Az Azure Service Bus hálózati biztonsága
Ez a cikk a következő biztonsági funkciók használatát ismerteti az Azure Service Bus használatával:
- Szolgáltatáscímkék
- IP-tűzfalszabályok
- Hálózati szolgáltatásvégpontok
- Privát végpontok
Szolgáltatáscímkék
A szolgáltatáscímkék egy adott Azure-szolgáltatás IP-címelőtagjainak egy csoportját jelölik. A Microsoft kezeli a szolgáltatáscímke által lefedett címelőtagokat, és automatikusan frissíti a szolgáltatáscímkét a címek változásakor, minimalizálva a hálózati biztonsági szabályok gyakori frissítéseinek összetettségét. A szolgáltatáscímkékről további információt a Szolgáltatáscímkék áttekintése című témakörben talál.
A szolgáltatáscímkék használatával hálózati hozzáférés-vezérlőket határozhat meg a hálózati biztonsági csoportokon vagy az Azure Firewallon. Biztonsági szabályok létrehozása során használjon szolgáltatáscímkéket az egyes IP-címek helyett. Ha megadja a szolgáltatáscímke nevét (például ServiceBus) egy szabály megfelelő forrás - vagy célmezőjében , engedélyezheti vagy letilthatja a megfelelő szolgáltatás forgalmát.
| Szolgáltatáscímke | Cél | Használhat bejövő vagy kimenő elemet? | Lehet regionális? | Használhatja az Azure Firewallt? |
|---|---|---|---|---|
| ServiceBus | A Prémium szolgáltatási szintet használó Azure Service Bus-forgalom. | Kimenő | Igen | Igen |
Feljegyzés
A szolgáltatáscímkéket csak prémium szintű névterekhez használhatja. Ha standard névteret használ, használja inkább a névtér teljes tartománynevét <contoso.servicebus.windows.net> formájában. Másik lehetőségként használhatja azt az IP-címet, amelyet a következő parancs futtatásakor lát: nslookup <host name for the namespace>ez azonban nem ajánlott vagy támogatott, és nyomon kell követnie az IP-címek módosításait.
IP-tűzfal
Alapértelmezés szerint a Service Bus-névterek az internetről is elérhetők, amennyiben a kérés érvényes hitelesítéssel és engedélyezéssel rendelkezik. Az IP-tűzfallal tovább korlátozhatja azt a CIDR (osztály nélküli tartományközi útválasztás) jelölésében szereplő IPv4-címek vagy IPv4-címtartományok halmazára.
Ez a funkció olyan helyzetekben hasznos, amelyekben az Azure Service Busnak csak bizonyos jól ismert helyekről kell elérhetőnek lennie. A tűzfalszabályok lehetővé teszik a szabályok konfigurálását, hogy elfogadják a meghatározott IPv4-címekről származó forgalmat. Ha például a Service Bust az Azure Express Route-nal használja, létrehozhat egy tűzfalszabályt, amely csak a helyszíni infrastruktúra IP-címéről vagy egy vállalati NAT-átjáró címéről engedélyezi a forgalmat.
Az IP-tűzfalszabályok a Service Bus-névtér szintjén vannak alkalmazva. Ezért a szabályok minden támogatott protokollt használó ügyfélkapcsolatra vonatkoznak. A Service Bus-névtérben engedélyezett IP-szabállyal nem egyező IP-címekről érkező csatlakozási kísérleteket a rendszer jogosulatlanként elutasítja. A válasz nem említi az IP-szabályt. A rendszer sorrendben alkalmazza az IP-szűrési szabályokat, és az IP-címnek megfelelő első szabály határozza meg az elfogadási vagy elutasítási műveletet.
További információ: Ip-tűzfal konfigurálása Service Bus-névtérhez
Hálózati szolgáltatásvégpontok
A Service Bus és a virtuális hálózat szolgáltatásvégpontjainak integrálása biztonságos hozzáférést biztosít az üzenetkezelési képességekhez olyan számítási feladatokból, mint a virtuális hálózatokhoz kötött virtuális gépek, és mindkét végén biztonságossá válik a hálózati forgalom útvonala.
Ha úgy van konfigurálva, hogy legalább egy virtuális hálózati alhálózati szolgáltatásvégponthoz legyen kötve, a megfelelő Service Bus-névtér a továbbiakban nem fogadja el a forgalmat bárhonnan, csak az engedélyezett virtuális hálózatokról. A virtuális hálózat szempontjából a Service Bus-névtér szolgáltatásvégponthoz való kötése egy izolált hálózati alagutat konfigurál a virtuális hálózati alhálózattól az üzenetkezelési szolgáltatásig.
Az eredmény egy privát és izolált kapcsolat az alhálózathoz kötött számítási feladatok és a megfelelő Service Bus-névtér között annak ellenére, hogy az üzenetkezelési szolgáltatásvégpont megfigyelhető hálózati címe nyilvános IP-tartományban van.
Fontos
A virtuális hálózatok csak prémium szintű Service Bus-névterekben támogatottak.
Ha vNet-szolgáltatásvégpontokat használ a Service Bus használatával, ne engedélyezze ezeket a végpontokat olyan alkalmazásokban, amelyek standard és prémium szintű Service Bus-névtereket kevernek. Mivel a standard szint nem támogatja a virtuális hálózatokat. A végpont csak prémium szintű névterekre korlátozódik.
A VNet-integráció által engedélyezett speciális biztonsági forgatókönyvek
Azok a megoldások, amelyek szigorú és térbeli biztonságot igényelnek, és ahol a virtuális hálózati alhálózatok biztosítják a szegmenses szolgáltatások szegmentálását, általában továbbra is szükség van az ezekben a rekeszekben található szolgáltatások közötti kommunikációs útvonalakra.
A rekeszek közötti bármely közvetlen IP-útvonal, beleértve a TCP/IP protokollon keresztül https-t szállítókat is, a hálózati réteg biztonsági réseinek kihasználását kockáztatja. Az üzenetkezelési szolgáltatások teljesen szigetelt kommunikációs útvonalakat biztosítanak, ahol az üzenetek még lemezre is írhatók a felek közötti váltás során. Az ugyanazon Service Bus-példányhoz kötött két különálló virtuális hálózat számítási feladatai üzeneteken keresztül hatékonyan és megbízhatóan kommunikálhatnak, miközben a megfelelő hálózati elkülönítési határ integritása megmarad.
Ez azt jelenti, hogy a biztonsági szempontból érzékeny felhőmegoldások nem csak az Azure iparágvezető megbízható és méretezhető aszinkron üzenetkezelési képességeihez férnek hozzá, hanem mostantól üzenetkezeléssel is létrehozhatnak olyan kommunikációs útvonalakat a biztonságos megoldási rekeszek között, amelyek eredendően biztonságosabbak, mint a társközi kommunikációs móddal elérhetőek, beleértve a HTTPS-t és más TLS-védelemmel ellátott szoftvercsatorna-protokollokat is.
Service Bus kötése virtuális hálózatokhoz
A virtuális hálózati szabályok a tűzfal biztonsági funkciója, amely azt szabályozza, hogy az Azure Service Bus-kiszolgáló elfogad-e kapcsolatokat egy adott virtuális hálózati alhálózatról.
A Service Bus-névtér virtuális hálózathoz való kötése kétlépéses folyamat. Először létre kell hoznia egy virtuális hálózati szolgáltatásvégpontot egy virtuális hálózati alhálózaton, és engedélyeznie kell azt a Microsoft.ServiceBus számára a szolgáltatásvégpont áttekintésében leírtak szerint. Miután hozzáadta a szolgáltatásvégpontot, a Service Bus-névteret egy virtuális hálózati szabmánnyal köti hozzá.
A virtuális hálózati szabály a Service Bus-névtér és egy virtuális hálózati alhálózat társítása. Bár a szabály létezik, az alhálózathoz kötött összes számítási feladat hozzáférést kap a Service Bus-névtérhez. Maga a Service Bus soha nem hoz létre kimenő kapcsolatokat, nem kell hozzáférést szereznie, ezért soha nem kap hozzáférést az alhálózathoz a szabály engedélyezésével.
További információ: Virtuális hálózati szolgáltatásvégpontok konfigurálása Service Bus-névtérhez
Privát végpontok
Az Azure Private Link Service lehetővé teszi az Azure-szolgáltatások (például az Azure Service Bus, az Azure Storage és az Azure Cosmos DB) és az Azure által üzemeltetett ügyfél-/partnerszolgáltatások elérését a virtuális hálózat egy privát végpontján keresztül.
A privát végpont egy hálózati adapter, amely privát és biztonságos módon csatlakoztatja Önt egy Azure Private Link által működtetett szolgáltatáshoz. A privát végpont a virtuális hálózat egyik magánhálózati IP-címét használja, így lényegében bekapcsolja a szolgáltatást a virtuális hálózatba. A szolgáltatásba irányuló minden forgalom átirányítható a privát végponton keresztül, így nincs szükség átjárókra, NAT-eszközökre, ExpressRoute- vagy VPN-kapcsolatokra vagy nyilvános IP-címekre. A virtuális hálózat és a szolgáltatás közötti forgalom a Microsoft gerinchálózatán keresztül halad át, így kiküszöböli a nyilvános internet jelentette kitettséget. Csatlakozhat egy Azure-erőforrás egy példányához, így a hozzáférés-vezérlésben a legmagasabb szintű részletességet érheti el.
További információ: Mi az Azure Private Link?
Feljegyzés
Ez a funkció az Azure Service Bus prémium szintű verziójával támogatott. A prémium szinttel kapcsolatos további információkért tekintse meg a Service Bus Premium és a Standard üzenetkezelési szintekről szóló cikket.
További információ: Privát végpontok konfigurálása Service Bus-névtérhez
Következő lépések
Tekintse meg az alábbi cikkeket: