Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Ez a cikk a következő biztonsági funkciók használatát ismerteti az Azure Service Bus használatával:
- Szolgáltatáscímkék
- IP-tűzfalszabályok
- Hálózati szolgáltatásvégpontok
- Privát végpontok
Szolgáltatáscímkék
A szolgáltatáscímkék egy adott Azure-szolgáltatás IP-címelőtagjainak egy csoportját jelölik. A Microsoft kezeli a szolgáltatáscímke által lefedett címelőtagokat, és automatikusan frissíti a szolgáltatáscímkét a címek változásakor, minimalizálva a hálózati biztonsági szabályok gyakori frissítéseinek összetettségét. A szolgáltatáscímkékről további információt a Szolgáltatáscímkék áttekintése című témakörben talál.
Szolgáltatáscímkék használatával határozhatja meg a hálózati hozzáférési vezérlőket a hálózati biztonsági csoportokon vagy az Azure Firewallon. Biztonsági szabályok létrehozása során használjon szolgáltatáscímkéket az egyes IP-címek helyett. Ha megadja a szolgáltatáscímke nevét (például ServiceBus) egy szabály megfelelő forrás - vagy célmezőjében , engedélyezheti vagy letilthatja a megfelelő szolgáltatás forgalmát.
Megjegyzés:
A szolgáltatáscímkék kontextusában a kimenő kifejezés egy Azure-beli virtuális hálózatból kimenő forgalomra vonatkozik, amely a Service Bus felé irányuló bejövő forgalmat jelöli. Más szóval a szolgáltatáscímke tartalmazza a virtuális hálózatról a Service Busba irányuló forgalomhoz használt IP-címeket.
| Szolgáltatáscímke | Cél | Használhat bejövő vagy kimenő irányt? | Lehet regionális? | Használható az Azure Firewall-lal? |
|---|---|---|---|---|
| ServiceBus | Azure Service Bus-forgalom. | Kimenő | Igen | Igen |
Megjegyzés:
Korábban a Service Bus szolgáltatáscímkék csak a prémium szintű névterek IP-címeit tartalmazták. Mostantól az összes névtér IP-címeit tartalmazzák, a szinttől függetlenül.
IP-tűzfal
Alapértelmezés szerint a felhasználók hozzáférhetnek a Service Bus-névterekhez az internetről, amennyiben a kérés érvényes hitelesítéssel és engedélyezéssel rendelkezik. Az IP-tűzfal használatával a CIDR (Osztály nélküli Inter-Domain Útválasztás) jelölésében csak IPv4-címek vagy IPv4-címtartományok halmazára korlátozhatja a hozzáférést.
Ez a funkció olyan helyzetekben hasznos, ahol az Azure Service Busnak csak bizonyos jól ismert helyekről kell elérhetőnek lennie. A tűzfalszabályok lehetővé teszik a szabályok konfigurálását, hogy elfogadják a meghatározott IPv4-címekről származó forgalmat. Ha például a Service Bust az Azure Express Route-nal használja, létrehozhat egy tűzfalszabályt, amely csak a helyszíni infrastruktúra IP-címéről vagy egy vállalati NAT-átjáró címéről engedélyezi a forgalmat.
A Service Bus-névtér az IP-tűzfalszabályokat alkalmazza. Ezért a szabályok minden támogatott protokollt használó ügyfélkapcsolatra vonatkoznak. A Service Bus-névtér elutasít minden olyan kapcsolati kísérletet egy IP-címről, amely nem felel meg az engedélyezett IP-szabálynak jogosulatlanként. A válasz nem említi az IP-szabályt. A rendszer sorrendben alkalmazza az IP-szűrési szabályokat, és az IP-címnek megfelelő első szabály határozza meg az elfogadási vagy elutasítási műveletet.
További információ : Ip-tűzfal konfigurálása Service Bus-névtérhez.
Hálózati szolgáltatásvégpontok
A Service Bus virtuális hálózati (VNet) szolgáltatásvégpontokkal való integrálásával biztonságosan hozzáférhet az üzenetkezelési képességekhez olyan számítási feladatokból, mint a virtuális hálózatokhoz kötött virtuális gépek. A hálózati forgalom útvonala mindkét oldalon védett.
Ha úgy konfigurál egy Service Bus-névteret, hogy legalább egy virtuális hálózati alhálózati szolgáltatásvégponthoz legyen kötve, a Service Bus-névtér már nem fogadja el a forgalmat bárhonnan, csak az engedélyezett virtuális hálózatokról. A virtuális hálózat szempontjából a Service Bus-névtér szolgáltatásvégponthoz való kötése egy izolált hálózati alagutat konfigurál a virtuális hálózati alhálózattól az üzenetkezelési szolgáltatásig.
Az eredmény egy privát és izolált kapcsolat az alhálózathoz kötött számítási feladatok és a megfelelő Service Bus-névtér között, annak ellenére, hogy az üzenetkezelési szolgáltatás végpontjának megfigyelhető hálózati címe nyilvános IP-tartományban van.
Fontos
A virtuális hálózatok csak prémium szintű Service Bus-névterekben támogatottak.
Ha vNet-szolgáltatásvégpontokat használ a Service Bus szolgáltatással, ne engedélyezze ezeket a végpontokat a Standard és a Prémium szintű Service Bus-névtereket kombináló alkalmazásokban. Mivel a standard szint nem támogatja a virtuális hálózatokat. A végpont csak prémium szintű névterekre korlátozódik.
A VNet-integráció által engedélyezett speciális biztonsági forgatókönyvek
Azok a megoldások, amelyek szigorú és térbeli biztonságot igényelnek, és ahol a virtuális hálózati alhálózatok biztosítják a szegmenses szolgáltatások szegmentálását, általában továbbra is szükség van az ezekben a rekeszekben található szolgáltatások közötti kommunikációs útvonalakra.
A rekeszek közötti bármely közvetlen IP-útvonal, beleértve a TCP/IP protokollon keresztül https-t szállítókat is, a hálózati réteg biztonsági réseinek kihasználását kockáztatja. Az üzenetkezelési szolgáltatások teljesen szigetelt kommunikációs útvonalakat biztosítanak, ahol az üzenetek még lemezre is írhatók a felek közötti váltás során. Az ugyanazon Service Bus-példányhoz kötött két különálló virtuális hálózat számítási feladatai üzeneteken keresztül hatékonyan és megbízhatóan kommunikálhatnak, miközben a megfelelő hálózati elkülönítési határ integritása megmarad.
Ez azt jelenti, hogy a biztonsági szempontból érzékeny felhőmegoldások nem csak az Azure iparágvezető megbízható és méretezhető aszinkron üzenetkezelési képességeihez férnek hozzá, hanem mostantól üzenetkezeléssel is létrehozhatnak olyan kommunikációs útvonalakat a biztonságos megoldási rekeszek között, amelyek eredendően biztonságosabbak, mint a társközi kommunikációs móddal elérhetőek, beleértve a HTTPS-t és más TLS-védelemmel ellátott szoftvercsatorna-protokollokat is.
Service Bus kötése virtuális hálózatokhoz
A virtuális hálózati szabályok a tűzfal biztonsági funkciója, amely azt szabályozza, hogy az Azure Service Bus-kiszolgáló elfogad-e kapcsolatokat egy adott virtuális hálózati alhálózatról.
A Service Bus-névtér virtuális hálózathoz való kötése kétlépéses folyamat. Először hozzon létre egy virtuális hálózati szolgáltatásvégpontot egy virtuális hálózati alhálózaton, és engedélyezze azt a Microsoft.ServiceBus számára a szolgáltatásvégpont áttekintésében leírtak szerint. A szolgáltatásvégpont hozzáadása után kösse hozzá a Service Bus-névteret egy virtuális hálózati szabály használatával.
A virtuális hálózati szabály a Service Bus-névteret egy virtuális hálózati alhálózathoz társítja. Bár a szabály létezik, az alhálózathoz kötött összes számítási feladat hozzáférést kap a Service Bus-névtérhez. Maga a Service Bus soha nem hoz létre kimenő kapcsolatokat, nem kell hozzáférést szereznie, ezért soha nem kap hozzáférést az alhálózathoz a szabály engedélyezésével.
További információ: Virtuális hálózati szolgáltatásvégpontok konfigurálása Service Bus-névtérhez.
Privát végpontok
Az Azure Private Link Service használatával elérheti az Azure-szolgáltatásokat (például az Azure Service Bust, az Azure Storage-t és az Azure Cosmos DB-t) és az Azure által üzemeltetett ügyfél- vagy partnerszolgáltatásokat a virtuális hálózat egy privát végpontja felett.
A privát végpont egy hálózati adapter, amely privát és biztonságos módon csatlakoztatja Önt egy Azure Private Link által működtetett szolgáltatáshoz. A privát végpont a virtuális hálózat egyik magánhálózati IP-címét használja, így lényegében bekapcsolja a szolgáltatást a virtuális hálózatba. Az összes forgalmat átirányíthatja a szolgáltatásba a privát végponton keresztül, így nincs szüksége átjárókra, NAT-eszközökre, ExpressRoute- vagy VPN-kapcsolatokra vagy nyilvános IP-címekre. A virtuális hálózat és a szolgáltatás közötti forgalom a Microsoft gerinchálózatán keresztül halad át, így kiküszöböli a nyilvános internet jelentette kitettséget. Csatlakozhat egy Azure-erőforrás egy példányához, így a hozzáférés-vezérlésben a legmagasabb szintű részletességet érheti el.
További információ: Mi az Azure Private Link?
Megjegyzés:
Ezt a funkciót az Azure Service Bus prémium szintű szintje támogatja. A prémium szinttel kapcsolatos további információkért tekintse meg a Service Bus Premium és a Standard üzenetkezelési szintekről szóló cikket.
További információ: Privát végpontok konfigurálása Service Bus-névtérhez.
Hálózati biztonsági szegély
A Service Bus-névtér biztonságossá tételének másik módja, ha azt egy hálózati biztonsági szegélybe is belefoglalja. A hálózati biztonsági szegély logikai határt határoz meg a PaaS-erőforrások számára, korlátozza a szegélyen belüli erőforrások közötti kommunikációt, és explicit szabályokkal szabályozza a nyilvános hozzáférést. Ez különösen akkor lehet hasznos, ha biztonsági határt szeretne létrehozni a Service Bus és más PaaS-erőforrások, például az Azure Key Vault körül.
További információ: Az Azure Service Bus hálózati biztonsági szegélye.
Következő lépések
Tekintse meg az alábbi cikkeket: