O que é o Link Privado do Azure?

  • 12 minutos

Antes de aprender sobre o Link Privado do Azure e seus recursos e benefícios, vamos examinar o problema que o Link Privado foi projetado para resolver.

A Contoso tem uma rede virtual do Azure, e você deseja se conectar a um recurso de PaaS, como um banco de dados SQL do Azure. Ao criar esses recursos, você normalmente especifica um ponto de extremidade público como método de conectividade.

Ter um ponto de extremidade público significa que um endereço IP público é atribuído ao recurso. De forma que, mesmo que sua rede virtual e o banco de dados SQL do Azure estejam localizados na nuvem do Azure, a conexão entre eles ocorre pela Internet.

O problema é que o banco de dados SQL do Azure é exposto à Internet por meio do endereço IP público dele. Essa exposição cria vários riscos de segurança. Os mesmos riscos de segurança ocorrem quando um recurso do Azure é acessado por meio de um endereço IP público nos seguintes locais:

  • Uma rede virtual emparelhada do Azure
  • Uma rede local que se conecta ao Azure por meio do ExpressRoute e do emparelhamento da Microsoft
  • Uma rede virtual do Azure de um cliente que se conecta a um serviço do Azure oferecido por sua empresa

Network diagram of an Azure virtual network, an Azure peered virtual network, and an on-premises network accessing an Azure SQL database via the internet.

O Link Privado foi criado para eliminar esses riscos de segurança, ao remover a parte pública da conexão.

O Link Privado fornece acesso seguro aos serviços do Azure. O Link Privado alcança essa segurança substituindo o ponto de extremidade público de um recurso por um adaptador de rede privado. Há três pontos principais a serem considerados com essa nova arquitetura:

  • De certa forma, o recurso do Azure se torna uma parte de sua rede virtual.
  • A conexão com o recurso agora usa a rede de backbone do Microsoft Azure em vez da Internet pública.
  • O recurso do Azure pode ser configurado para não expor mais seu endereço IP público, eliminando o potencial risco de segurança.

O que é o Ponto de Extremidade Privado do Azure?

O ponto de extremidade privado é a principal tecnologia por trás do Link Privado. Trata-se de um adaptador de rede que possibilita uma conexão privada e segura entre sua rede virtual e um serviço do Azure. Em outras palavras, o ponto de extremidade privado é o adaptador de rede que substitui o ponto de extremidade público do recurso.

Observação

O Ponto de Extremidade Privado não é um serviço gratuito. Paga-se um valor fixo por hora e um valor fixo por gigabyte para o tráfego de entrada e de saída que passa pelo Ponto de Extremidade Privado.

O Link Privado fornece acesso privado da sua rede virtual do Azure para os serviços de PaaS e os serviços de parceiros da Microsoft no Azure. Mas e se a sua empresa tiver criado os próprios serviços do Azure que os clientes consomem? É possível oferecer a esses clientes uma conexão privada aos serviços de sua empresa?

Sim, usando o serviço de Link Privado do Azure. Esse serviço permite que você ofereça conexões de Link Privado aos seus serviços personalizados do Azure. Os consumidores de seus serviços personalizados podem então acessar esses serviços de forma particular, ou seja, sem usar a Internet, em suas próprias redes virtuais do Azure.

Observação

Não há encargos para usar o Serviço de Link Privado.

O Link Privado, associado ao ponto de extremidade privado e ao serviço de Link Privado, oferece os seguintes benefícios:

  • Acesso privado aos serviços de PaaS e serviços de parceiros da Microsoft no Azure. Ao usar o ponto de extremidade privado, os serviços do Azure são mapeados para sua rede virtual do Azure. Não faz diferença se o recurso do Azure está em uma rede virtual e em um locatário do Active Directory diferentes. Para os usuários da sua rede virtual do Azure, o recurso parece fazer parte dessa rede.
  • Acesso particular aos serviços do Azure em qualquer região. O Link Privado funciona no mundo todo. A conexão privada com um serviço do Azure funciona mesmo que a rede virtual do serviço esteja em uma região diferente da sua própria rede virtual.
  • Rotas não públicas para os serviços do Azure. Depois que um serviço do Azure tiver sido mapeado para sua rede virtual, a rota de tráfego será alterada. Todo o tráfego de entrada e de saída entre sua rede virtual e o serviço do Azure viaja pela rede de backbone do Microsoft Azure. A Internet pública nunca é usada para tráfego de serviço.
  • Os pontos de extremidade públicos não são mais necessários. Como todo o tráfego de e para um serviço do Azure mapeado agora flui pelo backbone do Microsoft Azure, o ponto de extremidade público para o serviço não é mais necessário. Você pode desabilitar esse ponto de extremidade público e, portanto, eliminar uma possível ameaça à segurança.
  • Suas redes virtuais emparelhadas do Azure também obtêm acesso a recursos de Links Privados. Se você estiver usando uma ou mais redes virtuais emparelhadas do Azure, não será necessária qualquer configuração extra para que elas acessem um recurso privado do Azure. Os clientes de qualquer rede emparelhada podem acessar qualquer ponto de extremidade privado que você mapeou para um serviço do Azure.
  • Sua rede local também obtém acesso a recursos de Links Privados. Sua rede local se conecta à sua rede virtual do Azure usando o emparelhamento privado do ExpressRoute ou um túnel VPN? Nesse caso, não é necessária qualquer configuração extra para os clientes na rede local acessarem um recurso particular do Azure.
  • Proteção contra exfiltração dos dados. Ao mapear um ponto de extremidade privado para um serviço do Azure, o mapeamento é feito para uma instância específica desse serviço. Por exemplo, se você estiver configurando um acesso privado para o Armazenamento do Microsoft Azure, o acesso é mapeado para um blob, uma tabela ou outra instância de armazenamento. Se uma máquina virtual da sua rede for comprometida, o invasor não poderá transferir nem copiar dados para outra instância de recurso.
  • Acesso privado a seus próprios serviços do Azure. Você pode implementar o serviço de Link Privado e oferecer acesso privado para os clientes a seus serviços personalizados do Azure.

O Link Privado e o ponto de extremidade privado funcionam com muitos serviços do Azure. Fique por dentro dos serviços e regiões mais recentes com suporte para o Link Privado em atualizações do Azure.