Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Artikel ini menjelaskan cara menggunakan fitur keamanan berikut dengan Azure Service Bus:
- Tag layanan
- Aturan-aturan Firewall IP
- Titik akhir layanan jaringan
- Titik akhir pribadi
Tag layanan
Tag layanan mewakili sekelompok awalan alamat IP dari layanan Azure tertentu. Microsoft mengelola awalan alamat yang di mencakup tag layanan dan secara otomatis memperbarui tag layanan saat alamat berubah, meminimalkan kompleksitas pembaruan yang sering diterapkan pada aturan keamanan jaringan. Untuk informasi selengkapnya tentang tag layanan, lihat Ringkasan tag layanan.
Anda dapat menggunakan tag layanan jaringan virtual untuk menentukan kontrol pada akses jaringan pada kelompok keamanan jaringan atau Azure Firewall. Gunakan tag layanan sebagai pengganti alamat IP tertentu saat Anda membuat aturan keamanan. Dengan menentukan nama tag layanan (misalnya, ServiceBus) di bidang sumber atau tujuan aturan yang sesuai, Anda dapat mengizinkan atau menolak lalu lintas untuk layanan yang sesuai.
| Tag layanan | Tujuan | Apakah bisa menggunakan inbound atau outbound? | Dapat bersifat regional? | Bisa digunakan dengan Azure Firewall? |
|---|---|---|---|---|
| ServiceBus | Lalu lintas data Azure Service Bus. | Ke Luar | Ya | Ya |
Nota
Sebelumnya, tag layanan Azure Service Bus hanya menyertakan alamat IP dari namespace tersebut pada SKU premium. Ini sekarang telah diperbarui untuk menyertakan alamat IP semua namespace, terlepas dari SKU.
Firewall IP
Secara default, namespace Service Bus dapat diakses dari internet selama permintaan dilengkapi dengan autentikasi dan otorisasi yang valid. Dengan IP firewall, Anda dapat membatasinya lebih lanjut hanya untuk satu set alamat IPv4 atau rentang alamat IPv4 di notasi CIDR (Classless Inter-Domain Routing).
Fitur ini sangat membantu dalam skenario di mana Azure Service Bus harus hanya dapat diakses dari situs terkenal tertentu. Aturan firewall memungkinkan Anda mengonfigurasi aturan untuk menerima lalu lintas yang berasal dari alamat IPv4 tertentu. Misalnya, jika Anda menggunakan Service Bus dengan Azure Express Route, Anda dapat membuat aturan firewall untuk mengizinkan lalu lintas hanya dari alamat IP infrastruktur lokal Anda atau alamat gateway NAT perusahaan.
Aturan firewall IP diterapkan pada tingkat namespace Service Bus. Oleh karena itu, aturan berlaku untuk semua koneksi dari klien yang menggunakan protokol yang didukung. Semua upaya koneksi dari alamat IP yang tidak cocok dengan aturan IP yang diizinkan pada namespace Azure Service Bus ditolak karena tidak sah. Respons tidak menyebutkan aturan IP. Aturan filter IP diterapkan secara berurutan, dan aturan pertama yang cocok dengan alamat IP menentukan tindakan terima atau tolak.
Untuk informasi selengkapnya, lihat Cara mengonfigurasi firewall IP untuk namespace Bus Layanan
Titik akhir layanan jaringan
Integrasi Service Bus dengan titik akhir layanan Virtual Network (VNet) memungkinkan akses aman ke kemampuan olahpesan dari beban kerja seperti komputer virtual yang terikat ke jaringan virtual, dengan jalur lalu lintas jaringan diamankan di kedua ujungnya.
Setelah dikonfigurasi untuk terhubung setidaknya ke satu titik akhir subnet jaringan virtual, namespace Service Bus masing-masing tidak akan lagi menerima lalu lintas dari jaringan manapun kecuali jaringan virtual yang diizinkan. Dari perspektif jaringan virtual, mengikat namespace Service Bus ke titik akhir layanan mengonfigurasi terowongan jaringan terisolasi dari subnet jaringan virtual ke layanan pesan.
Hasilnya adalah hubungan pribadi dan terisolasi antara beban kerja yang terikat ke subnet dan namespace Service Bus masing-masing, terlepas dari alamat jaringan yang dapat diamati dari titik akhir layanan pesan berada dalam rentang IP publik.
Penting
Jaringan Virtual hanya didukung di namespace Service Bus tingkat Premium.
Saat menggunakan titik akhir layanan VNet dengan Service Bus, Anda tidak boleh mengaktifkan titik akhir ini dalam aplikasi yang mencampur namespace Service Bus tingkat Standar dan Premium. Karena tingkat Standar tidak mendukung VNet. Endpoint dibatasi untuk namespace tingkatan Premium saja.
Skenario keamanan tingkat lanjut diaktifkan oleh integrasi VNet
Solusi yang membutuhkan keamanan yang ketat dan kompartemen, dan di mana subnet jaringan virtual memberikan segmentasi antara layanan kompartemen, umumnya masih memerlukan jalur komunikasi antara layanan yang berada di kompartemen tersebut.
Setiap rute IP langsung antara kompartemen, termasuk yang membawa HTTPS melalui TCP/IP, membawa risiko eksploitasi kerentanan dari lapisan jaringan dan seterusnya. Layanan olahpesan menyediakan jalur komunikasi yang sepenuhnya terisolasi, di mana pesan bahkan ditulis ke disk saat mereka bertransisi antar pihak. Beban kerja dalam dua jaringan virtual berbeda yang keduanya terikat dengan instans Service Bus yang sama dapat berkomunikasi secara efisien dan andal melalui pesan, sementara integritas batas isolasi jaringan masing-masing dipertahankan.
Hal ini berarti solusi cloud sensitif keamanan Anda tidak hanya mendapatkan akses ke kemampuan olahpesan asinkron terdepan di industri Azure dan dapat diskalakan, tetapi sekarang dapat menggunakan olahpesan untuk membuat jalur komunikasi antara kompartemen solusi aman yang secara inheren lebih aman dari yang dapat dicapai dengan mode komunikasi peer-to-peer, termasuk HTTPS dan protokol soket aman TLS lainnya.
Mengikat Service Bus ke Virtual Networks
Aturan jaringan virtual adalah fitur keamanan firewall yang mengontrol apakah server Azure Service Bus Anda menerima koneksi dari subnet jaringan virtual tertentu.
Mengikat namespace Service Bus ke jaringan virtual adalah proses dua langkah. Pertama-tama Anda perlu membuat titik akhir layanan Virtual Network pada subnet Virtual Network dan mengaktifkannya untuk Microsoft.ServiceBus seperti yang dijelaskan dalam ringkasan titik akhir layanan. Setelah Anda menambahkan titik akhir layanan, Anda mengikat namespace Bus Layanan ke dalamnya dengan aturan jaringan virtual.
Aturan jaringan virtual adalah asosiasi namespace Service Bus dengan subnet jaringan virtual. Meskipun aturan ada, semua beban kerja yang terikat ke subnet diberikan akses ke namespace Service Bus. Azure Service Bus sendiri tidak pernah membuat koneksi keluar, tidak perlu mendapatkan akses, dan karena itu tidak pernah diberikan akses ke subnet Anda dengan mengaktifkan aturan ini.
Untuk informasi selengkapnya, lihat Cara mengonfigurasi titik akhir layanan jaringan virtual untuk namespace Service Bus
Titik akhir pribadi
Azure Private Link Service memungkinkan Anda mengakses layanan Azure (misalnya, Azure Key Vault, Azure Storage, dan Azure Cosmos DB) dan layanan pelanggan/mitra yang dihosting Azure melalui titik akhir privat di jaringan virtual Anda.
Titik akhir privat adalah antarmuka jaringan yang menghubungkan Anda secara privat dan aman ke layanan yang didukung oleh Azure Private Link. Titik akhir privat menggunakan alamat IP privat dari VNet Anda, secara efektif membawa layanan ke VNet Anda. Semua lalu lintas ke layanan dapat dialihkan melalui titik akhir privat, sehingga tidak ada gateway, perangkat NAT, koneksi ExpressRoute atau VPN, atau alamat IP publik yang diperlukan. Lalu lintas antara jaringan virtual Anda dan layanan melintasi jaringan backbone Microsoft, menghilangkan paparan dari Internet publik. Anda dapat terhubung ke instans sumber daya Azure, memberi Anda tingkat granularitas tertinggi dalam kontrol akses.
Untuk informasi selengkapnya, lihat Apa itu Azure Private Link?
Nota
Fitur ini didukung dengan tingkatan premium Azure Service Bus. Untuk informasi selengkapnya tentang tingkat premium, lihat artikel tingkat olahpesan Service Bus Premium dan Standar.
Untuk informasi selengkapnya, lihat Cara mengonfigurasi titik akhir privat untuk namespace Bus Layanan
Perimeter keamanan jaringan
Cara lain untuk mengamankan namespace Bus Layanan Anda adalah dengan menyertakannya dalam perimeter keamanan jaringan. Perimeter keamanan jaringan menetapkan batas logis untuk sumber daya PaaS, membatasi komunikasi ke sumber daya dalam perimeter dan mengontrol akses publik melalui aturan eksplisit. Ini bisa sangat berguna ketika Anda ingin membuat batas keamanan di sekitar Service Bus dan sumber daya PaaS lainnya seperti Azure Key Vault.
Untuk informasi selengkapnya, lihat Perimeter keamanan jaringan untuk Azure Service Bus.
Langkah selanjutnya
Lihat artikel berikut: