Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo descrive come usare le funzionalità di sicurezza con il bus di servizio di Azure.
Etichette di servizio
Un tag di servizio rappresenta un gruppo di prefissi di indirizzi IP da un servizio di Azure. I prefissi di indirizzo inclusi nel tag di servizio sono gestiti da Microsoft, che aggiorna automaticamente il tag in caso di modifica degli indirizzi. Questa gestione riduce al minimo la complessità degli aggiornamenti frequenti alle regole di sicurezza di rete. Per ulteriori informazioni sui service tag, consulta la panoramica dei service tag Azure per la sicurezza della rete virtuale.
Usare i tag del servizio per definire i controlli di accesso alla rete nei gruppi di sicurezza di rete o in Firewall di Azure. Quando si creano regole di sicurezza, usare i tag del servizio anziché indirizzi IP specifici. Specificando il nome del tag del servizio ,ad esempio , ServiceBusnel campo di origine o di destinazione appropriato di una regola, è possibile consentire o negare il traffico per il servizio corrispondente.
Nel contesto dei tag del servizio, il termine in uscita si riferisce al traffico in uscita da una rete virtuale di Azure. Questo traffico rappresenta il traffico in ingresso verso il bus di servizio. In altre parole, il tag del servizio contiene gli indirizzi IP usati per il flusso del traffico nel bus di servizio dalla rete virtuale.
| Tag di servizio | Scopo | È possibile usarli in ingresso o in uscita? | Può essere regionale? | È possibile usarlo con Firewall di Azure? |
|---|---|---|---|---|
ServiceBus |
Traffico del bus di servizio di Azure | In uscita | Sì | Sì |
Annotazioni
In precedenza, i tag di servizio del Service Bus includevano solo gli indirizzi IP dei namespace nel livello Premium. Ora includono gli indirizzi IP di tutti i namespace, indipendentemente dal tier.
Regole del firewall IP
Per impostazione predefinita, gli utenti possono accedere agli spazi dei nomi del bus di servizio da Internet, purché la richiesta venga fornita con autenticazione e autorizzazione valide. Usando il firewall IP, è possibile limitare l'accesso solo a un set di indirizzi IPv4 o intervalli di indirizzi IPv4 nella notazione CIDR (Classless Inter-Domain Routing).
Questa funzionalità è utile negli scenari in cui il bus di servizio di Azure deve essere accessibile solo da determinati siti noti. È possibile usare le regole del firewall per configurare le regole per accettare il traffico proveniente da indirizzi IPv4 specifici. Ad esempio, se si usa Service Bus con Azure ExpressRoute, è possibile creare una regola del firewall per consentire il traffico solo dagli indirizzi IP della tua infrastruttura locale o dagli indirizzi di un gateway NAT aziendale.
Lo spazio dei nomi del bus di servizio applica le regole del firewall IP. Le regole si applicano a tutte le connessioni dai client che usano qualsiasi protocollo supportato. Lo spazio dei nomi del bus di servizio rifiuta qualsiasi tentativo di connessione da un indirizzo IP che non corrisponde a una regola IP consentita come non autorizzata. Nella risposta non viene fatto riferimento alla regola IP. Le regole di filtro IP vengono applicate in ordine e la prima regola che corrisponde all'indirizzo IP determina l'accettazione o il rifiuto.
Per altre informazioni, vedere Configurare un firewall IP per uno spazio dei nomi esistente.
Endpoint di servizio di rete
Integrando il Service Bus con gli endpoint del servizio di rete virtuale, puoi accedere in modo sicuro alle funzionalità di messaggistica da workload come macchine virtuali connesse a reti virtuali. Il percorso del traffico di rete è protetto in entrambe le estremità.
Quando si configura uno spazio dei nomi del bus di servizio da associare ad almeno un endpoint di servizio per una subnet di rete virtuale, lo spazio dei nomi del bus di servizio non accetta più il traffico da qualsiasi posizione, ma da reti virtuali autorizzate. Dal punto di vista della rete virtuale, l'associazione di uno spazio dei nomi del bus di servizio a un endpoint del servizio consente di configurare un tunnel di rete isolato dalla subnet della rete virtuale al servizio di messaggistica.
Il risultato è una relazione privata e isolata tra i carichi di lavoro associati alla subnet e il rispettivo spazio dei nomi del bus di servizio, anche se l'indirizzo di rete osservabile dell'endpoint del servizio di messaggistica si trova in un intervallo IP pubblico.
Importante
Le reti virtuali sono supportate solo nei namespace del Service Bus di livello Premium.
Quando si usano gli endpoint di rete virtuale con il Service Bus, non abilitare questi endpoint nelle applicazioni che combinano spazi dei nomi del Service Bus di livello Standard e Premium. Poiché il livello Standard non supporta le reti virtuali, gli endpoint sono limitati solo agli spazi dei nomi di livello Premium.
Scenari di sicurezza avanzati per l'integrazione della rete virtuale
Le soluzioni che richiedono sicurezza stretta e compartimentata e in cui le subnet di rete virtuale forniscono la segmentazione tra i servizi compartimentati, in genere richiedono percorsi di comunicazione tra tali servizi.
Qualsiasi route IP immediata tra i compartimenti, compresi quelli che trasportano HTTPS su TCP/IP, comporta il rischio di sfruttamento delle vulnerabilità dal livello di rete e dai livelli superiori. I servizi di messaggistica forniscono percorsi di comunicazione completamente isolati, in cui i messaggi vengono anche scritti su disco durante la transizione tra le parti. I carichi di lavoro in due reti virtuali distinte associate alla stessa istanza del bus di servizio possono comunicare in modo efficiente e affidabile tramite messaggi, mantenendo al tempo stesso l'integrità del rispettivo limite di isolamento di rete.
Questa messaggistica è intrinsecamente più sicura di quanto sia possibile ottenere con qualsiasi modalità di comunicazione peer-to-peer, inclusi HTTPS e altri protocolli socket protetti da TLS.
Associazione del bus di servizio alle reti virtuali
Le regole di rete virtuale rappresentano una funzionalità di sicurezza del firewall che consente di definire se il server del bus di servizio di Azure accetta le comunicazioni inviate da una subnet specifica della rete virtuale.
L'associazione di uno spazio dei nomi del bus di servizio a una rete virtuale è un processo in due passaggi. Creare innanzitutto un endpoint di servizio di rete virtuale su una subnet della rete virtuale e abilitarlo per Microsoft.ServiceBus, come spiegato nella panoramica dell'endpoint di servizio. Dopo aver aggiunto l'endpoint del servizio, collegare lo spazio dei nomi del Service Bus usando una regola di rete virtuale.
La regola di rete virtuale associa lo spazio dei nomi del bus di servizio a una subnet di rete virtuale. Fino a quando esiste la regola, a tutti i carichi di lavoro associati alla subnet viene concesso l'accesso allo spazio dei nomi del bus di servizio. Il Service Bus stesso non stabilisce mai connessioni in uscita, non ha bisogno di ottenere l'accesso e non gli viene mai concesso l'accesso alla tua subnet quando abiliti questa regola.
Per altre informazioni, vedere Consentire l'accesso a uno spazio dei nomi del bus di servizio di Azure da reti virtuali specifiche.
Endpoint privati
Usando il servizio Collegamento privato di Azure, è possibile accedere ai servizi di Azure (ad esempio, bus di servizio di Azure, Archiviazione di Azure e Azure Cosmos DB) e ai servizi di clienti o partner ospitati in Azure tramite un endpoint privato nella rete virtuale.
Un endpoint privato è un'interfaccia di rete che si connette privatamente a un servizio correlato al collegamento privato di Azure. L'endpoint privato usa un indirizzo IP privato dalla rete virtuale per portare effettivamente il servizio nella rete virtuale.
È possibile instradare tutto il traffico al servizio tramite l'endpoint privato, quindi non sono necessari gateway, dispositivi NAT, connessioni ExpressRoute o VPN o indirizzi IP pubblici. Il traffico tra la rete virtuale e il servizio attraversa la rete backbone Microsoft per eliminare l'esposizione dalla rete Internet pubblica. È possibile connettersi a un'istanza di una risorsa di Azure per ottenere il massimo livello di granularità nel controllo di accesso.
Per altre informazioni, vedere Che è Azure Private Link?.
Annotazioni
Il livello Premium del bus di servizio di Azure supporta questa funzionalità. Per altre informazioni sul livello Premium, vedere l'articolo sui livelli di messaggistica Premium e Standard del bus di servizio.
Per altre informazioni, vedere Consentire l'accesso agli spazi dei nomi del bus di servizio di Azure tramite endpoint privati.
Perimetro di sicurezza della rete
Un altro modo per proteggere lo spazio dei nomi del bus di servizio consiste nell'includerlo in un perimetro di sicurezza di rete. Un perimetro di sicurezza di rete stabilisce un limite logico per le risorse PaaS (Platform as a Service). Questo limite limita la comunicazione alle risorse all'interno del perimetro e controlla l'accesso pubblico tramite regole esplicite. Questa tecnica può essere particolarmente utile quando si vuole stabilire un limite di sicurezza intorno al bus di servizio e ad altre risorse PaaS come Azure Key Vault.
Per altre informazioni, vedere Perimetro di sicurezza di rete per il bus di servizio di Azure.