Az Azure Event Hubs hálózati biztonsága
Ez a cikk a következő biztonsági funkciók használatát ismerteti az Azure Event Hubsban:
- Szolgáltatáscímkék
- IP-tűzfalszabályok
- Hálózati szolgáltatásvégpontok
- Privát végpontok
Szolgáltatáscímkék
A szolgáltatáscímkék egy adott Azure-szolgáltatás IP-címelőtagjainak egy csoportját jelölik. A Microsoft kezeli a szolgáltatáscímke által lefedett címelőtagokat, és automatikusan frissíti a szolgáltatáscímkét a címek változásakor, minimalizálva a hálózati biztonsági szabályok gyakori frissítéseinek összetettségét. A szolgáltatáscímkékről további információt a Szolgáltatáscímkék áttekintése című témakörben talál.
A szolgáltatáscímkék használatával hálózati hozzáférés-vezérlőket határozhat meg a hálózati biztonsági csoportokon vagy az Azure Firewallon. Biztonsági szabályok létrehozása során használjon szolgáltatáscímkéket az egyes IP-címek helyett. Ha megadja a szolgáltatáscímke nevét (például EventHub
) egy szabály megfelelő forrás - vagy célmezőjében , engedélyezheti vagy letilthatja a megfelelő szolgáltatás forgalmát.
Szolgáltatáscímke | Cél | Használhat bejövő vagy kimenő elemet? | Lehet regionális? | Használhatja az Azure Firewallt? |
---|---|---|---|---|
EventHub |
Azure Event Hubs. | Kimenő | Igen | Igen |
Feljegyzés
Az Azure Event Hubs szolgáltatáscímkéje az Azure Service Bus által használt IP-címek egy részét tartalmazza előzmény okokból.
IP-tűzfal
Alapértelmezés szerint az Event Hubs-névterek az internetről érhetők el, amennyiben a kérés érvényes hitelesítéssel és engedélyezéssel rendelkezik. Az IP-tűzfallal tovább korlátozhatja azt a CIDR (osztály nélküli tartományközi útválasztás) jelölésében szereplő IPv4- vagy IPv6-címek vagy címtartományok halmazára.
Ez a funkció olyan helyzetekben hasznos, amelyekben az Azure Event Hubsnak csak bizonyos jól ismert webhelyekről kell elérhetőnek lennie. A tűzfalszabályok lehetővé teszik a szabályok konfigurálását az adott IPv4- vagy IPv6-címekről származó forgalom elfogadására. Ha például az Event Hubsot az Azure Express Route-nal használja, létrehozhat egy tűzfalszabályt, amely csak a helyszíni infrastruktúra IP-címéről engedélyezi a forgalmat.
Az IP-tűzfalszabályokat az Event Hubs névtér szintjén alkalmazza a rendszer. Ezért a szabályok minden támogatott protokollt használó ügyfélkapcsolatra vonatkoznak. Az Event Hubs-névtér engedélyezett IP-szabályával nem egyező IP-címekről érkező csatlakozási kísérleteket a rendszer jogosulatlanként elutasítja. A válasz nem említi az IP-szabályt. A rendszer sorrendben alkalmazza az IP-szűrési szabályokat, és az IP-címnek megfelelő első szabály határozza meg az elfogadási vagy elutasítási műveletet.
További információ: Ip-tűzfal konfigurálása eseményközponthoz.
Hálózati szolgáltatásvégpontok
Az Event Hubs és a virtuális hálózat szolgáltatásvégpontjainak integrálása biztonságos hozzáférést tesz lehetővé az üzenetkezelési képességekhez olyan számítási feladatokból, mint a virtuális hálózatokhoz kötött virtuális gépek, és mindkét végén biztonságossá válik a hálózati forgalom útvonala.
Ha úgy van konfigurálva, hogy legalább egy virtuális hálózati alhálózati szolgáltatásvégponthoz legyen kötve, a megfelelő Event Hubs-névtér már nem fogadja el a forgalmat bárhonnan, csak a virtuális hálózatok engedélyezett alhálózataiból. A virtuális hálózat szempontjából az Event Hubs-névtér szolgáltatásvégponthoz való kötése egy elkülönített hálózati alagutat konfigurál a virtuális hálózati alhálózattól az üzenetkezelési szolgáltatásig.
Az eredmény egy privát és elszigetelt kapcsolat az alhálózathoz kötött számítási feladatok és a megfelelő Event Hubs-névtér között, annak ellenére, hogy az üzenetkezelési szolgáltatás végpontjának megfigyelhető hálózati címe nyilvános IP-tartományban van. Ez a viselkedés kivételt képez. Szolgáltatásvégpont engedélyezésekor a szolgáltatás alapértelmezés szerint engedélyezi a denyall
virtuális hálózathoz társított IP-tűzfalon lévő szabályt. Adott IP-címeket adhat hozzá az IP-tűzfalhoz az Event Hubs nyilvános végponthoz való hozzáférés engedélyezéséhez.
Fontos
Ez a funkció az alapszinten nem támogatott.
A virtuális hálózati integráció által engedélyezett speciális biztonsági forgatókönyvek
Azok a megoldások, amelyek szigorú és térbeli biztonságot igényelnek, és ahol a virtuális hálózati alhálózatok biztosítják a szegmenses szolgáltatások szegmentálását, továbbra is szükség van az ezekben a rekeszekben található szolgáltatások közötti kommunikációs útvonalakra.
A rekeszek közötti bármely közvetlen IP-útvonal, beleértve a TCP/IP protokollon keresztül https-t szállítókat is, a hálózati réteg biztonsági réseinek kihasználását kockáztatja. Az üzenetkezelési szolgáltatások szigetelt kommunikációs útvonalakat biztosítanak, ahol az üzenetek akár lemezre is írhatók a felek közötti váltás során. A két különálló virtuális hálózatban lévő számítási feladatok, amelyek ugyanahhoz az Event Hubs-példányhoz vannak kötve, üzeneteken keresztül hatékonyan és megbízhatóan kommunikálhatnak, miközben a megfelelő hálózati elkülönítési határ integritása megmarad.
Ez azt jelenti, hogy a biztonsági szempontból érzékeny felhőmegoldások nem csak az Azure iparágvezető megbízható és méretezhető aszinkron üzenetkezelési képességeihez férnek hozzá, hanem mostantól üzenetkezeléssel is létrehozhatnak olyan kommunikációs útvonalakat a biztonságos megoldási rekeszek között, amelyek eredendően biztonságosabbak, mint a társközi kommunikációs móddal elérhetőek, beleértve a HTTPS-t és más TLS-védelemmel ellátott szoftvercsatorna-protokollokat is.
Eseményközpontok kötése virtuális hálózatokhoz
A virtuális hálózati szabályok a tűzfal biztonsági funkciója, amely azt szabályozza, hogy az Azure Event Hubs-névtér elfogad-e kapcsolatokat egy adott virtuális hálózati alhálózatról.
Az Event Hubs-névtér virtuális hálózathoz való kötése kétlépéses folyamat. Először létre kell hoznia egy virtuális hálózati szolgáltatásvégpontot egy virtuális hálózat alhálózatán, és engedélyeznie kell azt a Microsoft.EventHub számára a szolgáltatásvégpont áttekintési cikkének megfelelően. Miután hozzáadta a szolgáltatásvégpontot, az Event Hubs-névteret egy virtuális hálózati szabmánnyal köti hozzá.
A virtuális hálózati szabály az Event Hubs-névtér és egy virtuális hálózati alhálózat társítása. Bár a szabály létezik, az alhálózathoz kötött összes számítási feladat hozzáférést kap az Event Hubs-névtérhez. Maga az Event Hubs soha nem hoz létre kimenő kapcsolatokat, nem kell hozzáférést szereznie, ezért a szabály engedélyezésével soha nem kap hozzáférést az alhálózathoz.
További információ: Virtuális hálózati szolgáltatásvégpontok konfigurálása eseményközpontokhoz.
Privát végpontok
Az Azure Private Link szolgáltatás lehetővé teszi az Azure-szolgáltatások (például az Azure Event Hubs, az Azure Storage és az Azure Cosmos DB) és az Azure által üzemeltetett ügyfél-/partnerszolgáltatások elérését a virtuális hálózat egy privát végpontján keresztül.
A privát végpont egy hálózati adapter, amely privát és biztonságos módon csatlakoztatja Önt egy Azure Private Link használatával működtetett szolgáltatáshoz. A privát végpont a virtuális hálózat egyik magánhálózati IP-címét használja, így hatékonyan bekapcsolja a szolgáltatást a virtuális hálózatba. A szolgáltatás felé irányuló minden forgalom átirányítható a privát végponton keresztül, így nincs szükség átjárókra, NAT-eszközökre, ExpressRoute- vagy VPN-kapcsolatokra, illetve nyilvános IP-címekre. A virtuális hálózat és a szolgáltatás közötti forgalom a Microsoft gerinchálózatán keresztül halad át, így kiküszöböli a nyilvános internet jelentette kitettséget. Csatlakozhat egy Azure-erőforrás egy példányához, így a hozzáférés-vezérlésben a legmagasabb szintű részletességet érheti el.
Fontos
Ez a funkció az alapszinten nem támogatott.
További információ: Privát végpontok konfigurálása eseményközponthoz.
Következő lépések
Tekintse meg az alábbi cikkeket: