Segurança de rede para recursos da Grade de Eventos do Azure
Este artigo descreve como usar os seguintes recursos de segurança com a Grade de Eventos do Azure:
- Etiquetas de serviço para saída
- Regras de firewall IP para entrada
- Pontos finais privados para entrada
Etiquetas de serviço
Uma marca de serviço representa um grupo de prefixos de endereço IP de um determinado serviço do Azure. A Microsoft gerencia os prefixos de endereço incluídos pela etiqueta de serviço e atualiza automaticamente a etiqueta de serviço à medida que os endereços mudam, minimizando a complexidade das atualizações frequentes das regras de segurança de rede. Para obter mais informações sobre tags de serviço, consulte Visão geral de tags de serviço.
Pode utilizar etiquetas de serviço para definir controlos de acesso à rede em grupos de segurança de rede ou no Azure Firewall. Utilize etiquetas de serviço em vez de endereços IP específicos quando criar regras de segurança. Ao especificar o nome da marca de serviço (por exemplo, AzureEventGrid) no campo de origem ou destino apropriado de uma regra, você pode permitir ou negar o tráfego para o serviço correspondente.
| Etiqueta de serviço | Propósito | Pode usar inbound ou outbound? | Pode ser regional? | Pode usar com o Firewall do Azure? |
|---|---|---|---|---|
| AzureEventGrid | Grade de Eventos do Azure. | Ambos | No | Não |
Firewall de IP
A Grade de Eventos do Azure dá suporte a controles de acesso baseados em IP para publicação em tópicos e domínios. Com controles baseados em IP, você pode limitar os editores a um tópico ou domínio a apenas um conjunto aprovado de máquinas e serviços de nuvem. Esta funcionalidade complementa os mecanismos de autenticação suportados pela Grelha de Eventos.
Por padrão, tópico e domínio são acessíveis a partir da Internet, desde que a solicitação venha com autenticação e autorização válidas. Com o firewall IP, você pode restringi-lo ainda mais a apenas um conjunto de endereços IP ou intervalos de endereços IP na notação CIDR (Roteamento entre Domínios sem Classe). Os editores originários de qualquer outro endereço IP são rejeitados e recebem uma resposta 403 (Proibida).
Para obter instruções passo a passo sobre como configurar o firewall IP para tópicos e domínios, consulte Configurar firewall IP.
Pontos finais privados
Você pode usar pontos de extremidade privados para permitir a entrada de eventos diretamente de sua rede virtual para seus tópicos e domínios com segurança através de um link privado sem passar pela Internet pública. Um ponto de extremidade privado é uma interface de rede especial para um serviço do Azure em sua rede virtual. Quando você cria um ponto de extremidade privado para seu tópico ou domínio, ele fornece conectividade segura entre clientes em sua rede virtual e seu recurso de Grade de Eventos. O ponto de extremidade privado recebe um endereço IP do intervalo de endereços IP da sua rede virtual. A conexão entre o ponto de extremidade privado e o serviço de Grade de Eventos usa um link privado seguro.
O uso de pontos de extremidade privados para seu recurso de Grade de Eventos permite que você:
- Proteja o acesso ao seu tópico ou domínio a partir de uma rede virtual através da rede de backbone da Microsoft, em oposição à Internet pública.
- Conecte-se com segurança a partir de redes locais que se conectam à rede virtual usando VPN ou Rotas Expressas com emparelhamento privado.
Quando você cria um ponto de extremidade privado para um tópico ou domínio em sua rede virtual, uma solicitação de consentimento é enviada para aprovação ao proprietário do recurso. Se o usuário que solicita a criação do ponto de extremidade privado também for proprietário do recurso, essa solicitação de consentimento será aprovada automaticamente. Caso contrário, a conexão ficará em estado pendente até ser aprovada. Os aplicativos na rede virtual podem se conectar ao serviço de Grade de Eventos através do ponto de extremidade privado perfeitamente, usando as mesmas cadeias de conexão e mecanismos de autorização que usariam de outra forma. Os proprietários de recursos podem gerenciar solicitações de consentimento e os pontos de extremidade privados, por meio da guia Pontos de extremidade privados para o recurso no portal do Azure.
Ligar a terminais privados
Os editores em uma rede virtual que usam o ponto de extremidade privado devem usar a mesma cadeia de conexão para o tópico ou domínio que os clientes que se conectam ao ponto de extremidade público. A resolução do Sistema de Nomes de Domínio (DNS) encaminha automaticamente as conexões da rede virtual para o tópico ou domínio através de um link privado. A Grade de Eventos cria uma zona DNS privada anexada à rede virtual com a atualização necessária para os pontos de extremidade privados, por padrão. No entanto, se estiver a utilizar o seu próprio servidor DNS, poderá ter de fazer mais alterações à sua configuração de DNS.
Alterações de DNS para pontos de extremidade privados
Quando você cria um ponto de extremidade privado, o registro CNAME DNS para o recurso é atualizado para um alias em um subdomínio com o prefixo privatelink. Por padrão, uma zona DNS privada é criada que corresponde ao subdomínio do link privado.
Quando você resolve o tópico ou a URL do ponto de extremidade do domínio de fora da rede virtual com o ponto de extremidade privado, ele é resolvido para o ponto de extremidade público do serviço. Os registros de recursos DNS para 'topicA', quando resolvidos de fora da VNet que hospeda o ponto de extremidade privado, são:
| Nome | Tipo | valor |
|---|---|---|
topicA.westus.eventgrid.azure.net |
CNAME | topicA.westus.privatelink.eventgrid.azure.net |
topicA.westus.privatelink.eventgrid.azure.net |
CNAME | <Perfil do gerenciador de tráfego do Azure> |
Você pode negar ou controlar o acesso de um cliente fora da rede virtual através do ponto de extremidade público usando o firewall IP.
Quando resolvido a partir da rede virtual que hospeda o ponto de extremidade privado, o URL do ponto de extremidade do tópico ou domínio é resolvido para o endereço IP do ponto de extremidade privado. Os registros de recursos DNS para o tópico 'topicA', quando resolvidos de dentro da VNet que hospeda o ponto de extremidade privado, são:
| Nome | Tipo | valor |
|---|---|---|
topicA.westus.eventgrid.azure.net |
CNAME | topicA.westus.privatelink.eventgrid.azure.net |
topicA.westus.privatelink.eventgrid.azure.net |
A | 10.0.0.5 |
Essa abordagem permite o acesso ao tópico ou domínio usando a mesma cadeia de conexão para clientes na rede virtual que hospeda os pontos de extremidade privados e clientes fora da rede virtual.
Se você estiver usando um servidor DNS personalizado em sua rede, os clientes poderão resolver o FQDN (nome de domínio totalmente qualificado) do tópico ou ponto de extremidade do domínio para o endereço IP do ponto de extremidade privado. Configure o servidor DNS para delegar o subdomínio de link privado à zona DNS privada da rede virtual ou configure os registros A para topicOrDomainName.regionName.privatelink.eventgrid.azure.net com o endereço IP do ponto de extremidade privado.
O nome da zona DNS recomendado é privatelink.eventgrid.azure.net.
Pontos finais privados e publicação
A tabela a seguir descreve os vários estados da conexão de ponto de extremidade privado e os efeitos na publicação:
| Estado da conexão | Publicação bem-sucedida (Sim/Não) |
|---|---|
| Aprovado | Sim |
| Rejeitado | Não |
| Pendente | Não |
| Desligado | Não |
Para que a publicação seja bem-sucedida, o estado de conexão de ponto de extremidade privado deve ser aprovado. Se uma conexão for rejeitada, ela não poderá ser aprovada usando o portal do Azure. A única possibilidade é excluir a conexão e criar uma nova.
Quotas e limites
Há um limite para o número de regras de firewall IP e conexões de ponto de extremidade privado por tópico ou domínio. Consulte Cotas e limites da grade de eventos.
Próximos passos
Você pode configurar o firewall IP para seu recurso de Grade de Eventos para restringir o acesso pela Internet pública a partir de apenas um conjunto selecionado de Endereços IP ou intervalos de Endereços IP. Para obter instruções passo a passo, consulte Configurar firewall IP.
Você pode configurar pontos de extremidade privados para restringir o acesso somente de redes virtuais selecionadas. Para obter instruções passo a passo, consulte Configurar pontos de extremidade privados.
Para solucionar problemas de conectividade de rede, consulte Solucionar problemas de conectividade de rede.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários