Quando usar o Link Privado do Azure
Você já sabe o que é o Link Privado e como ele funciona. Agora você precisa de alguns critérios para ajudar a avaliar se o Link Privado é uma opção adequada para sua empresa. Para ajudar você a tomar uma decisão, vamos considerar os seguintes objetivos:
- Levar os serviços de PaaS do Azure para sua rede virtual
- Proteger o tráfego entre a rede da empresa e a nuvem do Azure
- Eliminar a exposição à internet para os serviços de PaaS
- Acessar os recursos de PaaS do Azure entre redes
- Reduzir o risco de exfiltração dos dados
- Oferecer acesso particular para os cliente aos serviços do Azure criados pela empresa
Como parte da avaliação do Link Privado do Azure, você sabe que a Contoso tem várias dessas metas. Leia as seções correspondentes para obter mais detalhes.
Levar os serviços de PaaS do Azure para sua rede virtual
A depender do recurso e de como ele é configurado, a conexão com os serviços de PaaS do Azure pode ser complicada. O Link Privado reduz essa complexidade fazendo com que os serviços do Azure pareçam ser apenas outro nó na sua rede virtual do Azure. Com um recurso de Link Privado sendo agora parte efetiva da sua rede virtual, os clientes podem usar um FQDN relativamente simples para fazer a conexão.
Proteger o tráfego entre a rede da empresa e a nuvem do Azure
Eis um dos paradoxos da computação em nuvem: para que uma máquina virtual baseada em nuvem acesse um serviço no mesmo provedor de nuvem, a conexão e o tráfego devem passar fora da nuvem. Ou seja, embora os pontos de extremidade estejam localizados na nuvem, o tráfego deve viajar pela Internet.
Infelizmente, uma vez que o tráfego sai da nuvem, ele se torna “público” e fica em risco. Há uma longa lista de brechas potenciais que os atores perigosos podem usar para roubar, monitorar ou corromper esse tráfego.
O Link Privado elimina esse risco ao redirecionar o tráfego para que ele não percorra a Internet. Em vez disso, todo o tráfego entre sua rede virtual e um recurso de Link Privado percorre o backbone seguro e privado do Microsoft Azure.
Eliminar a exposição à internet para os serviços de PaaS
A maioria dos recursos de PaaS do Azure é voltada para a Internet. Esses recursos têm, por padrão, um ponto de extremidade público que oferece um endereço IP público para que os clientes possam se conectar ao recurso pela Internet.
O ponto de extremidade público expõe o recurso à Internet, que é por design. No entanto, esse ponto de extremidade também pode servir como ponto de ataque para hackers mal-intencionados que buscam uma maneira de invadir ou interromper o serviço.
O Link Privado não faz nada para evitar esses ataques. No entanto, após criar um ponto de extremidade privado e mapeá-lo para o recurso do Azure, você não precisa mais do ponto de extremidade público do recurso. Felizmente, você pode configurar o recurso para que ele desabilite o próprio ponto de extremidade público de forma a não apresentar mais uma superfície de ataque à Internet.
Acessar os recursos de PaaS do Azure entre redes
As configurações de rede raramente consistem de uma única rede virtual. A maioria das redes também inclui um ou os dois itens a seguir:
Uma ou mais redes emparelhadas conectadas por meio do emparelhamento de rede virtual do Azure.
Uma ou mais redes locais conectadas por meio do emparelhamento privado do ExpressRoute ou por meio de um túnel VPN.
Sem o Link Privado, essas redes devem criar suas próprias conexões com um recurso específico do Azure. Essas conexões geralmente exigem a Internet pública. Isso muda depois que o ponto de extremidade privado mapeia o recurso do Azure para um endereço IP privado em sua rede virtual. Agora, todas as suas redes emparelhadas podem se conectar ao recurso de Link Privado diretamente, sem nenhuma outra configuração.
Reduzir o risco de exfiltração dos dados
Suponha que uma máquina virtual em sua rede esteja conectada a um serviço do Azure. Muitas vezes, é possível que um usuário na máquina virtual acesse vários recursos no serviço do Azure. Por exemplo, se o serviço for o Armazenamento do Microsoft Azure, um usuário poderá acessar vários blobs, tabelas, arquivos e assim por diante.
Agora suponha que o usuário seja um invasor mal-intencionado que tenha assumido o controle da máquina virtual. Nesse cenário, o usuário pode mover dados de um recurso para outro que seja controlado pelo invasor.
Esse cenário é um exemplo de exfiltração dos dados. O Link Privado reduz o risco de exfiltração dos dados mapeando um ponto de extremidade privado para uma única instância de um recurso do Azure. Um invasor talvez ainda consiga visualizar os dados, mas não tem como copiá-los ou movê-los para outro recurso.
Oferecer acesso particular para os cliente aos serviços do Azure criados pela empresa
Suponha que sua empresa crie serviços personalizados do Azure. Quem consome esses serviços? Pode ser qualquer pessoa desta lista:
- Pessoas que compram seus produtos.
- Fornecedores ou representantes da empresa.
- Os funcionários da sua empresa.
Pode-se dizer que cada consumidor na lista acima é um cliente do seu serviço.
Há uma enorme chance de que os dados acessados e criados por esses clientes sejam todos tão importantes quanto os dados da sua empresa. Portanto, os dados de seus clientes merecem o mesmo nível de privacidade e segurança que os da sua empresa.
Se você acreditar que o Link Privado é a escolha certa para proteger os dados da empresa, você vai querer estender esse modelo de segurança para os seus serviços personalizados do Azure. Ao proteger seus serviços personalizados com o Azure Standard Load Balancer, você pode usar o serviço de Link Privado para permitir que os clientes acessem seu serviço usando o ponto de extremidade privado.
Imagine a satisfação do seu departamento de marketing quando você informar que eles já podem oferecer aos clientes um acesso privado e seguro aos serviços personalizados do Azure.