Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo descrive come usare le funzionalità di sicurezza seguenti con Hub eventi di Azure:
- Etichette di servizio
- Regole del firewall IP
- Endpoint di servizio di rete
- Endpoint privati
Etichette di servizio
Un tag del servizio rappresenta un gruppo di prefissi di indirizzi IP di un determinato servizio di Azure. Microsoft gestisce i prefissi di indirizzo inclusi nel tag del servizio e aggiorna automaticamente il tag in base alla modifica degli indirizzi, riducendo la complessità degli aggiornamenti frequenti alle regole di sicurezza di rete. Per altre informazioni sui tag del servizio, vedere Panoramica dei tag di servizio.
È possibile usare i tag del servizio per definire i controlli di accesso alla rete nei gruppi di sicurezza di rete o in Firewall di Azure. Quando si creano regole di sicurezza, usare i tag del servizio anziché indirizzi IP specifici. Specificando il nome del tag del servizio ,ad esempio , EventHubnel campo di origine o di destinazione appropriato di una regola, è possibile consentire o negare il traffico per il servizio corrispondente.
| Etichetta di servizio | Scopo | È possibile l'uso in ingresso o in uscita? | Può essere regionale? | È possibile usarlo con Firewall di Azure? |
|---|---|---|---|---|
EventHub |
Hub eventi di Azure. | In uscita | Sì | Sì |
Firewall IP
Per impostazione predefinita, gli spazi dei nomi di Hub eventi sono accessibili da Internet, purché la richiesta sia accompagnata da un'autenticazione e da un'autorizzazione valide. Con il firewall IP, è possibile un'ulteriore limitazione a un set di indirizzi IPv4 o IPv6 oppure intervalli di indirizzi in notazione CIDR (Classless Inter-Domain Routing).
Questa funzionalità è utile negli scenari in cui Hub eventi di Azure deve essere accessibile solo da determinati siti noti. Le regole del firewall consentono di configurare regole per accettare il traffico proveniente da indirizzi IPv4 o IPv6 specifici. Ad esempio, se si usano Hub eventi con Azure ExpressRoute, è possibile creare una regola del firewall per consentire il traffico solo dagli indirizzi IP dell'infrastruttura locale.
Le regole del firewall IP vengono applicate a livello dello spazio dei nomi di Hub eventi. Vengono pertanto applicate a tutte le connessioni provenienti dai client con qualsiasi protocollo supportato. Qualsiasi tentativo di connessione proveniente da un indirizzo IP che non corrisponda a una regola di indirizzi IP consentiti nello spazio dei nomi dell'Hub eventi viene rifiutato come non autorizzato. Nella risposta non viene fatto riferimento alla regola IP. Le regole del filtro IP vengono applicate in ordine e la prima regola corrispondente all'indirizzo IP determina l'azione di accettazione o rifiuto.
Per altre informazioni, vedere Come configurare il firewall IP per un hub eventi.
Endpoint di servizio di rete
L'integrazione di Event Hubs con gli Endpoint di Servizio della Rete Virtuale consente un accesso sicuro alle funzionalità di messaggistica dai carichi di lavoro, come le macchine virtuali associate alle reti virtuali, garantendo la sicurezza del percorso del traffico di rete su entrambe le estremità.
Dopo aver configurato l'associazione ad almeno un endpoint del servizio della subnet di rete virtuale, lo spazio dei nomi di Event Hubs corrispondente non accetta più traffico se non dalle subnet autorizzate nelle reti virtuali. Dal punto di vista della rete virtuale, l'associazione di uno spazio dei nomi di Hub eventi a un endpoint di servizio configura un tunnel di rete isolato dalla subnet della rete virtuale al servizio di messaggistica.
Il risultato è una relazione privata e isolata tra i carichi di lavoro associati alla subnet e il rispettivo spazio dei nomi di Event Hub, nonostante l'indirizzo di rete visibile dell'endpoint del servizio di messaggistica sia in un intervallo IP pubblico. Esiste un'eccezione a questo comportamento. Quando si abilita un endpoint di servizio, per impostazione predefinita, il servizio abilita la denyall regola nel firewall IP associato alla rete virtuale. È possibile aggiungere indirizzi IP specifici nel firewall IP per abilitare l'accesso all'endpoint pubblico di Hub eventi.
Importante
Questa funzionalità non è supportata nel livello Basic.
Scenari di sicurezza avanzata abilitati dall'integrazione della rete virtuale
Le soluzioni che richiedono sicurezza stretta e compartimentata e in cui le subnet di rete virtuale forniscono la segmentazione tra i servizi compartimentati, richiedono comunque percorsi di comunicazione tra i servizi che risiedono in tali raggruppamenti.
Qualsiasi route IP immediata tra i compartimenti, incluse quelle destinate al traffico HTTPS su TCP/IP, comportano il rischio di sfruttamento delle vulnerabilità dal livello rete verso l'alto. I servizi di messaggistica offrono percorsi di comunicazione isolati, in cui i messaggi vengono anche scritti su disco durante la transizione tra le parti. I carichi di lavoro in due reti virtuali distinte associate alla stessa istanza di Hub eventi possono comunicare in modo efficiente e affidabile tramite messaggi, mentre l'integrità del limite di isolamento della rete corrispondente viene mantenuta.
Questo significa che le soluzioni cloud con requisiti di sicurezza elevati non solo possono ottenere l'accesso alle funzionalità di messaggistica asincrona scalabili e affidabili leader del settore di Azure, ma possono ora usare la messaggistica per creare percorsi di comunicazione tra compartimenti sicuri della soluzione, intrinsecamente più sicuri di quanto sia possibile con qualsiasi modalità di comunicazione peer-to-peer, inclusi i protocolli HTTPS e altri protocolli socket protetti da TLS.
Associare hub eventi a reti virtuali
Le regole di rete virtuale sono la funzionalità di sicurezza del firewall che controlla se lo spazio dei nomi di Hub eventi di Azure accetta le connessioni da una determinata subnet di rete virtuale.
L'associazione di uno spazio dei nomi di Hub eventi a una rete virtuale è un processo in due passaggi. È necessario innanzitutto creare un endpoint di servizio di rete virtuale nella subnet della rete virtuale e abilitarlo per Microsoft.EventHub, come illustrato nell'articolo "panoramica dell'endpoint di servizio". Dopo aver aggiunto l'endpoint del servizio, lo spazio dei nomi di Hub eventi viene associato a esso con una regola di rete virtuale.
La regola di rete virtuale è un'associazione dello spazio dei nomi di Event Hubs con una subnet di una rete virtuale. Finché la regola esiste, a tutti i carichi di lavoro associati alla subnet viene concesso l'accesso allo spazio dei nomi di Event Hubs. Hub eventi non stabilisce mai direttamente connessioni in uscita e non deve ottenere l'accesso, quindi non ottiene mai l'accesso alla subnet abilitando questa regola.
Per altre informazioni, vedere Come configurare gli endpoint del servizio di rete virtuale per un hub di eventi.
Endpoint privati
Il servizio Collegamento privato di Azure consente di accedere ai servizi di Azure (ad esempio, Hub eventi di Azure, Archiviazione di Azure e Azure Cosmos DB) e ai servizi clienti/partner ospitati in Azure tramite un endpoint privato nella rete virtuale.
Un endpoint privato è un'interfaccia di rete che connette privatamente e in modo sicuro a un servizio basato su Collegamento privato di Azure. L'endpoint privato usa un indirizzo IP privato della rete virtuale, introducendo efficacemente il servizio nella rete virtuale. Tutto il traffico verso il servizio può essere instradato tramite l'endpoint privato, quindi non sono necessari gateway, dispositivi NAT, ExpressRoute o connessioni VPN oppure indirizzi IP pubblici. Il traffico tra la rete virtuale e il servizio attraversa la rete backbone Microsoft, impedendone l'esposizione alla rete Internet pubblica. È possibile connettersi a un'istanza di una risorsa di Azure, offrendo il massimo livello di granularità nel controllo di accesso.
Importante
Questa funzionalità non è supportata nel livello Basic.
Per altre informazioni, vedere Come configurare gli endpoint privati per un hub eventi.
Passaggi successivi
Vedere gli articoli seguenti: