Netwerkbeveiliging voor Azure Event Hubs

In dit artikel wordt beschreven hoe u de volgende beveiligingsfuncties gebruikt met Azure Event Hubs:

• Servicetags
• IP-firewallregels
• Netwerkservice-eindpunten
• Privé-eindpunten

Servicetags

Een servicetag vertegenwoordigt een groep IP-adresvoorvoegsels van een bepaalde Azure-service. Microsoft beheert de adresvoorvoegsels die worden omvat door de servicetag en werkt de servicetag automatisch bij naarmate de adressen veranderen, waardoor de complexiteit van frequente updates voor netwerkbeveiligingsregels wordt geminimaliseerd. Zie het overzicht van servicetags voor meer informatie over servicetags.

U kunt servicetags gebruiken om netwerktoegangsbeheer voor netwerkbeveiligingsgroepen of Azure Firewall te definiëren. Gebruik servicetags in plaats van specifieke IP-adressen wanneer je beveiligingsregels maakt. Door de naam van de servicetag (bijvoorbeeld EventHub) op te geven in het juiste bron - of doelveld van een regel, kunt u het verkeer voor de bijbehorende service toestaan of weigeren.

Servicetag	Doel	Kunt u binnenkomend of uitgaand gebruiken?	Kan het regionaal zijn?	Kan dit worden gebruikt met Azure Firewall?
EventHub	Azure Event Hubs.	Uitgaand	Ja	Ja

Notitie

De Azure Event Hubs-servicetag bevat een aantal IP-adressen die door Azure Service Bus worden gebruikt vanwege historische redenen.

IP-firewall

Event Hubs-naamruimten zijn standaard toegankelijk vanaf internet zolang de aanvraag wordt geleverd met geldige verificatie en autorisatie. Met IP-firewall kunt u deze verder beperken tot alleen een set IPv4- of IPv6-adressen of adresbereiken in CIDR-notatie (Classless Inter-Domain Routing).

Deze functie is handig in scenario's waarin Azure Event Hubs alleen toegankelijk moet zijn vanaf bepaalde bekende sites. Met firewallregels kunt u regels configureren voor het accepteren van verkeer dat afkomstig is van specifieke IPv4- of IPv6-adressen. Als u bijvoorbeeld Event Hubs gebruikt met Azure Express Route, kunt u een firewallregel maken om alleen verkeer van uw on-premises INFRASTRUCTUUR-IP-adressen toe te staan.

De IP-firewallregels worden toegepast op het niveau van de Event Hubs-naamruimte. Daarom zijn de regels van toepassing op alle verbindingen van clients die elk ondersteund protocol gebruiken. Een verbindingspoging van een IP-adres dat niet overeenkomt met een toegestane IP-regel in de Event Hubs-naamruimte, wordt geweigerd als onbevoegd. Het antwoord vermeldt de IP-regel niet. IP-filterregels worden op volgorde toegepast en de eerste regel die overeenkomt met het IP-adres bepaalt de actie Accepteren of Weigeren.

Zie IP-firewall configureren voor een Event Hub voor meer informatie.

Netwerkservice-eindpunten

De integratie van Event Hubs met Service-eindpunten voor virtueel netwerk (virtueel netwerk) maakt beveiligde toegang tot berichtenmogelijkheden mogelijk van workloads zoals virtuele machines die zijn gebonden aan virtuele netwerken, waarbij het netwerkverkeerspad aan beide uiteinden wordt beveiligd.

Zodra deze is geconfigureerd om te zijn gebonden aan ten minste één service-eindpunt voor het subnet van het virtuele netwerk, accepteert de respectieve Event Hubs-naamruimte geen verkeer meer vanaf elke locatie, maar van geautoriseerde subnetten in virtuele netwerken. Vanuit het perspectief van het virtuele netwerk configureert het binden van een Event Hubs-naamruimte aan een service-eindpunt een geïsoleerde netwerktunnel van het subnet van het virtuele netwerk naar de berichtenservice.

Het resultaat is een privé- en geïsoleerde relatie tussen de workloads die zijn gebonden aan het subnet en de respectieve Event Hubs-naamruimte, ondanks het waarneembare netwerkadres van het berichtenservice-eindpunt dat zich in een openbaar IP-bereik bevindt. Er is een uitzondering op dit gedrag. Wanneer u een service-eindpunt inschakelt, schakelt de service standaard de denyall regel in in de IP-firewall die is gekoppeld aan het virtuele netwerk. U kunt specifieke IP-adressen toevoegen in de IP-firewall om toegang tot het openbare Event Hubs-eindpunt in te schakelen.

Belangrijk

Deze functie wordt niet ondersteund in de basic-laag .

Geavanceerde beveiligingsscenario's die zijn ingeschakeld door integratie van virtuele netwerken

Oplossingen waarvoor een strakke en gecompartimentaliseerde beveiliging is vereist, en waarbij subnetten van virtuele netwerken de segmentatie tussen de gecompartimenteerde services bieden, moeten er nog steeds communicatiepaden tussen services in die compartimenten worden gebruikt.

Elke directe IP-route tussen de compartimenten, met inbegrip van die met HTTPS via TCP/IP, draagt het risico op misbruik van beveiligingsproblemen van de netwerklaag op. Berichtenservices bieden geïsoleerde communicatiepaden, waarbij berichten zelfs naar schijf worden geschreven tijdens de overgang tussen partijen. Workloads in twee afzonderlijke virtuele netwerken die beide aan hetzelfde Event Hubs-exemplaar zijn gebonden, kunnen efficiënt en betrouwbaar communiceren via berichten, terwijl de respectieve integriteit van de netwerkisolatiegrens behouden blijft.

Dat betekent dat uw beveiligingsgevoelige cloudoplossingen niet alleen toegang krijgen tot toonaangevende betrouwbare en schaalbare asynchrone berichtenmogelijkheden van Azure, maar ze kunnen nu berichten gebruiken om communicatiepaden te maken tussen beveiligde oplossingscompartimenten die inherent veiliger zijn dan wat mogelijk is met elke peer-to-peer-communicatiemodus, waaronder HTTPS en andere tls-beveiligde socketprotocollen.

Event Hubs binden aan virtuele netwerken

Regels voor virtuele netwerken zijn de firewallbeveiligingsfunctie waarmee wordt bepaald of uw Azure Event Hubs-naamruimte verbindingen van een bepaald subnet van een virtueel netwerk accepteert.

Het binden van een Event Hubs-naamruimte aan een virtueel netwerk is een proces in twee stappen. U moet eerst een service-eindpunt voor een virtueel netwerk maken op het subnet van een virtueel netwerk en dit inschakelen voor Microsoft.EventHub, zoals wordt uitgelegd in het overzichtsartikel van het service-eindpunt. Zodra u het service-eindpunt hebt toegevoegd, verbindt u de Event Hubs-naamruimte met een regel voor een virtueel netwerk.

De regel voor het virtuele netwerk is een koppeling van de Event Hubs-naamruimte met een subnet van een virtueel netwerk. Hoewel de regel bestaat, krijgen alle workloads die zijn gebonden aan het subnet toegang tot de Event Hubs-naamruimte. Event Hubs zelf brengt nooit uitgaande verbindingen tot stand, hoeft geen toegang te krijgen en krijgt daarom nooit toegang tot uw subnet door deze regel in te schakelen.

Zie Service-eindpunten voor virtuele netwerken configureren voor een Event Hub voor meer informatie.

Privé-eindpunten

Met de Azure Private Link-service hebt u toegang tot Azure-services (bijvoorbeeld Azure Event Hubs, Azure Storage en Azure Cosmos DB) en door Azure gehoste services van klanten/partners via een privé-eindpunt in uw virtuele netwerk.

Een privé-eindpunt is een netwerkinterface waarmee u privé en veilig verbinding maakt met een service die door Azure Private Link mogelijk wordt gemaakt. Het privé-eindpunt maakt gebruik van een privé IP-adres van uw virtuele netwerk waardoor de service feitelijk in uw virtuele netwerk wordt geplaatst. Al het verkeer naar de service kan worden gerouteerd via het privé-eindpunt, zodat er geen gateways, NAT-apparaten, ExpressRoute of VPN-verbindingen of openbare IP-adressen nodig zijn. Verkeer tussen uw virtuele netwerk en de services wordt via het backbonenetwerk van Microsoft geleid, waarmee de risico's van het openbare internet worden vermeden. U kunt verbinding maken met een exemplaar van een Azure-resource, zodat u het hoogste granulariteit krijgt in toegangsbeheer.

Belangrijk

Deze functie wordt niet ondersteund in de basic-laag .

Zie Privé-eindpunten configureren voor een Event Hub voor meer informatie.

Volgende stappen

Zie de volgende artikelen:

• IP-firewall configureren voor een Event Hub
• Service-eindpunten voor virtuele netwerken configureren voor een Event Hub
• Privé-eindpunten configureren voor een Event Hub