Używanie sieci VPN z wystąpieniem zarządzanym platformy Azure dla usługi Apache Cassandra

  • Artykuł

Usługa Azure Managed Instance dla węzłów apache Cassandra wymaga dostępu do wielu innych usług platformy Azure po wstrzyknięciu ich do sieci wirtualnej. Zwykle dostęp jest włączony przez zapewnienie, że sieć wirtualna ma wychodzący dostęp do Internetu. Jeśli zasady zabezpieczeń uniemożliwiają dostęp wychodzący, możesz skonfigurować reguły zapory lub trasy zdefiniowane przez użytkownika dla odpowiedniego dostępu. Aby uzyskać więcej informacji, zobacz Wymagane reguły sieci dla ruchu wychodzącego.

Jeśli jednak masz wewnętrzne obawy dotyczące eksfiltracji danych, zasady zabezpieczeń mogą uniemożliwić bezpośredni dostęp do tych usług z sieci wirtualnej. Korzystając z wirtualnej sieci prywatnej (VPN) z usługą Azure Managed Instance dla usługi Apache Cassandra, możesz upewnić się, że węzły danych w sieci wirtualnej komunikują się tylko z jednym punktem końcowym sieci VPN bez bezpośredniego dostępu do innych usług.

Jak to działa

Maszyna wirtualna o nazwie operator jest częścią każdego wystąpienia zarządzanego platformy Azure dla usługi Apache Cassandra. Ułatwia ona zarządzanie klastrem, domyślnie, operator znajduje się w tej samej sieci wirtualnej co klaster. Oznacza to, że operator i maszyny wirtualne danych mają te same reguły sieciowej grupy zabezpieczeń. Co nie jest idealne ze względów bezpieczeństwa, a także pozwala klientom uniemożliwić operatorowi dotarcie do niezbędnych usług platformy Azure podczas konfigurowania reguł sieciowej grupy zabezpieczeń dla swojej podsieci.

Użycie sieci VPN jako metody połączenia dla wystąpienia zarządzanego platformy Azure dla usługi Apache Cassandra pozwala operatorowi znajdować się w innej sieci wirtualnej niż klaster przy użyciu usługi łącza prywatnego. Oznacza to, że operator może znajdować się w sieci wirtualnej, która ma dostęp do niezbędnych usług platformy Azure, a klaster może znajdować się w sieci wirtualnej, którą kontrolujesz.

Zrzut ekranu przedstawiający projekt sieci VPN.

Za pomocą sieci VPN operator może teraz nawiązać połączenie z prywatnym adresem IP wewnątrz zakresu adresów sieci wirtualnej nazywanej prywatnym punktem końcowym. Łącze prywatne kieruje dane między operatorem a prywatnym punktem końcowym za pośrednictwem sieci szkieletowej platformy Azure, unikając narażenia na publiczny Internet.

Korzyści zabezpieczeń

Chcemy uniemożliwić osobom atakującym dostęp do sieci wirtualnej, w której jest wdrożony operator i próbuje ukraść dane. W związku z tym mamy środki bezpieczeństwa, aby upewnić się, że operator może uzyskiwać dostęp tylko do niezbędnych usług platformy Azure.

  • Zasady punktu końcowego usługi: te zasady zapewniają szczegółową kontrolę nad ruchem wychodzącym w sieci wirtualnej, szczególnie dla usług platformy Azure. Korzystając z punktów końcowych usługi, ustanawiają ograniczenia, zezwalając na dostęp do danych wyłącznie określonym usługom platformy Azure, takich jak Azure Monitoring, Azure Storage i Azure KeyVault. W szczególności te zasady zapewniają, że ruch wychodzący danych jest ograniczony wyłącznie do wstępnie określonych kont usługi Azure Storage, zwiększając bezpieczeństwo i zarządzanie danymi w ramach infrastruktury sieciowej.

  • Sieciowe grupy zabezpieczeń: te grupy służą do filtrowania ruchu sieciowego do i z zasobów w sieci wirtualnej platformy Azure. Blokujemy cały ruch z Operatora do Internetu i zezwalamy tylko na ruch do niektórych usług platformy Azure za pośrednictwem zestawu reguł sieciowej grupy zabezpieczeń.

Jak używać sieci VPN z usługą Azure Managed Instance dla usługi Apache Cassandra

  1. Utwórz wystąpienie zarządzane platformy Azure dla klastra Apache Cassandra przy użyciu "VPN" wartości --azure-connection-method dla opcji:

    az managed-cassandra cluster create \
--cluster-name "vpn-test-cluster" \
--resource-group "vpn-test-rg" \
--location "eastus2" \
--azure-connection-method "VPN" \
--initial-cassandra-admin-password "password"

  2. Użyj następującego polecenia, aby wyświetlić właściwości klastra:

    az managed-cassandra cluster show \
--resource-group "vpn-test-rg" \
--cluster-name "vpn-test-cluster"

    Z danych wyjściowych privateLinkResourceId utwórz kopię wartości.

  3. W witrynie Azure Portal utwórz prywatny punkt końcowy przy użyciu następujących szczegółów:

    1. Na karcie Zasób wybierz pozycję Połączenie do zasobu platformy Azure według identyfikatora zasobu lub aliasu jako metody połączenia i Microsoft.Network/privateLinkServices jako typu zasobu. privateLinkResourceId Wprowadź wartość z poprzedniego kroku.
    2. Na karcie Sieć wirtualna wybierz podsieć sieci wirtualnej i wybierz opcję Statycznie przydziel adres IP.
    3. Zweryfikuj i utwórz.

    Uwaga

    W tej chwili połączenie między usługą zarządzania i prywatnym punktem końcowym wymaga zatwierdzenia przez zespół usługi Azure Managed Instance for Apache Cassandra.

  4. Pobierz adres IP interfejsu sieciowego prywatnego punktu końcowego.

  5. Utwórz nowe centrum danych przy użyciu adresu IP z poprzedniego kroku jako parametru --private-endpoint-ip-address .

Następne kroki

  • Dowiedz się więcej o konfiguracji klastra hybrydowego w usłudze Azure Managed Instance for Apache Cassandra.