Kiedy używać usługi Azure Private Link

Ukończone

Wiesz, czym jest usługa Private Link i jak działa. Teraz potrzebujesz pewnych kryteriów, aby ocenić, czy usługa Private Link jest odpowiednim wyborem dla twojej firmy. Aby ułatwić podjęcie decyzji, rozważmy następujące cele:

• Wprowadzanie usług PaaS platformy Azure do sieci wirtualnej
• Zabezpieczanie ruchu między siecią firmową a chmurą platformy Azure
• Eliminowanie ekspozycji internetowej na usługi PaaS
• Uzyskiwanie dostępu do zasobów usługi Azure PaaS w sieciach
• Obniżanie ryzyka eksfiltracji danych
• Oferowanie klientom prywatnego dostępu do usług platformy Azure utworzonych przez firmę

W ramach oceny usługi Azure Private Link wiesz, że firma Contoso ma kilka z tych celów. Przeczytaj odpowiednie sekcje, aby uzyskać więcej informacji.

Wprowadzanie usług PaaS platformy Azure do sieci wirtualnej

W zależności od zasobu i sposobu jej konfigurowania łączenie z usługami PaaS platformy Azure może być skomplikowane. Usługa Private Link zmniejsza ten stopień złożoności, dzięki czemu usługi platformy Azure wydają się być tylko kolejnym węzłem w sieci wirtualnej platformy Azure. Dzięki zasobowi usługi Private Link teraz skutecznie częścią sieci wirtualnej klienci mogą używać stosunkowo prostej nazwy FQDN, aby nawiązać połączenie.

Zabezpieczanie ruchu między siecią firmową a chmurą platformy Azure

Oto jeden z paradoksów przetwarzania w chmurze: aby maszyna wirtualna oparta na chmurze uzyskiwała dostęp do usługi u tego samego dostawcy usług w chmurze, połączenie i ruch muszą znajdować się poza chmurą. Oznacza to, że chociaż punkty końcowe znajdują się w chmurze, ruch musi podróżować przez Internet.

Niestety, gdy ruch opuszcza chmurę, staje się "publiczny" i zagrożony. Istnieje długa lista potencjalnych wyczynów, których nikczemni aktorzy mogą użyć do kradzieży, monitorowania lub uszkodzenia tego ruchu.

Usługa Private Link eliminuje to ryzyko, przekierowując ruch tak, aby nie przechodził przez Internet. Zamiast tego cały ruch między siecią wirtualną a zasobem usługi Private Link jest kierowany przez bezpieczną i prywatną sieć szkieletową platformy Azure firmy Microsoft.

Eliminowanie ekspozycji internetowej na usługi PaaS

Większość zasobów paaS platformy Azure jest dostępnych z Internetu. Te zasoby mają domyślnie publiczny punkt końcowy, który oferuje publiczny adres IP, dzięki czemu klienci mogą łączyć się z zasobem za pośrednictwem Internetu.

Publiczny punkt końcowy uwidacznia zasób w Internecie, który jest zgodnie z projektem. Jednak ten punkt końcowy może również działać jako punkt ataku dla hakerów czarnych kapeluszy poszukujących sposobu na infiltrację lub zakłócenia usługi.

Usługa Private Link nie robi nic, aby zapobiec takim atakom. Jednak po utworzeniu prywatnego punktu końcowego i zamapowania go na zasób platformy Azure nie potrzebujesz już publicznego punktu końcowego zasobu. Na szczęście można skonfigurować zasób tak, aby wyłączył publiczny punkt końcowy, tak aby nie przedstawiał już obszaru ataków w Internecie.

Uzyskiwanie dostępu do zasobów usługi Azure PaaS w sieciach

Konfiguracje sieci rzadko składają się z jednej sieci wirtualnej. Większość sieci obejmuje również jedną lub obie z następujących elementów:

• Co najmniej jedna sieć równorzędna połączona za pośrednictwem komunikacji równorzędnej usługi Azure Virtual Network.

• Co najmniej jedna sieć lokalna połączona za pośrednictwem prywatnej komunikacji równorzędnej usługi ExpressRoute lub tunelu VPN.

Bez usługi Private Link te sieci muszą tworzyć własne połączenia z określonym zasobem platformy Azure. Te połączenia zwykle wymagają publicznego Internetu. To zmienia się, gdy prywatny punkt końcowy mapuje zasób platformy Azure na prywatny adres IP w sieci wirtualnej. Teraz wszystkie sieci równorzędne mogą łączyć się bezpośrednio z zasobem usługi Private Link bez żadnej innej konfiguracji.

Obniżanie ryzyka eksfiltracji danych

Załóżmy, że maszyna wirtualna w sieci jest połączona z usługą platformy Azure. Często jest możliwe, aby użytkownik na maszynie wirtualnej uzyskiwał dostęp do wielu zasobów w usłudze platformy Azure. Jeśli na przykład usługa jest usługą Azure Storage, użytkownik może uzyskać dostęp do wielu obiektów blob, tabel, plików itd.

Teraz załóżmy, że użytkownik jest złośliwym infiltratorem, który przejął kontrolę nad maszyną wirtualną. W tym scenariuszu użytkownik może przenieść dane z jednego zasobu do innego, który kontroluje.

Ten scenariusz jest przykładem eksfiltracji danych. Usługa Private Link obniża ryzyko eksfiltracji danych przez mapowanie prywatnego punktu końcowego na pojedyncze wystąpienie zasobu platformy Azure. Osoba atakująca może nadal wyświetlać dane, ale nie ma możliwości kopiowania ani przenoszenia ich do innego zasobu.

Oferowanie klientom prywatnego dostępu do usług platformy Azure utworzonych przez firmę

Załóżmy, że twoja firma tworzy niestandardowe usługi platformy Azure. KtoTo korzysta z tych usług? Może to być każda osoba na poniższej liście:

• Osoby, którzy kupują twoje produkty.
• Dostawcy lub dostawcy firmy.
• Pracownicy firmy.

Możesz powiedzieć, że każdy użytkownik na powyższej liście jest klientem Twojej usługi.

Istnieje doskonała szansa, że dostęp do danych i utworzonych przez tych klientów jest równie ważny, jak dane firmy. W związku z tym dane klienta zasługują na taki sam poziom prywatności i bezpieczeństwa, jak dane firmowe.

Jeśli uważasz, że usługa Private Link jest właściwym wyborem do zabezpieczania danych firmowych, chcesz rozszerzyć ten model zabezpieczeń na niestandardowe usługi platformy Azure. Umieszczając usługi niestandardowe za usługą Azure usługa Load Balancer w warstwie Standardowa, możesz użyć usługi Private Link, aby umożliwić klientom dostęp do usługi przy użyciu prywatnego punktu końcowego.

Wyobraź sobie zadowolenie działu marketingu, gdy poinformujesz ich, że mogą teraz oferować klientom prywatny i bezpieczny dostęp do niestandardowych usług platformy Azure.