Integrar serviços do Azure com redes virtuais para isolamento de rede
Rede Virtual integração de um serviço do Azure permite-lhe bloquear o acesso ao serviço apenas à sua infraestrutura de rede virtual. A infraestrutura de rede virtual também inclui redes virtuais em modo de peering e redes no local.
A integração de rede virtual fornece aos serviços do Azure as vantagens do isolamento de rede com um ou mais dos seguintes métodos:
Implementar instâncias dedicadas do serviço numa rede virtual. Em seguida, os serviços podem ser acedidos de forma privada na rede virtual e a partir de redes no local.
Utilizar o Ponto Final Privado que o liga de forma privada e segura a um serviço com tecnologia Azure Private Link. O Ponto Final Privado utiliza um endereço IP privado a partir da rede virtual, o que leva de forma eficaz o serviço até à sua rede virtual.
Aceder ao serviço através de pontos finais públicos ao expandir uma rede virtual para o serviço, através de pontos finais de serviço. Os pontos finais de serviço permitem que os recursos de serviço sejam protegidos para a rede virtual.
Utilizar etiquetas de serviço para permitir ou negar o tráfego para os recursos do Azure de e para pontos finais de IP públicos.
Implementar serviços dedicados do Azure em redes virtuais
Quando implementa serviços dedicados do Azure numa rede virtual, pode comunicar com os recursos de serviço em privado, através de endereços IP privados.
A implementação de um serviço dedicado do Azure na sua rede virtual fornece as seguintes capacidades:
Os recursos dentro da rede virtual podem comunicar entre si em privado, através de endereços IP privados. Por exemplo, a transferência direta de dados entre o HDInsight e SQL Server em execução numa máquina virtual, na rede virtual.
Os recursos no local podem aceder a recursos numa rede virtual através de endereços IP privados através de uma Rede de VPNs (Gateway de VPN) ou expressRoute.
As redes virtuais podem ser configuradas em modo de peering para permitir que os recursos nas redes virtuais comuniquem entre si através de endereços IP privados.
O serviço do Azure gere totalmente as instâncias de serviço numa rede virtual. Esta gestão inclui monitorizar o estado de funcionamento dos recursos e dimensionar com carga.
As instâncias de serviço são implementadas numa sub-rede numa rede virtual. O acesso de rede de entrada e saída para a sub-rede tem de ser aberto através de grupos de segurança de rede, de acordo com as orientações fornecidas pelo serviço.
Determinados serviços impõem restrições à sub-rede na qual estão implementados. Estas restrições limitam a aplicação de políticas, rotas ou combinação de VMs e recursos de serviço na mesma sub-rede. Verifique com cada serviço as restrições específicas, uma vez que podem ser alteradas ao longo do tempo. Exemplos desses serviços são Azure NetApp Files, HSM dedicado, Azure Container Instances, Serviço de Aplicações.
Opcionalmente, os serviços podem exigir uma sub-rede delegada como um identificador explícito que uma sub-rede pode alojar um determinado serviço. Os serviços do Azure têm permissão explícita para criar recursos específicos do serviço na sub-rede delegada com delegação.
Veja um exemplo de uma resposta da API REST numa rede virtual com uma sub-rede delegada. Uma lista abrangente dos serviços que estão a utilizar o modelo de sub-rede delegada pode ser obtida através da API de Delegações Disponíveis.
Para obter uma lista dos serviços que podem ser implementados numa rede virtual, veja Deploy dedicated Azure services into virtual networks (Implementar serviços dedicados do Azure em redes virtuais).
Private Link e Pontos Finais Privados
Os pontos finais privados permitem a entrada de tráfego da rede virtual para um recurso do Azure de forma segura. Esta ligação privada é estabelecida sem a necessidade de endereços IP públicos. Um ponto final privado é uma interface de rede especial para um serviço do Azure na sua rede virtual. Quando cria um ponto final privado para o recurso, este fornece conectividade segura entre os clientes na rede virtual e o recurso do Azure. É atribuído um endereço IP ao ponto final privado a partir do intervalo de endereços IP da sua rede virtual. A ligação entre o ponto final privado e o serviço do Azure é uma ligação privada.
No diagrama, a direita mostra uma Base de Dados SQL do Azure como o serviço PaaS de destino. O destino pode ser qualquer serviço que suporte pontos finais privados. Existem várias instâncias do SQL Server lógico para vários clientes, que estão acessíveis através de endereços IP públicos.
Neste caso, uma instância de um SQL Server lógico é exposta com um ponto final privado. O ponto final torna o SQL Server acessível através de um endereço IP privado na rede virtual do cliente. Devido à alteração na configuração de DNS, a aplicação cliente envia agora o tráfego diretamente para esse ponto final privado. O serviço de destino vê o tráfego proveniente de um endereço IP privado da rede virtual.
A seta verde representa uma ligação privada. Ainda pode existir um endereço IP público para o recurso de destino juntamente com o ponto final privado. O IP público já não é utilizado pela aplicação cliente. A firewall pode agora não permitir qualquer acesso a esse endereço IP público, tornando-o acessível apenas através de pontos finais privados. As ligações a um servidor SQL sem um ponto final privado da rede virtual têm origem num endereço IP público. A seta azul representa este fluxo.
Normalmente, a aplicação cliente utiliza um nome de anfitrião DNS para alcançar o serviço de destino. Não são necessárias alterações à aplicação. A resolução de DNS na rede virtual tem de ser configurada para resolver esse mesmo nome de anfitrião para o endereço IP privado do recurso de destino em vez do endereço IP público original. Com um caminho privado entre o cliente e o serviço de destino, o cliente não depende do endereço IP público. O serviço de destino pode desativar o acesso público.
Esta exposição de instâncias individuais permite-lhe impedir o roubo de dados. Um ator malicioso não consegue recolher informações da base de dados e carregá-la para outra base de dados pública ou conta de armazenamento. Pode impedir o acesso aos endereços IP públicos de todos os serviços PaaS. Ainda pode permitir o acesso a instâncias PaaS através dos respetivos pontos finais privados.
Para obter mais informações sobre o Private Link e a lista de serviços do Azure suportados, veja O que é Private Link?.
Pontos finais de serviço
Os pontos finais de serviço fornecem conectividade segura e direta aos serviços do Azure através da rede principal do Azure. Os pontos finais permitem-lhe proteger os seus recursos do Azure apenas para as suas redes virtuais. Os pontos finais de serviço permitem que os endereços IP privados na rede virtual alcancem um serviço do Azure sem a necessidade de um IP público de saída.
Sem pontos finais de serviço, restringir o acesso apenas à sua rede virtual pode ser um desafio. O endereço IP de origem pode ser alterado ou pode ser partilhado com outros clientes. Por exemplo, serviços PaaS com endereços IP de saída partilhados. Com os pontos finais de serviço, o endereço IP de origem que o serviço de destino vê torna-se um endereço IP privado da sua rede virtual. Esta alteração de tráfego de entrada permite identificar facilmente a origem e utilizá-la para configurar as regras de firewall adequadas. Por exemplo, permitir apenas o tráfego de uma sub-rede específica nessa rede virtual.
Com os pontos finais de serviço, as entradas de DNS para serviços do Azure permanecem como estão e continuam a ser resolvidas para os endereços IP públicos atribuídos ao serviço do Azure.
No diagrama seguinte, o lado direito é o mesmo serviço PaaS de destino. À esquerda, existe uma rede virtual do cliente com duas sub-redes: a Sub-rede A, que tem um Ponto Final de Serviço para Microsoft.Sql
e a Sub-rede B, que não tem pontos finais de serviço definidos.
Quando um recurso na Sub-rede B tenta aceder a qualquer SQL Server, utiliza um endereço IP público para comunicação de saída. A seta azul representa este tráfego. A firewall SQL Server tem de utilizar esse endereço IP público para permitir ou bloquear o tráfego de rede.
Quando um recurso na Sub-rede A tenta aceder a um servidor de base de dados, é visto como um endereço IP privado a partir da rede virtual. As setas verdes representam este tráfego. A firewall SQL Server pode agora permitir ou bloquear especificamente a Sub-rede A. O conhecimento do endereço IP público do serviço de origem não é necessário.
Os pontos finais de serviço aplicam-se a todas as instâncias do serviço de destino. Por exemplo, todas as SQL Server instâncias de clientes do Azure e não apenas a instância do cliente.
Para obter mais informações, veja Pontos finais de serviço de rede virtual
Etiquetas de serviço
Uma etiqueta de serviço representa um grupo de prefixos de endereço IP de um determinado serviço do Azure. Com as etiquetas de serviço, pode definir controlos de acesso de rede em grupos de segurança de rede ou Azure Firewall. Pode permitir ou negar o tráfego do serviço. Para permitir ou negar o tráfego, especifique a etiqueta de serviço no campo de origem ou destino de uma regra.
Alcance o isolamento de rede e proteja os seus recursos do Azure da Internet ao aceder aos serviços do Azure que têm pontos finais públicos. Crie regras de grupo de segurança de rede de entrada/saída para negar o tráfego de e para a Internet e permitir o tráfego de/para o AzureCloud. Para obter mais etiquetas de serviço, veja etiquetas de serviço disponíveis de serviços específicos do Azure.
Para obter mais informações sobre as Etiquetas de Serviço e os serviços do Azure que as suportam, veja Descrição Geral das Etiquetas de Serviço
Comparar Pontos Finais Privados e Pontos Finais de Serviço
Nota
A Microsoft recomenda a utilização de Azure Private Link. Private Link oferece melhores capacidades em termos de acesso privado ao PaaS a partir do local, no serviço de proteção de exfiltração e mapeamento de dados incorporado para o IP Privado na sua própria rede. Para obter mais informações, veja Azure Private Link
Em vez de observar apenas as diferenças, vale a pena salientar que tanto os pontos finais de serviço como os pontos finais privados têm características em comum.
Ambas as funcionalidades são utilizadas para um controlo mais granular sobre a firewall no serviço de destino. Por exemplo, restringir o acesso a bases de dados SQL Server ou contas de armazenamento. No entanto, a operação é diferente para ambos, conforme discutido mais detalhadamente nas secções anteriores.
Ambas as abordagens superam o problema do esgotamento da porta SNAT (Source Network Address Translation). Poderá encontrar exaustão quando estiver a fazer um túnel de tráfego através de uma Aplicação Virtual de Rede (NVA) ou de um serviço com limitações de portas SNAT. Quando utiliza pontos finais de serviço ou pontos finais privados, o tráfego segue um caminho otimizado diretamente para o serviço de destino. Ambas as abordagens podem beneficiar aplicações intensivas de largura de banda, uma vez que tanto a latência como os custos são reduzidos.
Em ambos os casos, ainda pode garantir que o tráfego para o serviço de destino passa através de uma firewall de rede ou NVA. Este procedimento é diferente para ambas as abordagens. Ao utilizar pontos finais de serviço, deve configurar o ponto final de serviço na sub-rede da firewall , em vez da sub-rede onde o serviço de origem é implementado. Ao utilizar pontos finais privados, coloca uma Rota Definida pelo Utilizador (UDR) para o endereço IP do ponto final privado na sub-rede de origem . Não na sub-rede do ponto final privado.
Para comparar e compreender as diferenças, veja a tabela seguinte.
Consideração | Pontos Finais de Serviço | Pontos Finais Privados |
---|---|---|
Âmbito do serviço a que nível se aplica a configuração | Serviço completo (por exemplo, todos os SQL Servers ou Contas de armazenamento de todos os clientes) | Instância individual (por exemplo, uma instância de SQL Server específica ou conta de Armazenamento que possui) |
In-Built Proteção contra Eliminação de Dados – capacidade de mover/copiar dados do recurso PaaS protegido para outro recurso PaaS desprotegido por utilizador malicioso | No | Yes |
Acesso Privado ao recurso PaaS a partir do local | No | Yes |
Configuração do NSG necessária para o Acesso ao Serviço | Sim (com Etiquetas de Serviço) | No |
O serviço pode ser contactado sem utilizar qualquer endereço IP público | No | Yes |
O tráfego do Azure para o Azure permanece na rede principal do Azure | Yes | Yes |
O serviço pode desativar o respetivo endereço IP público | No | Yes |
Pode restringir facilmente o tráfego proveniente de um Rede Virtual do Azure | Sim (permitir o acesso a partir de sub-redes específicas e ou utilizar NSGs) | Yes |
Pode restringir facilmente o tráfego proveniente do local (VPN/ExpressRoute) | N/A** | Yes |
Requer alterações de DNS | No | Sim (veja Configuração de DNS) |
Afeta o custo da sua solução | No | Sim (veja Preços de ligação privada) |
Afeta o SLA composto da sua solução | No | Sim (o próprio serviço private link tem um SLA de 99,99%) |
Configuração e manutenção | Simples de configurar com menos overhead de gestão | É necessário um esforço adicional |
Limites | Não há limite para o número total de pontos finais de serviço numa rede virtual. Os serviços do Azure podem impor limites ao número de sub-redes utilizadas para proteger o recurso. (veja FAQ sobre a rede virtual) | Sim (veja Private Link limites) |
**Os recursos de serviço do Azure protegidos para redes virtuais não estão acessíveis a partir de redes no local. Se quiser permitir o tráfego a partir do local, permita endereços IP públicos (normalmente, NAT) a partir do seu no local ou do ExpressRoute. Estes endereços IP podem ser adicionados através da configuração da firewall de IP para os recursos do serviço do Azure. Para obter mais informações, veja as FAQ da rede virtual.