Permitir acesso ao namespace do Barramento de Serviço do Azure de intervalos ou endereços IP específicos
Por padrão, os namespaces de Barramento de Serviço são acessíveis pela Internet, desde que a solicitação acompanhe uma autenticação e uma autorização válidas. Com o firewall de IP, você pode restringir ainda mais a um conjunto de endereços IPv4 ou intervalos de endereços IPv4 na notação (na notação CIDR (roteamento entre domínios sem classificação)).
Esse recurso é útil em cenários nos quais o Barramento de Serviço do Azure deve ser acessível apenas através determinados sites conhecidos. As regras de firewall permitem que você configure regras para aceitar o tráfego originado de endereços IPv4 específicos. Por exemplo, se usar o Barramento de Serviço com o Azure ExpressRoute, crie uma regra de firewall para permitir o tráfego apenas de seus endereços IP da infraestrutura local ou de endereços de um gateway da NAT corporativo.
Regras de firewall de IP
As regras de firewall de IP são aplicadas no nível de namespace do Barramento de Serviço. Portanto, as regras se aplicam a todas as conexões de clientes que usam qualquer protocolo com suporte (AMQP (5671) e HTTPS (443)). Qualquer tentativa de conexão de um endereço IP que não corresponda a uma regra IP permitida no namespace do Barramento de Serviço será rejeitada como não autorizada. A resposta não menciona a regra de IP. As regras de filtro IP são aplicadas na ordem e a primeira regra que corresponde ao endereço IP determina a ação de aceitar ou rejeitar.
Pontos importantes
As Redes Virtuais têm suporte apenas no na camada premium do Barramento de Serviço. Se a atualização para a camada premium não for uma opção, será possível usar regras de firewall de IP. Recomendamos que você proteja o token de Assinatura de Acesso Compartilhado (SAS) e compartilhe-o apenas com usuários autorizados. Para obter informações sobre a autenticação SAS, veja Autenticação e autorização.
Especifique pelo menos uma regra de firewall de IP ou regra da rede virtual para o namespace para permitir o tráfego somente dos endereços IP ou da sub-rede de uma rede virtual especificada. Se não houver nenhuma regra de rede virtual e IP, o namespace poderá ser acessado pela Internet pública (usando a chave de acesso).
Implementar as regras de Firewall pode impedir outros serviços do Azure de interagir com o Barramento de Serviço. Como exceção, você pode permitir o acesso a recursos de Barramento de Serviço de determinados serviços confiáveis mesmo quando a filtragem de IP está habilitada. Para obter uma lista de serviços confiáveis, confira Serviços confiáveis.
Os serviços da Microsoft a seguir devem estar em uma rede virtual
- Serviço de aplicativo do Azure
- Funções do Azure
Observação
Você vê a guia Rede somente para namespaces premium. Para definir regras de firewall de IP para as outras camadas, use modelos do Azure Resource Manager, CLI do Azure, PowerShell ou API REST.
Usar o portal do Azure
Ao criar um namespace, você pode permitir acesso somente público (de todas as redes) ou somente privado (somente por meio de pontos de extremidade privados) ao namespace. Depois que o namespace for criado, você poderá permitir o acesso de endereços IP específicos ou de redes virtuais específicas (usando pontos de extremidade de serviço de rede).
Configurar o acesso público ao criar um namespace
Para habilitar o acesso público, selecione Acesso público na página Rede do assistente de criação do namespace.
Depois de criar o namespace, selecione Rede no menu à esquerda da página Namespace do Barramento de Serviço. Você verá que a opção Todas as Redes está selecionada. Você pode selecionar a opção Redes Selecionadas e permitir o acesso de endereços IP específicos ou de redes virtuais específicas. A próxima seção fornece detalhes sobre como configurar o firewall de IP para especificar os endereços IP nos quais o acesso é permitido.
Configurar o firewall de IP para um namespace existente
Esta seção mostra como usar o portal do Azure para criar regras de firewall de IP para um namespace do Barramento de Serviço.
Navegue até o namespace do Barramento de Serviço no portal do Azure.
No menu à esquerda, selecione a opção Rede em Configurações.
Observação
Você vê a guia Rede somente para namespaces premium.
Na página Rede, em Acesso de rede pública, defina uma das três opções a seguir. Para permitir o acesso apenas do endereço IP especificado, selecione a opção Redes selecionadas.
Desabilitada. Essa opção desabilita qualquer acesso público ao namespace. O namespace será acessível somente por meio de pontos de extremidade privados.
Escolha se pretende permitir que os serviços confiáveis da Microsoft ignorem o firewall. Para obter a lista de serviços confiáveis da Microsoft para o Barramento de Serviço do Azure, consulte a seção Serviços Confiáveis da Microsoft.
Redes selecionadas. Essa opção habilita o acesso público ao namespace usando uma chave de acesso de redes selecionadas.
Importante
Se você escolher Redes selecionadas, adicione pelo menos uma regra de firewall IP ou uma rede virtual que terá acesso ao namespace. Escolha Desabilitado se quiser restringir todo o tráfego a esse namespace somente em pontos de extremidade privados.
Todas as redes (padrão). Essa opção habilita o acesso público de todas as redes usando uma chave de acesso. Se você selecionar a opção Todas as redes, o Barramento de Serviço aceitará conexões de qualquer endereço IP (usando a chave de acesso). Essa configuração é equivalente a uma regra que aceita o intervalo de endereço IP 0.0.0.0/0.
Para permitir o acesso apenas do endereço IP especificado, selecione a opção Redes selecionadas se ela ainda não estiver selecionada. Na seção Firewall, siga estas etapas:
Selecione a opção Adicionar o endereço IP do cliente para permitir ao IP do cliente atual acesso ao namespace.
Para intervalo de endereços, insira um endereço IPv4 específico ou um intervalo de endereços IPv4 na notação CIDR.
Especifique se você deseja permitir que serviços confiáveis da Microsoft ignorem esse firewall. Para obter a lista de serviços confiáveis da Microsoft para o Barramento de Serviço do Azure, confira a seção Serviços confiáveis da Microsoft.
Aviso
Se você selecionar a opção Redes selecionadas e não adicionar pelo menos uma regra de firewall de IP ou uma rede virtual nessa página, o namespace poderá ser acessado através de Internet pública (usando a chave de acesso).
Selecione Salvar na barra de ferramentas para salvar as configurações. Aguarde alguns minutos para que a confirmação seja exibida nas notificações do portal.
Observação
Para restringir o acesso a redes virtuais específicas, confira Permitir acesso de redes específicas.
Serviços Microsoft confiáveis
Ao habilitar a opção Permitir que os serviços confiáveis da Microsoft ignorem essa configuração de firewall, os seguintes serviços recebem acesso aos seus recursos do Barramento de Serviço.
| Serviço confiável | Cenários de uso com suporte |
|---|---|
| Grade de Eventos do Azure | Permite que a Grade de Eventos do Azure envie eventos para filas ou tópicos no seu namespace do Barramento de Serviço. Também é necessário executar as seguintes etapas:
Para obter mais informações, consulte Entrega de eventos com identidade gerenciada |
| Stream Analytics do Azure | Permite que um trabalho do Azure Stream Analytics gere dados para filas do Barramento de Serviço para tópicos. Importante: o trabalho de Stream Analytics deve ser configurado para usar uma identidade gerenciada para de acessar o namespace do Barramento de Serviço. Adicionar a identidade à função Remetente de Dados do Barramento de Serviço do Azure no namespace do Barramento de Serviço. |
| Hub IoT do Azure | Permite que um hub IoT envie mensagens para filas ou tópicos no namespace do Barramento de Serviço. Também é necessário executar as seguintes etapas:
|
| Gerenciamento de API do Azure | O serviço de Gerenciamento de API permite o envio de mensagens para uma fila/tópico do Barramento de Serviço no seu namespace do Barramento de Serviço.
|
| Azure IoT Central | Permite que o IoT Central exporte dados para filas ou tópicos do Barramento de Serviço em seu namespace do Barramento de Serviço. Também é necessário executar as seguintes etapas:
|
| Gêmeos Digitais do Azure | Permite que os Gêmeos Digitais do Azure enviem dados para tópicos do Barramento de Serviço no namespace do seu Barramento de Serviço. Também é necessário executar as seguintes etapas:
|
| Azure Monitor (grupos de ações e configurações de diagnóstico) | Permite que o Azure Monitor envie informações de diagnóstico e notificações de alerta para o Barramento de Serviço no namespace do seu Barramento de Serviço. O Azure Monitor pode ler e gravar dados no namespace do Barramento de Serviço. |
| Azure Synapse | Permite que o Azure Synapse se conecte ao barramento de serviço usando a Identidade Gerenciada do Workspace do Synapse. Adicione as funções de Remetente, Destinatário ou Proprietário de Dados do Barramento de Serviço do Azure à identidade no namespace do Barramento de Serviço. |
Os outros serviços confiáveis do Barramento de Serviço do Azure podem ser encontrados abaixo:
- Azure Data Explorer
- Serviços de Dados de Saúde do Azure
- Azure Arc
- Kubernetes do Azure
- Azure Machine Learning
- Microsoft Purview
Usar modelo do Resource Manager
Esta seção tem um modelo do Azure Resource Manager de exemplo que adiciona uma rede virtual e uma regra de firewall a um namespace do Barramento de Serviço.
A ipMask é um endereço IPv4 único ou um bloco de endereços IP na notação CIDR. Por exemplo, na notação CIDR 70.37.104.0/24, representa os 256 endereços IPv4 de 70.37.104.0 a 70.37.104.255, em que 24 indica o número de bits de prefixo significativos para o intervalo.
Observação
O valor padrão de defaultAction é Allow. Ao adicionar regras de redes virtuais ou de firewalls, defina o valor de defaultAction como Deny.
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"namespace_name": {
"defaultValue": "mypremiumnamespace",
"type": "String"
}
},
"variables": {},
"resources": [
{
"type": "Microsoft.ServiceBus/namespaces",
"apiVersion": "2022-10-01-preview",
"name": "[parameters('namespace_name')]",
"location": "East US",
"sku": {
"name": "Premium",
"tier": "Premium",
"capacity": 1
},
"properties": {
"premiumMessagingPartitions": 1,
"minimumTlsVersion": "1.2",
"publicNetworkAccess": "Enabled",
"disableLocalAuth": false,
"zoneRedundant": true
}
},
{
"type": "Microsoft.ServiceBus/namespaces/networkRuleSets",
"apiVersion": "2022-10-01-preview",
"name": "[concat(parameters('namespace_name'), '/default')]",
"location": "East US",
"dependsOn": [
"[resourceId('Microsoft.ServiceBus/namespaces', parameters('namespace_name'))]"
],
"properties": {
"publicNetworkAccess": "Enabled",
"defaultAction": "Deny",
"virtualNetworkRules": [],
"ipRules": [
{
"ipMask": "10.1.1.1",
"action": "Allow"
},
{
"ipMask": "11.0.0.0/24",
"action": "Allow"
}
]
}
}
]
}
Para implantar o modelo, siga as instruções para o Azure Resource Manager.
Importante
Se não houver nenhuma regra de rede virtual e IP, todo o tráfego fluirá para o namespace mesmo se você definir defaultAction como deny. O namespace pode ser acessado pela Internet pública (usando a chave de acesso). Especifique pelo menos uma regra de IP ou regra de rede virtual para o namespace para permitir o tráfego somente dos endereços IP ou da sub-rede de uma rede virtual especificada.
Usar a CLI do Azure
Use os comandos adicionar, listar, atualizar e remover do az servicebus namespace network-rule-setpara gerenciar regras de firewall de IP para um namespace do Barramento de Serviço.
Usar PowerShell do Azure
Use os comandos do Azure PowerShell a seguir para adicionar, listar, remover, atualizar e excluir regras de firewall de IP.
New-AzServiceBusIPRuleConfigeSet-AzServiceBusNetworkRuleSetjuntos para adicionar uma regra de firewall de IP.
Acesso à rede pública e ação padrão
API REST
O valor padrão da propriedade defaultAction era para Deny a versão da API de 1º de janeiro de 2021 em versão prévia ou anterior. No entanto, a regra de negação não é imposta, a menos que você defina filtros IP ou regras de VNet (rede virtual). Ou seja, se você não tiver filtros IP ou regras de VNet, ela será tratada como Allow.
Da versão da API de 1º de junho de 2021 (versão prévia) em diante, o valor padrão da propriedade defaultAction é Allow, para refletir com precisão a imposição do lado do serviço. Se a ação padrão for definida como Deny, os filtros IP e as regras de VNet serão aplicados. Se a ação padrão for definida como Allow, os filtros IP e as regras de VNet não serão aplicados. O serviço se lembra das regras quando você as desliga e volta a ativá-las.
A versão da API de 1º de junho de 2021 (versão prévia) em diante também introduz uma nova propriedade chamada publicNetworkAccess. Se estiver definida como Disabled, as operações serão restritas somente a links privados. Se estiver definida como Enabled, as operações serão permitidas na Internet pública.
Para obter mais informações sobre essas propriedades, consulte Criar ou atualizar o conjunto de regras de rede e Criar ou atualizar conexões de ponto de extremidade privado.
Observação
Nenhuma das configurações acima ignora a validação de declarações por meio de SAS ou autenticação do Microsoft Entra. A verificação de autenticação sempre é executada depois que o serviço valida as verificações de rede que são definidas pelas configuraçõesdefaultAction, publicNetworkAccess, privateEndpointConnections.
Portal do Azure
O portal do Azure sempre usa a versão mais recente da API para obter e definir propriedades. Se você já tivesse configurado seu namespace usando a versão prévia de 1º de janeiro de 2021 ou anterior e definido defaultAction como Deny, além de especificar zero filtros IP e regras de VNet, o portal teria marcado anteriormente Redes Selecionadas na página Rede do seu namespace. Agora, ele verifica a opção Todas as redes.
Próximas etapas
Para restringir o acesso a Barramento de Serviço para redes virtuais do Azure, consulte o link a seguir: