de connexions ExpressRoute ou VPN ou d’adresses IP publiques. Le trafic entre votre réseau virtuel et le service transite par le réseau principal de Microsoft, éliminant ainsi toute exposition à l’Internet public. Vous pouvez vous connecter à une instance d’une ressource Azure, ce qui vous donne le niveau de granularité le plus élevé dans le contrôle d’accès.
Important
Cette fonctionnalité n’est pas prise en charge dans le niveau De base.
Pour plus d’informations, consultez Comment configurer des points de terminaison privés pour un hub d’événements.
Étapes suivantes
Voir les articles suivants :