Co to jest łącze prywatne platformy Azure?

  • 12 min

Zanim dowiesz się więcej o usłudze Azure Private Link i jego funkcjach i korzyściach, przyjrzyjmy się problemowi, który ma rozwiązać usługa Private Link.

Firma Contoso ma sieć wirtualną platformy Azure i chcesz nawiązać połączenie z zasobem PaaS, takim jak baza danych Azure SQL Database. Podczas tworzenia takich zasobów zwykle należy określić publiczny punkt końcowy jako metodę łączności.

Posiadanie publicznego punktu końcowego oznacza, że zasób ma przypisany publiczny adres IP. Tak więc, mimo że zarówno sieć wirtualna, jak i baza danych Azure SQL Database znajdują się w chmurze platformy Azure, połączenie między nimi odbywa się za pośrednictwem Internetu.

Problem polega na tym, że baza danych Azure SQL Database jest uwidoczniona w Internecie za pośrednictwem publicznego adresu IP. To narażenie powoduje wiele zagrożeń bezpieczeństwa. Te same zagrożenia bezpieczeństwa występują, gdy zasób platformy Azure jest uzyskiwany za pośrednictwem publicznego adresu IP z następujących lokalizacji:

  • Równorzędna sieć wirtualna platformy Azure
  • Sieć lokalna łącząca się z platformą Azure przy użyciu usługi ExpressRoute i komunikacji równorzędnej firmy Microsoft
  • Sieć wirtualna platformy Azure klienta, która łączy się z usługą platformy Azure oferowaną przez Twoją firmę

Network diagram of an Azure virtual network, an Azure peered virtual network, and an on-premises network accessing an Azure SQL database via the internet.

Usługa Private Link została zaprojektowana tak, aby wyeliminować te zagrożenia bezpieczeństwa przez usunięcie publicznej części połączenia.

Usługa Private Link zapewnia bezpieczny dostęp do usług platformy Azure. Usługa Private Link zapewnia to bezpieczeństwo, zastępując publiczny punkt końcowy zasobu prywatnym interfejsem sieciowym. W przypadku tej nowej architektury należy wziąć pod uwagę trzy kluczowe kwestie:

  • Zasób platformy Azure staje się w sensie częścią sieci wirtualnej.
  • Połączenie z zasobem używa teraz sieci szkieletowej platformy Microsoft Azure zamiast publicznego Internetu.
  • Zasób platformy Azure można skonfigurować tak, aby nie ujawniał już publicznego adresu IP, co eliminuje potencjalne zagrożenie bezpieczeństwa.

Co to jest prywatny punkt końcowy platformy Azure?

Prywatny punkt końcowy to kluczowa technologia usługi Private Link. Prywatny punkt końcowy to interfejs sieciowy, który umożliwia prywatne i bezpieczne połączenie między siecią wirtualną a usługą platformy Azure. Innymi słowy, prywatny punkt końcowy to interfejs sieciowy, który zastępuje publiczny punkt końcowy zasobu.

Uwaga

Prywatny punkt końcowy nie jest bezpłatną usługą. Płacisz ustawioną opłatę za godzinę, a także opłatę ustawioną za gigabajt zarówno dla ruchu przychodzącego, jak i wychodzącego przechodzącego przez prywatny punkt końcowy.

Usługa Private Link zapewnia prywatny dostęp z sieci wirtualnej platformy Azure do usług PaaS i usług partnerskich firmy Microsoft na platformie Azure. Co jednak zrobić, jeśli firma utworzyła własne usługi platformy Azure dla klientów twojej firmy do korzystania? Czy można zaoferować tym klientom prywatne połączenie z usługami firmy?

Tak, przy użyciu usługi Azure Private Link. Ta usługa umożliwia oferowanie połączeń usługi Private Link z niestandardowymi usługami platformy Azure. Użytkownicy usług niestandardowych mogą następnie uzyskiwać dostęp do tych usług prywatnie — bez korzystania z Internetu — z własnych sieci wirtualnych platformy Azure.

Uwaga

Korzystanie z usługi Private Link nie wiąże się z żadnymi opłatami.

Usługa Private Link współpracująca z prywatnym punktem końcowym i usługą Private Link zapewnia następujące korzyści:

  • Prywatny dostęp do usług PaaS i usług partnerskich firmy Microsoft na platformie Azure. W przypadku korzystania z prywatnego punktu końcowego usługi platformy Azure są mapowane na sieć wirtualną platformy Azure. Nie ma znaczenia, że zasób platformy Azure znajduje się w innej sieci wirtualnej i w innej dzierżawie usługi Active Directory. Dla użytkowników w sieci wirtualnej platformy Azure zasób wydaje się być częścią tej sieci.
  • Prywatny dostęp do usług platformy Azure w dowolnym regionie. Usługa Private Link działa globalnie. Połączenie prywatne z usługą platformy Azure działa nawet wtedy, gdy sieć wirtualna tej usługi znajduje się w innym regionie niż twoja własna sieć wirtualna.
  • Trasy niepublicowe do usług platformy Azure. Gdy usługa platformy Azure została zamapowana na sieć wirtualną, trasa ruchu zmienia się. Cały ruch przychodzący i wychodzący między siecią wirtualną a usługą platformy Azure jest przesyłany przez sieć szkieletową platformy Microsoft Azure. Publiczny Internet nigdy nie jest używany do obsługi ruchu usług.
  • Publiczne punkty końcowe nie są już wymagane. Ponieważ cały ruch do i z zamapowanej usługi platformy Azure teraz przepływa przez sieć szkieletową platformy Microsoft Azure, publiczny punkt końcowy usługi nie jest już wymagany. Możesz wyłączyć ten publiczny punkt końcowy i w związku z tym wyeliminować możliwe zagrożenie bezpieczeństwa.
  • Równorzędne sieci wirtualne platformy Azure uzyskują również dostęp do zasobów opartych na usłudze Private Link. Jeśli używasz co najmniej jednej równorzędnej sieci wirtualnej platformy Azure, nie jest wymagana dodatkowa konfiguracja, aby te sieci równorzędne uzyskiwały dostęp do prywatnego zasobu platformy Azure. Klienci w dowolnej sieci równorzędnej mogą uzyskiwać dostęp do dowolnego prywatnego punktu końcowego zamapowanego na usługę platformy Azure.
  • Twoja sieć lokalna uzyskuje również dostęp do zasobów opartych na usłudze Private Link. Czy sieć lokalna łączy się z siecią wirtualną platformy Azure przy użyciu prywatnej komunikacji równorzędnej usługi ExpressRoute lub tunelu sieci VPN? Jeśli tak, nie jest wymagana dodatkowa konfiguracja dla klientów w sieci lokalnej w celu uzyskania dostępu do prywatnego zasobu platformy Azure.
  • Ochrona przed eksfiltracją danych. Podczas mapowania prywatnego punktu końcowego na usługę platformy Azure mapujesz na określone wystąpienie tej usługi. Jeśli na przykład konfigurujesz dostęp prywatny do usługi Azure Storage, zamapujesz dostęp do obiektu blob, tabeli lub innego wystąpienia magazynu. W przypadku naruszenia zabezpieczeń maszyny wirtualnej w sieci osoba atakująca nie może przenieść ani skopiować danych do innego wystąpienia zasobu.
  • Prywatny dostęp do własnych usług platformy Azure. Usługę Private Link można zaimplementować i zaoferować klientom prywatny dostęp do niestandardowych usług platformy Azure.

Usługa Private Link i prywatny punkt końcowy współpracują z wieloma usługami platformy Azure. Aby być na bieżąco z najnowszymi usługami i regionami obsługującymi usługę Private Link, zapoznaj się z aktualizacjami platformy Azure.