Zabezpieczenia sieci dla usługi Azure Event Hubs
W tym artykule opisano sposób używania następujących funkcji zabezpieczeń w usłudze Azure Event Hubs:
- Tagi usługi
- Reguły zapory adresów IP
- Punkty końcowe usługi sieciowej
- Prywatne punkty końcowe
Tagi usługi
Tag usługi reprezentuje grupę prefiksów adresów IP z danej usługi platformy Azure. Firma Microsoft zarządza prefiksami adresów uwzględnionych przez tag usługi i automatycznie aktualizuje tag usługi w miarę zmiany adresów, minimalizując złożoność częstych aktualizacji reguł zabezpieczeń sieci. Aby uzyskać więcej informacji na temat tagów usług, zobacz Omówienie tagów usługi.
Za pomocą tagów usługi można zdefiniować mechanizmy kontroli dostępu do sieci w sieciowych grupach zabezpieczeń lub usłudze Azure Firewall. Podczas tworzenia reguł zabezpieczeń można użyć tagów usługi zamiast konkretnych adresów IP. Określając nazwę tagu usługi (na przykład EventHub) w odpowiednim polu źródłowym lub docelowym reguły, można zezwolić na ruch dla odpowiedniej usługi lub go zablokować.
| Tag usługi | Purpose | Czy można używać ruchu przychodzącego lub wychodzącego? | Czy może być regionalny? | Czy można używać z usługą Azure Firewall? |
|---|---|---|---|---|
EventHub |
Azure Event Hubs. | Wychodzące | Tak | Tak |
Uwaga
Tag usługi Azure Event Hubs zawiera niektóre adresy IP używane przez usługę Azure Service Bus ze względów historycznych.
Zapora bazująca na adresach IP
Domyślnie przestrzenie nazw usługi Event Hubs są dostępne z Internetu, o ile żądanie jest dostarczane z prawidłowym uwierzytelnianiem i autoryzacją. Zapora ip umożliwia dalsze ograniczenie go tylko do zestawu adresów IPv4 lub IPv6 lub zakresów adresów w notacji CIDR (routing międzydomenowy bez klas).
Ta funkcja jest przydatna w scenariuszach, w których usługa Azure Event Hubs powinna być dostępna tylko z określonych dobrze znanych witryn. Reguły zapory umożliwiają konfigurowanie reguł akceptowania ruchu pochodzącego z określonych adresów IPv4 lub IPv6. Jeśli na przykład używasz usługi Event Hubs z usługą Azure Express Route, możesz utworzyć regułę zapory, aby zezwolić na ruch tylko z lokalnych adresów IP infrastruktury.
Reguły zapory adresów IP są stosowane na poziomie przestrzeni nazw usługi Event Hubs. W związku z tym reguły mają zastosowanie do wszystkich połączeń od klientów przy użyciu dowolnego obsługiwanego protokołu. Każda próba połączenia z adresu IP, który nie jest zgodny z dozwoloną regułą IP w przestrzeni nazw usługi Event Hubs, jest odrzucana jako nieautoryzowana. Odpowiedź nie wspomina o regule adresu IP. Reguły filtrowania adresów IP są stosowane w kolejności, a pierwsza reguła zgodna z adresem IP określa akcję akceptowania lub odrzucania.
Aby uzyskać więcej informacji, zobacz How to configure IP firewall for an event hub (Jak skonfigurować zaporę IP dla centrum zdarzeń).
Punkty końcowe usługi sieciowej
Integracja usługi Event Hubs z punktami końcowymi usługi sieci wirtualnej umożliwia bezpieczny dostęp do funkcji obsługi komunikatów z obciążeń, takich jak maszyny wirtualne powiązane z sieciami wirtualnymi, przy czym ścieżka ruchu sieciowego jest zabezpieczona na obu końcach.
Po skonfigurowaniu połączenia z co najmniej jednym punktem końcowym usługi podsieci sieci wirtualnej odpowiedni obszar nazw usługi Event Hubs nie akceptuje już ruchu z dowolnego miejsca, ale autoryzowanych podsieci w sieciach wirtualnych. Z perspektywy sieci wirtualnej powiązanie przestrzeni nazw usługi Event Hubs z punktem końcowym usługi konfiguruje izolowany tunel sieciowy z podsieci sieci wirtualnej do usługi obsługi komunikatów.
Wynikiem jest prywatna i izolowana relacja między obciążeniami powiązanymi z podsiecią a odpowiednią przestrzenią nazw usługi Event Hubs, pomimo zauważalnego adresu sieciowego punktu końcowego usługi obsługi komunikatów w publicznym zakresie adresów IP. Istnieje wyjątek od tego zachowania. Po włączeniu punktu końcowego usługi usługa domyślnie włącza denyall regułę w zaporze ip skojarzonej z siecią wirtualną. Możesz dodać określone adresy IP w zaporze ip, aby umożliwić dostęp do publicznego punktu końcowego usługi Event Hubs.
Ważne
Ta funkcja nie jest obsługiwana w warstwie Podstawowa.
Zaawansowane scenariusze zabezpieczeń włączone przez integrację sieci wirtualnej
Rozwiązania, które wymagają ścisłego i podzielonego zabezpieczeń, a podsieci sieci wirtualnej zapewniają segmentację między usługami z podziałem na przedziały, nadal wymagają ścieżek komunikacyjnych między usługami znajdującymi się w tych przedziałach.
Każda natychmiastowa trasa IP między przedziałami, w tym przewożące protokół HTTPS za pośrednictwem protokołu TCP/IP, niesie ze sobą ryzyko wykorzystania luk w zabezpieczeniach z warstwy sieciowej. Usługi obsługi komunikatów zapewniają izolowane ścieżki komunikacyjne, w których komunikaty są nawet zapisywane na dysku podczas przechodzenia między stronami. Obciążenia w dwóch różnych sieciach wirtualnych, które są powiązane z tym samym wystąpieniem usługi Event Hubs, mogą komunikować się wydajnie i niezawodnie za pośrednictwem komunikatów, podczas gdy odpowiednia integralność granicy izolacji sieci jest zachowywana.
Oznacza to, że poufne rozwiązania w chmurze zabezpieczeń nie tylko uzyskują dostęp do wiodących w branży niezawodnych i skalowalnych możliwości obsługi komunikatów asynchronicznych, ale mogą teraz używać komunikatów do tworzenia ścieżek komunikacyjnych między bezpiecznymi przedziałami rozwiązań, które są z natury bezpieczniejsze niż to, co jest osiągalne w przypadku dowolnego trybu komunikacji równorzędnej, w tym protokołów HTTPS i innych protokołów gniazd zabezpieczonych za pomocą protokołu TLS.
Wiązanie centrów zdarzeń z sieciami wirtualnymi
Reguły sieci wirtualnej to funkcja zabezpieczeń zapory, która kontroluje, czy przestrzeń nazw usługi Azure Event Hubs akceptuje połączenia z określonej podsieci sieci wirtualnej.
Powiązanie przestrzeni nazw usługi Event Hubs z siecią wirtualną jest procesem dwuetapowym. Najpierw należy utworzyć punkt końcowy usługi sieci wirtualnej w podsieci sieci wirtualnej i włączyć go dla witryny Microsoft.EventHub zgodnie z opisem w artykule Omówienie punktu końcowego usługi. Po dodaniu punktu końcowego usługi należy powiązać z nią przestrzeń nazw usługi Event Hubs za pomocą reguły sieci wirtualnej.
Reguła sieci wirtualnej jest skojarzeniem przestrzeni nazw usługi Event Hubs z podsiecią sieci wirtualnej. Chociaż reguła istnieje, wszystkie obciążenia powiązane z podsiecią mają dostęp do przestrzeni nazw usługi Event Hubs. Sama usługa Event Hubs nigdy nie ustanawia połączeń wychodzących, nie musi uzyskiwać dostępu i dlatego nigdy nie udziela dostępu do podsieci przez włączenie tej reguły.
Aby uzyskać więcej informacji, zobacz Jak skonfigurować punkty końcowe usługi sieci wirtualnej dla centrum zdarzeń.
Prywatne punkty końcowe
Usługa Azure Private Link umożliwia dostęp do usług platformy Azure (na przykład Azure Event Hubs, Azure Storage i Azure Cosmos DB) oraz hostowanych przez platformę Azure usług klientów/partnerów za pośrednictwem prywatnego punktu końcowego w sieci wirtualnej.
Prywatny punkt końcowy to interfejs sieciowy, który nawiązuje prywatne i bezpieczne połączenie z usługą obsługiwaną przez usługę Azure Private Link. Prywatny punkt końcowy używa prywatnego adresu IP z sieci wirtualnej, efektywnie przenosząc usługę do sieci wirtualnej. Cały ruch do usługi może być kierowany przez prywatny punkt końcowy. Nie jest wówczas wymagane użycie bram, urządzeń NAT, połączeń ExpressRoute, połączeń VPN ani publicznych adresów IP. Ruch między siecią wirtualną a usługą odbywa się za pośrednictwem sieci szkieletowej firmy Microsoft, eliminując ekspozycję z publicznego Internetu. Możesz nawiązać połączenie z wystąpieniem zasobu platformy Azure, zapewniając najwyższy poziom szczegółowości kontroli dostępu.
Ważne
Ta funkcja nie jest obsługiwana w warstwie Podstawowa.
Aby uzyskać więcej informacji, zobacz Jak skonfigurować prywatne punkty końcowe dla centrum zdarzeń.
Następne kroki
Odwiedź następujące artykuły: