Proteggere l'accesso di rete ai servizi PaaS con gli endpoint servizio di rete virtuale
È stata eseguita la migrazione dell'app esistente e dei server di database per il sistema ERP in Azure come macchine virtuali. Ora si considera la possibilità di usare alcuni servizi PaaS per ridurre i costi e i requisiti amministrativi. I servizi di archiviazione conterranno alcuni asset con file di grandi dimensioni, ad esempio i diagrammi di progettazione. Tali diagrammi contengono informazioni proprietarie e devono rimanere protetti dall'accesso non autorizzato. Questi file devono essere accessibili solo da sistemi specifici.
In questa unità: modalità di utilizzo degli endpoint servizio di rete virtuale per la protezione dei servizi di Azure supportati.
Endpoint servizio di rete virtuale
Usare gli endpoint servizio di rete virtuale per estendere lo spazio di indirizzi privato in Azure fornendo una connessione diretta ai servizi di Azure. Gli endpoint servizio consentono di proteggere le risorse di Azure solo nella propria rete virtuale. Il traffico del servizio rimarrà nella rete backbone di Azure e non passerà su Internet.
Per impostazione predefinita, i servizi di Azure sono tutti progettati per l'accesso diretto a Internet. Tutte le risorse di Azure hanno indirizzi IP pubblici, inclusi i servizi PaaS, ad esempio il database SQL di Azure e Archiviazione di Azure. Poiché questi servizi sono esposti a Internet, chiunque può potenzialmente accedere ai servizi di Azure.
Gli endpoint di servizio possono connettere determinati servizi PaaS direttamente allo spazio di indirizzi privato dell'utente in Azure, in modo che funzionino come se fossero nella stessa rete virtuale. Usare lo spazio di indirizzi privato per accedere direttamente ai servizi PaaS. L'aggiunta di endpoint servizio non rimuove l'endpoint pubblico. Fornisce semplicemente un reindirizzamento del traffico.
Gli endpoint servizio di Azure sono disponibili per molti servizi, ad esempio:
- Archiviazione di Azure
- Database SQL di Azure
- Azure Cosmos DB
- Insieme di credenziali chiave di Azure
- Bus di servizio di Azure
- Azure Data Lake
Per un servizio come il database SQL, a cui non è possibile accedere fino a quando non si aggiungono indirizzi IP al firewall, è comunque consigliabile prendere in considerazione gli endpoint di servizio. L'uso di un endpoint servizio per il database SQL limita l'accesso a reti virtuali specifiche, offrendo un maggiore isolamento e la riduzione della superficie di attacco.
Funzionamento degli endpoint servizio
Per abilitare un endpoint servizio, occorre:
- Disattivare l'accesso pubblico al servizio.
- Aggiungere l'endpoint servizio a una rete virtuale.
Quando si abilita un endpoint servizio, si limita il flusso del traffico e si consente alle macchine virtuali di Azure di accedere al servizio direttamente dallo spazio indirizzi privato. I dispositivi non possono accedere al servizio da una rete pubblica. Se si osservano le route valide su una scheda di interfaccia di rete virtuale della macchina virtuale distribuita, si noterà che l'endpoint di servizio è il tipo hop successivo.
La seguente è una tabella di route di esempio prima dell'abilitazione di un endpoint servizio:
| ORIGINE | STATE | PREFISSI DEGLI INDIRIZZI | TIPO HOP SUCCESSIVO |
|---|---|---|---|
| Predefinito | Attive | 10.1.1.0/24 | VNet |
| Default | Attive | 0.0.0.0./0 | Internet |
| Default | Attive | 10.0.0.0/8 | None |
| Default | Attive | 100.64.0.0./10 | None |
| Default | Attive | 192.168.0.0/16 | None |
Ecco invece una tabella di route di esempio dopo aver aggiunto due endpoint servizio alla rete virtuale:
| ORIGINE | STATE | PREFISSI DEGLI INDIRIZZI | TIPO HOP SUCCESSIVO |
|---|---|---|---|
| Predefinito | Attive | 10.1.1.0/24 | VNet |
| Default | Attive | 0.0.0.0./0 | Internet |
| Default | Attive | 10.0.0.0/8 | None |
| Default | Attive | 100.64.0.0./10 | None |
| Default | Attive | 192.168.0.0/16 | None |
| Default | Attive | 20.38.106.0/23, più 10 | VirtualNetworkServiceEndpoint |
| Default | Attive | 20.150.2.0/23, più 9 | VirtualNetworkServiceEndpoint |
Tutto il traffico per il servizio ora viene indirizzato a VirtualNetworkServiceEndpoint e rimane all'interno di Azure.
Endpoint di servizio e reti ibride
Le risorse del servizio che sono state protette usando endpoint servizio di rete virtuale non sono, per impostazione predefinita, accessibili dalle reti locali. Per accedere alle risorse da una rete locale, usare indirizzi IP NAT. Se si usa ExpressRoute per la connettività da locale ad Azure, sarà necessario identificare gli indirizzi IP NAT usati da ExpressRoute. Per impostazione predefinita, ogni circuito usa due indirizzi IP NAT per connettersi alla rete backbone di Azure. È quindi necessario aggiungere questi indirizzi IP nella configurazione del firewall IP della risorsa del servizio di Azure, ad esempio Archiviazione di Azure.
Il diagramma seguente illustra come si può usare un endpoint di servizio e una configurazione del firewall per consentire ai dispositivi locali di accedere alle risorse di Archiviazione di Azure:
