Netwerkbeveiliging voor Azure Service Bus
In dit artikel wordt beschreven hoe u de volgende beveiligingsfuncties gebruikt met Azure Service Bus:
- Servicetags
- IP-firewallregels
- Netwerkservice-eindpunten
- Privé-eindpunten
Servicetags
Een servicetag vertegenwoordigt een groep IP-adresvoorvoegsels van een bepaalde Azure-service. Microsoft beheert de adresvoorvoegsels die worden omvat door de servicetag en werkt de servicetag automatisch bij naarmate de adressen veranderen, waardoor de complexiteit van frequente updates voor netwerkbeveiligingsregels wordt geminimaliseerd. Zie het overzicht van servicetags voor meer informatie over servicetags.
U kunt servicetags gebruiken om netwerktoegangsbeheer voor netwerkbeveiligingsgroepen of Azure Firewall te definiëren. Gebruik servicetags in plaats van specifieke IP-adressen wanneer je beveiligingsregels maakt. Door de naam van de servicetag (bijvoorbeeld ServiceBus) op te geven in het juiste bron - of doelveld van een regel, kunt u het verkeer voor de bijbehorende service toestaan of weigeren.
| Servicetag | Doel | Kunt u binnenkomend of uitgaand gebruiken? | Kan het regionaal zijn? | Kan dit worden gebruikt met Azure Firewall? |
|---|---|---|---|---|
| ServiceBus | Azure Service Bus-verkeer dat gebruikmaakt van de Premium-servicelaag. | Uitgaand | Ja | Ja |
Notitie
U kunt servicetags alleen gebruiken voor Premium-naamruimten . Als u een standaardnaamruimte gebruikt, gebruikt u in plaats daarvan de FQDN-naamruimte van de naamruimte, in de vorm van <contoso.servicebus.windows.net>. U kunt ook het IP-adres gebruiken dat u ziet wanneer u de volgende opdracht uitvoert: nslookup <host name for the namespace>, maar dit wordt niet aanbevolen of ondersteund en u moet wijzigingen in de IP-adressen bijhouden.
IP-firewall
Service Bus-naamruimten zijn standaard toegankelijk vanaf internet zolang de aanvraag wordt geleverd met geldige verificatie en autorisatie. Met IP-firewall kunt u deze verder beperken tot alleen een set IPv4-adressen of IPv4-adresbereiken in CIDR-notatie (Classless Inter-Domain Routing).
Deze functie is handig in scenario's waarin Azure Service Bus alleen toegankelijk moet zijn vanaf bepaalde bekende sites. Met firewallregels kunt u regels configureren voor het accepteren van verkeer dat afkomstig is van specifieke IPv4-adressen. Als u bijvoorbeeld Service Bus met Azure Express Route gebruikt, kunt u een firewallregel maken om alleen verkeer van uw on-premises IP-adressen of adressen van een bedrijfs-NAT-gateway toe te staan.
De IP-firewallregels worden toegepast op het niveau van de Service Bus-naamruimte. Daarom zijn de regels van toepassing op alle verbindingen van clients die elk ondersteund protocol gebruiken. Een verbindingspoging van een IP-adres dat niet overeenkomt met een toegestane IP-regel in de Service Bus-naamruimte, wordt geweigerd als onbevoegd. Het antwoord vermeldt de IP-regel niet. IP-filterregels worden op volgorde toegepast en de eerste regel die overeenkomt met het IP-adres bepaalt de actie Accepteren of Weigeren.
Zie IP-firewall configureren voor een Service Bus-naamruimte voor meer informatie
Netwerkservice-eindpunten
De integratie van Service Bus met VNet-service-eindpunten (Virtual Network) maakt beveiligde toegang tot berichtenmogelijkheden mogelijk van workloads zoals virtuele machines die zijn gebonden aan virtuele netwerken, waarbij het netwerkverkeerspad aan beide uiteinden wordt beveiligd.
Zodra de configuratie is geconfigureerd dat deze is gebonden aan ten minste één subnetservice-eindpunt van het virtuele netwerk, accepteert de respectieve Service Bus-naamruimte geen verkeer meer vanaf elke locatie, maar van geautoriseerde virtuele netwerken. Vanuit het perspectief van het virtuele netwerk configureert het binden van een Service Bus-naamruimte aan een service-eindpunt een geïsoleerde netwerktunnel van het subnet van het virtuele netwerk naar de berichtenservice.
Het resultaat is een privé- en geïsoleerde relatie tussen de workloads die zijn gebonden aan het subnet en de respectieve Service Bus-naamruimte, ondanks het waarneembare netwerkadres van het berichtenservice-eindpunt dat zich in een openbaar IP-bereik bevindt.
Belangrijk
Virtuele netwerken worden alleen ondersteund in Service Bus-naamruimten in de Premium-laag .
Wanneer u VNet-service-eindpunten met Service Bus gebruikt, moet u deze eindpunten niet inschakelen in toepassingen die Service Bus-naamruimten in de Standard- en Premium-laag combineren. Omdat de Standard-laag geen ondersteuning biedt voor VNets. Het eindpunt is alleen beperkt tot naamruimten in de Premium-laag.
Geavanceerde beveiligingsscenario's ingeschakeld door VNet-integratie
Oplossingen die een strakke en gecompartimentaliseerde beveiliging vereisen, en waarbij subnetten van virtuele netwerken de segmentatie tussen de gecompartimenteerde services bieden, hebben over het algemeen nog steeds communicatiepaden nodig tussen services die zich in die compartimenten bevinden.
Elke directe IP-route tussen de compartimenten, met inbegrip van die met HTTPS via TCP/IP, draagt het risico op misbruik van beveiligingsproblemen van de netwerklaag op. Berichtenservices bieden volledig geïsoleerde communicatiepaden, waarbij berichten zelfs naar schijf worden geschreven wanneer ze tussen partijen worden overgezet. Workloads in twee afzonderlijke virtuele netwerken die beide aan hetzelfde Service Bus-exemplaar zijn gebonden, kunnen efficiënt en betrouwbaar communiceren via berichten, terwijl de respectieve integriteit van de netwerkisolatiegrens behouden blijft.
Dat betekent dat uw beveiligingsgevoelige cloudoplossingen niet alleen toegang krijgen tot toonaangevende betrouwbare en schaalbare asynchrone berichtenmogelijkheden van Azure, maar ze kunnen nu berichten gebruiken om communicatiepaden te maken tussen beveiligde oplossingscompartimenten die inherent veiliger zijn dan wat mogelijk is met elke peer-to-peer-communicatiemodus, waaronder HTTPS en andere tls-beveiligde socketprotocollen.
Service Bus verbinden met virtuele netwerken
Regels voor virtuele netwerken zijn de firewallbeveiligingsfunctie waarmee wordt bepaald of uw Azure Service Bus-server verbindingen van een bepaald subnet van een virtueel netwerk accepteert.
Het binden van een Service Bus-naamruimte aan een virtueel netwerk is een proces in twee stappen. U moet eerst een service-eindpunt voor een virtueel netwerk maken op een subnet van een virtueel netwerk en dit inschakelen voor Microsoft.ServiceBus, zoals wordt uitgelegd in het overzicht van het service-eindpunt. Zodra u het service-eindpunt hebt toegevoegd, verbindt u de Service Bus-naamruimte met een regel voor een virtueel netwerk.
De regel voor het virtuele netwerk is een koppeling van de Service Bus-naamruimte met een subnet van een virtueel netwerk. Hoewel de regel bestaat, krijgen alle workloads die zijn gebonden aan het subnet toegang tot de Service Bus-naamruimte. Service Bus zelf brengt nooit uitgaande verbindingen tot stand, hoeft geen toegang te krijgen en krijgt daarom nooit toegang tot uw subnet door deze regel in te schakelen.
Zie Service-eindpunten voor virtuele netwerken configureren voor een Service Bus-naamruimte voor meer informatie
Privé-eindpunten
Met de Azure Private Link-service hebt u toegang tot Azure-services (bijvoorbeeld Azure Service Bus, Azure Storage en Azure Cosmos DB) en door Azure gehoste services van klanten/partners via een privé-eindpunt in uw virtuele netwerk.
Een privé-eindpunt is een netwerkinterface waarmee u privé en veilig verbinding maakt met een service die door Azure Private Link mogelijk wordt gemaakt. Het privé-eindpunt maakt gebruik van een privé-IP-adres van uw VNet, waardoor de service feitelijk in uw VNet wordt geplaatst. Al het verkeer naar de service kan worden gerouteerd via het privé-eindpunt, zodat er geen gateways, NAT-apparaten, ExpressRoute of VPN-verbindingen of openbare IP-adressen nodig zijn. Verkeer tussen uw virtuele netwerk en de services wordt via het backbonenetwerk van Microsoft geleid, waarmee de risico's van het openbare internet worden vermeden. U kunt verbinding maken met een exemplaar van een Azure-resource, zodat u het hoogste granulariteit krijgt in toegangsbeheer.
Zie Wat is een Azure Private Link? voor meer informatie.
Notitie
Deze functie wordt ondersteund met de Premium-laag van Azure Service Bus. Zie het artikel Service Bus Premium en Standard Messaging-lagen voor meer informatie over de Premium-laag.
Zie Privé-eindpunten configureren voor een Service Bus-naamruimte voor meer informatie
Volgende stappen
Zie de volgende artikelen: