Partilhar via

Utilizar o Azure Private Link para se ligar em segurança a redes da Automatização do Azure

  • Artigo

O Ponto Final Privado do Azure é uma interface de rede que o liga a um serviço de forma privada e segura com a tecnologia Azure Private Link. O Ponto Final Privado usa um endereço IP privado da sua rede virtual, trazendo efetivamente o serviço de automação para a sua rede virtual. O tráfego de rede entre as máquinas na VNet e a conta de Automatização atravessa a VNet e uma ligação privada na rede principal da Microsoft, eliminando a exposição à Internet pública.

Por exemplo, você tem uma VNet onde você desativou o acesso de saída à Internet. No entanto, você deseja acessar sua conta de automação de forma privada e usar recursos de automação como Webhooks, Configuração de Estado e trabalhos de runbook em Runbook Workers híbridos. Além disso, você deseja que os usuários tenham acesso à conta de automação somente por meio da VNET. A implantação do ponto de extremidade privado atinge esses objetivos.

Este artigo aborda quando usar e como configurar um ponto de extremidade privado com sua conta de automação.

Conceptual overview of Private Link for Azure Automation

Nota

O suporte de Link Privado com a Automação do Azure está disponível apenas nas nuvens do Azure Commercial e do Azure US Government.

Vantagens

Com Private Link você pode:

  • Conecte-se de forma privada à Automação do Azure sem abrir nenhum acesso à rede pública.

  • Conecte-se de forma privada ao espaço de trabalho do Azure Monitor Log Analytics sem abrir nenhum acesso à rede pública.

    Nota

    Um ponto de extremidade privado separado para seu espaço de trabalho do Log Analytics será necessário se sua conta de Automação estiver vinculada a um espaço de trabalho do Log Analytics para encaminhar dados de trabalho e quando você tiver habilitado recursos como Gerenciamento de Atualizações, Controle de Alterações e Inventário, Configuração de Estado ou Iniciar/Parar VMs fora do horário de expediente. Para obter mais informações sobre o Private Link for Azure Monitor, consulte Usar o Azure Private Link para conectar redes com segurança ao Azure Monitor.

  • Garantir que os seus dados de Automatização só são acedidos através de redes privadas autorizadas.

  • Impeça a exfiltração de dados de suas redes privadas definindo seu recurso de Automação do Azure que se conecta por meio de seu ponto de extremidade privado.

  • Conecte com segurança sua rede local privada à Automação do Azure usando a Rota Expressa e o Link Privado.

  • Mantenha todo o tráfego dentro da rede de backbone do Microsoft Azure.

Para obter mais informações, consulte Principais benefícios do Private Link.

Limitações

  • Na implementação atual do Private Link, os trabalhos da cloud da conta de Automatização não podem aceder aos recursos do Azure que estão protegidos com um ponto final privado. Por exemplo, Azure Key Vault, Azure SQL, conta de Armazenamento do Azure, etc. Para contornar isso, use um Hybrid Runbook Worker em vez disso. Assim, há suporte para VMs locais para executar Runbook Workers híbridos em uma conta de automação com Private Link habilitado.
  • Você precisa usar a versão mais recente do agente do Log Analytics para Windows ou Linux.
  • O Log Analytics Gateway não suporta Private Link.
  • O alerta do Azure (métrica, log e registro de atividades) não pode ser usado para disparar um webhook de Automação quando a conta de Automação é configurada com Acesso público definido como Desabilitar.

Como funciona

O Private Link da Automatização do Azure liga um ou mais pontos finais privados (e, por conseguinte, as redes virtuais nas quais estão contidos) ao recurso da Conta de Automatização. Esses pontos de extremidade são máquinas que usam webhooks para iniciar um runbook, máquinas que hospedam a função Hybrid Runbook Worker e nós de Configuração de Estado Desejado (DSC).

Depois de criar pontos de extremidade privados para automação, cada uma das URLs de automação voltadas para o público é mapeada para um ponto de extremidade privado em sua rede virtual. Você ou uma máquina pode entrar em contato diretamente com as URLs de automação.

Cenário Webhook

Você pode iniciar runbooks fazendo um POST no URL do webhook. Por exemplo, o URL tem a seguinte aparência: https://<automationAccountId>.webhooks.<region>.azure-automation.net/webhooks?token=gzGMz4SMpqNo8gidqPxAJ3E%3d

Cenário de Runbook Worker híbrido

O recurso de Trabalhador de Runbook Híbrido do usuário da Automação do Azure permite que você execute runbooks diretamente na máquina do Azure ou não, incluindo servidores registrados com servidores habilitados para Azure Arc. A partir da máquina ou servidor que está hospedando a função, você pode executar runbooks diretamente nela e em relação aos recursos no ambiente para gerenciar esses recursos locais.

Um ponto de extremidade JRDS é usado pelo trabalhador híbrido para iniciar/parar runbooks, baixar runbooks para o trabalhador e enviar o fluxo de log de trabalho de volta para o serviço de automação. Depois de habilitar o ponto de extremidade JRDS, a URL ficaria assim: https://<automationaccountID>.jrds.<region>.privatelink.azure-automation.net. Isso garantiria que a execução do runbook no trabalhador híbrido conectado à Rede Virtual do Azure pudesse executar trabalhos sem a necessidade de abrir uma conexão de saída com a Internet.

Nota

Com a implementação atual de Links Privados para Automação do Azure, ele oferece suporte apenas à execução de trabalhos no Runbook Worker Híbrido conectado a uma rede virtual do Azure e não oferece suporte a trabalhos em nuvem.

Cenário de trabalho híbrido para gerenciamento de atualizações

O Hybrid Runbook Worker do sistema suporta um conjunto de runbooks ocultos usados pelo recurso Gerenciamento de Atualizações projetados para instalar atualizações especificadas pelo usuário em máquinas Windows e Linux. Quando o Azure Automation Update Management está habilitado, qualquer máquina conectada ao seu espaço de trabalho do Log Analytics é configurada automaticamente como um Runbook Worker híbrido do sistema.

Para entender o Configuration Update Management, consulte Sobre o Update Management. O recurso Gerenciamento de Atualizações depende de um espaço de trabalho do Log Analytics e, portanto, requer a vinculação do espaço de trabalho a uma conta de Automação. Um espaço de trabalho do Log Analytics armazena dados coletados pela solução e hospeda suas pesquisas e exibições de log.

Se quiser que suas máquinas configuradas para gerenciamento de atualizações se conectem ao espaço de trabalho Automation & Log Analytics de forma segura pelo canal Private Link, você precisa habilitar o Private Link para o espaço de trabalho do Log Analytics vinculado à Conta de automação configurada com Private Link.

Você pode controlar como um espaço de trabalho do Log Analytics pode ser acessado de fora dos escopos do Link privado seguindo as etapas descritas em Configurar o Log Analytics. Se você definir Permitir acesso à rede pública para ingestão como Não, as máquinas fora dos escopos conectados não poderão carregar dados para esse espaço de trabalho. Se você definir Permitir acesso à rede pública para consultas como Não, as máquinas fora dos escopos não poderão acessar dados neste espaço de trabalho.

Use o subrecurso de destino DSCAndHybridWorker para habilitar o Private Link para usuários e trabalhadores híbridos do sistema.

Nota

As máquinas hospedadas fora do Azure que são gerenciadas pelo Gerenciamento de Atualizações e estão conectadas à VNet do Azure por meio de emparelhamento privado da Rota Expressa, túneis VPN e redes virtuais emparelhadas usando pontos de extremidade privados oferecem suporte ao Private Link.

Cenário de configuração de estado (agentsvc)

A Configuração de Estado fornece o serviço de gerenciamento de configuração do Azure que permite escrever, gerenciar e compilar configurações de Configuração de Estado Desejado (DSC) do PowerShell para nós em qualquer nuvem ou datacenter local.

O agente na máquina se registra com o serviço DSC e, em seguida, usa o ponto de extremidade do serviço para obter a configuração do DSC. O ponto de extremidade do serviço do agente tem a seguinte aparência: https://<automationAccountId>.agentsvc.<region>.azure-automation.net.

A URL para o ponto de extremidade público ou privado seria a mesma, no entanto, ela seria mapeada para um endereço IP privado quando o link privado estiver habilitado.

Planeamento baseado na sua rede

Antes de configurar o recurso da conta de automação, considere os requisitos de isolamento de rede. Avalie o acesso de suas redes virtuais à Internet pública e as restrições de acesso à sua conta de Automação (incluindo a configuração de um Escopo de Grupo de Link Privado para Logs do Azure Monitor se integrado à sua conta de Automação). Inclua também uma revisão dos registros DNS do serviço de automação como parte do seu plano para garantir que os recursos suportados funcionem sem problemas.

Conectar-se a um ponto de extremidade privado

Siga as etapas abaixo para criar um ponto de extremidade privado para sua conta de automação.

  1. Vá para o Centro de Link Privado no portal do Azure para criar um ponto de extremidade privado para conectar nossa rede.

  2. No Private Link Center, selecione Create private endpoint (Criar ponto de extremidade privado).

    Screenshot of how to create a private endpoint.

  3. Em Noções básicas, insira os seguintes detalhes:

    • Subscrição
    • Grupo de recursos
    • Nome
    • Nome da interface de rede
    • Região e selecione Avançar: Recurso.

    Screenshot of how to create a private endpoint in Basics tab.

  4. Em Recurso, insira os seguintes detalhes:

    • Método de conexão, selecione a opção padrão - Conectar-se a um recurso do Azure no meu diretório.
    • Subscrição
    • Tipo de recurso
    • Recurso.
    • O subrecurso Target pode ser Webhook ou DSCAndHybridWorker de acordo com seu cenário e selecione Next : Virtual Network.

    Screenshot of how to create a private endpoint in Resource tab.

  5. Em Rede Virtual, insira os seguintes detalhes:

    • Rede virtual
    • Sub-rede
    • Habilite a caixa de seleção Habilitar diretivas de rede para todos os pontos de extremidade privados nesta sub-rede.
    • Selecione Alocar dinamicamente o endereço IP e selecione Avançar: DNS.

    Screenshot of how to create a private endpoint in Virtual network tab.

  6. No DNS, os dados são preenchidos de acordo com as informações inseridas nas guias Básico, Recurso, Rede Virtual e cria uma zona DNS privada. Introduza os detalhes seguintes:

    • Integração com zona DNS privada
    • Subscrição
    • Grupo de recursos e selecione Avançar : Tags

    Screenshot of how to create a private endpoint in DNS tab.

  7. Em Tags, você pode categorizar recursos. Selecione Nome e Valor e selecione Rever + criar.

Você será direcionado para a página Revisar + criar, onde o Azure valida sua configuração. Depois que as alterações ao Acesso à Rede Pública e ao Link Privado forem aplicadas, pode levar até 35 minutos para que entrem em vigor.

No Private Link Center, selecione Pontos de extremidade privados para exibir seu recurso de link privado.

Screenshot Automation resource private link.

Selecione o recurso para ver todos os detalhes. Isso cria um novo ponto de extremidade privado para sua conta de automação e atribui a ele um IP privado de sua rede virtual. O status da conexão é mostrado como aprovado.

Da mesma forma, um FQDN (nome de domínio totalmente qualificado) exclusivo é criado para a Configuração de Estado (agentsvc) e para o tempo de execução do trabalho Hybrid Runbook Worker (jrds). Cada um deles recebe um IP separado da sua rede virtual e o status da conexão é exibido como aprovado.

Se o consumidor de serviço tiver permissões do Azure RBAC no recurso de Automação, ele poderá escolher o método de aprovação automática. Nesse caso, quando a solicitação chega ao recurso do provedor de automação, nenhuma ação é necessária do provedor de serviços e a conexão é aprovada automaticamente.

Definir sinalizadores de acesso à rede pública

Você pode configurar uma conta de automação para negar todas as configurações públicas e permitir apenas conexões por meio de pontos de extremidade privados para melhorar ainda mais a segurança da rede. Se você quiser restringir o acesso à conta de automação somente de dentro da VNet e não permitir o acesso da Internet pública, você pode definir publicNetworkAccess a propriedade como $false.

Quando a configuração Acesso à Rede Pública é definida como $false, somente conexões via pontos de extremidade privados são permitidas e todas as conexões via pontos de extremidade públicos são negadas com uma mensagem de erro não autorizada e status HTTP de 401.

O seguinte script do PowerShell mostra como e Set a propriedade Acesso à Get Rede Pública no nível da conta de Automação:

$account = Get-AzResource -ResourceType Microsoft.Automation/automationAccounts -ResourceGroupName "<resourceGroupName>" -Name "<automationAccountName>" -ApiVersion "2020-01-13-preview"
$account.Properties | Add-Member -Name 'publicNetworkAccess' -Type NoteProperty -Value $false -Force
$account | Set-AzResource -Force -ApiVersion "2020-01-13-preview"

Também pode controlar a propriedade de acesso à rede pública a partir do portal do Azure. Na sua Conta de Automação, selecione Isolamento de Rede no painel esquerdo na seção Configurações da Conta. Quando a configuração Acesso à Rede Pública é definida como Não, somente conexões em pontos de extremidade privados são permitidas e todas as conexões em pontos de extremidade públicos são negadas.

Public Network Access setting

Configuração do DNS

Ao conectar-se a um recurso de link privado usando um nome de domínio totalmente qualificado (FQDN) como parte da cadeia de conexão, é importante configurar corretamente as configurações de DNS para resolver para o endereço IP privado alocado. Os serviços existentes do Azure podem já ter uma configuração de DNS para usar ao se conectar por meio de um ponto de extremidade público. Sua configuração de DNS deve ser revisada e atualizada para se conectar usando seu ponto de extremidade privado.

A interface de rede associada ao ponto de extremidade privado contém o conjunto completo de informações necessárias para configurar seu DNS, incluindo FQDN e endereços IP privados alocados para um determinado recurso de link privado.

Pode utilizar as seguintes opções para configurar as definições de DNS para pontos finais privados:

  • Utilizar o ficheiro de anfitrião (apenas recomendado para testes) . Você pode usar o arquivo host em uma máquina virtual para substituir o uso do DNS para resolução de nomes primeiro. Sua entrada DNS deve se parecer com o exemplo a seguir: privatelinkFQDN.jrds.sea.azure-automation.net.

  • Use uma zona DNS privada. Você pode usar zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado específico. Uma zona DNS privado pode ser ligada à rede virtual para resolver domínios específicos. Para permitir que o agente em sua máquina virtual se comunique pelo ponto de extremidade privado, crie um registro DNS privado como privatelink.azure-automation.net. Adicione um novo mapeamento de registro DNS A ao IP do ponto de extremidade privado.

  • Utilizar o reencaminhador de DNS (opcional) . Você pode usar o encaminhador DNS para substituir a resolução DNS de um recurso de link privado específico. Se o servidor DNS estiver hospedado em uma rede virtual, você poderá criar uma regra de encaminhamento DNS para usar uma zona DNS privada para simplificar a configuração de todos os recursos de link privado.

Para obter mais informações, veja Configuração do DNS do Ponto Final Privado do Azure.

Próximos passos

Para saber mais sobre o Ponto de Extremidade Privado, consulte O que é o Ponto de Extremidade Privado do Azure?.