Usar uma VPN com a Instância Gerenciada do Azure para Apache Cassandra

  • Artigo

Os nós da Instância Gerenciada do Azure para Apache Cassandra requerem acesso a muitos outros serviços do Azure quando injetados na sua rede virtual. Normalmente, o acesso é habilitado garantindo que sua rede virtual tenha acesso de saída para a internet. Se a sua política de segurança proibir o acesso de saída, você poderá configurar regras de firewall ou rotas definidas pelo usuário para o acesso apropriado. Para obter mais informações, confira Regras de rede de saída obrigatórias.

No entanto, se tiver preocupações com a segurança interna no que se refere à exfiltração de dados, sua política de segurança talvez proíba o acesso direto a esses serviços a partir da sua rede virtual. Ao usar uma rede virtual privada (VPN) com a Instância Gerenciada do Azure para Apache Cassandra, você pode se certificar de que os nós de dados na rede virtual se comuniquem apenas com um único ponto de extremidade de VPN, sem nenhum acesso direto a outros serviços.

Como ele funciona

Uma máquina virtual chamada operador faz parte de cada Instância Gerenciada do Azure para Apache Cassandra. Ela ajuda a gerenciar o cluster. Por padrão, o operador está na mesma rede virtual que o cluster. O que significa que o operador e as VMs de dados têm as mesmas regras de NSG (Grupo de Segurança de Rede). O que não é ideal por motivos de segurança e também permite que os clientes impeçam que o operador atinja os serviços necessários do Azure ao configurar regras de NSG para sua sub-rede.

O uso da VPN como método de conexão para uma Instância Gerenciada do Azure para Apache Cassandra permite que o operador esteja em uma rede virtual diferente do cluster usando o serviço de link privado. O que significa que o operador pode estar em uma rede virtual que tem acesso aos serviços necessários do Azure e o cluster pode estar em uma rede virtual que você controla.

Captura de tela de um design de vpn.

Com a VPN, o operador agora pode se conectar a um endereço IP privado dentro do intervalo de endereços da rede virtual chamado um ponto de extremidade privado. O link privado roteia os dados entre o operador e o ponto de extremidade privado por meio da rede de backbone do Azure, evitando a exposição à Internet pública.

Benefícios de segurança

Queremos impedir que os invasores acessem a rede virtual em que o operador está implantado e tentando roubar dados. Portanto, temos medidas de segurança em vigor para garantir que o Operador só possa alcançar os serviços necessários do Azure.

  • Políticas de ponto de extremidade de serviço: essas políticas oferecem controle granular sobre o tráfego de saída dentro da rede virtual, especialmente para os serviços do Azure. Usando pontos de extremidade de serviço, eles estabelecem restrições, permitindo acesso a dados exclusivamente a serviços especificados do Azure, como Monitoramento do Azure, Armazenamento do Microsoft Azure e Azure KeyVault. Essas políticas garantem que a saída de dados seja limitada exclusivamente a contas predeterminadas do Armazenamento do Microsoft Azure, aprimorando a segurança e o gerenciamento de dados na infraestrutura de rede.

  • Grupos de Segurança de Rede: estes grupos são usados para filtrar o tráfego de rede entre os recursos em uma rede virtual do Azure. Bloqueamos todo o tráfego do Operador para a Internet e só permitimos o tráfego para determinados serviços do Azure por meio de um conjunto de regras NSG.

Como usar uma VPN com a Instância Gerenciada do Azure para Apache Cassandra

  1. Crie um cluster da Instância Gerenciada do Azure para Apache Cassandra usando "VPN" como o valor da opção --azure-connection-method:

    az managed-cassandra cluster create \
--cluster-name "vpn-test-cluster" \
--resource-group "vpn-test-rg" \
--location "eastus2" \
--azure-connection-method "VPN" \
--initial-cassandra-admin-password "password"

  2. Use o comando a seguir para ver as propriedades do cluster:

    az managed-cassandra cluster show \
--resource-group "vpn-test-rg" \
--cluster-name "vpn-test-cluster"

    Na saída, copie o valor da privateLinkResourceId.

  3. No portal do Azure, crie um ponto de extremidade privado usando os detalhes a seguir:

    1. Na guia Recurso, selecione Conectar a um recurso do Azure tendo uma ID de recurso ou de um alias como o método de conexão e o Microsoft.Network/privateLinkServices como o tipo de recurso. Insira o valor de privateLinkResourceId da etapa anterior.
    2. Na guia Rede Virtual, selecione a sub-rede da sua rede virtual e selecione a opção Alocar um endereço IP estaticamente.
    3. Valide e crie.

    Observação

    No momento, a conexão entre o nosso serviço de gerenciamento e seu ponto de extremidade privado requer que uma aprovação da equipe da Instância Gerenciada do Azure para Apache Cassandra.

  4. Obtenha o endereço IP da interface de rede do seu ponto de extremidade privado.

  5. Crie um novo data center usando o endereço IP da etapa anterior como o parâmetro --private-endpoint-ip-address.

Próximas etapas