O que é a Ligação Privada do Azure?

  • 12 minutos

Antes de aprender sobre o Azure Private Link e seus recursos e benefícios, vamos examinar o problema que o Private Link foi projetado para resolver.

A Contoso tem uma rede virtual do Azure e você deseja se conectar a um recurso PaaS, como um banco de dados SQL do Azure. Ao criar esses recursos, você normalmente especifica um ponto de extremidade público como o método de conectividade.

Ter um ponto de extremidade público significa que o recurso recebe um endereço IP público. Portanto, mesmo que sua rede virtual e o banco de dados SQL do Azure estejam localizados na nuvem do Azure, a conexão entre eles ocorre pela Internet.

O problema é que seu banco de dados SQL do Azure é exposto à Internet por meio de seu endereço IP público. Essa exposição cria múltiplos riscos de segurança. Os mesmos riscos de segurança estão presentes quando um recurso do Azure é acessado por meio de um endereço IP público dos seguintes locais:

  • Uma rede virtual do Azure emparelhada
  • Uma rede local que se conecta ao Azure usando o ExpressRoute e o emparelhamento da Microsoft
  • A rede virtual do Azure de um cliente que se conecta a um serviço do Azure oferecido pela sua empresa

Network diagram of an Azure virtual network, an Azure peered virtual network, and an on-premises network accessing an Azure SQL database via the internet.

O Private Link foi projetado para eliminar esses riscos de segurança, removendo a parte pública da conexão.

O Private Link fornece acesso seguro aos serviços do Azure. O Private Link alcança essa segurança substituindo o ponto de extremidade público de um recurso por uma interface de rede privada. Há três pontos-chave a considerar com esta nova arquitetura:

  • O recurso do Azure torna-se, de certa forma, uma parte da sua rede virtual.
  • A conexão com o recurso agora usa a rede de backbone do Microsoft Azure em vez da Internet pública.
  • Você pode configurar o recurso do Azure para não expor mais seu endereço IP público, o que elimina esse risco potencial de segurança.

O que é o Ponto Final Privado do Azure?

O Private Endpoint é a principal tecnologia por trás do Private Link. O Ponto de Extremidade Privado é uma interface de rede que permite uma conexão privada e segura entre sua rede virtual e um serviço do Azure. Em outras palavras, Private Endpoint é a interface de rede que substitui o ponto de extremidade público do recurso.

Nota

O Private Endpoint não é um serviço gratuito. Você paga uma taxa definida por hora, bem como uma taxa definida por gigabyte para o tráfego de entrada e saída que passa pelo Ponto de Extremidade Privado.

O Private Link dá-lhe acesso privado a partir da sua rede virtual do Azure aos serviços PaaS e aos serviços de Parceiros Microsoft no Azure. No entanto, e se a sua empresa tiver criado os seus próprios serviços do Azure para os clientes da sua empresa consumirem? É possível oferecer a esses clientes uma ligação privada aos serviços da sua empresa?

Sim, usando o Serviço de Link Privado do Azure. Este serviço permite-lhe oferecer ligações de Ligação Privada aos seus serviços personalizados do Azure. Os consumidores de seus serviços personalizados podem acessar esses serviços de forma privada, ou seja, sem usar a Internet, de suas próprias redes virtuais do Azure.

Nota

A utilização do Serviço Private Link é gratuita.

O trabalho do Private Link em conjunto com o Private Endpoint e o Private Link Service oferece os seguintes benefícios:

  • Acesso privado a serviços PaaS e serviços de parceiros da Microsoft no Azure. Quando você usa o Ponto de Extremidade Privado, os serviços do Azure são mapeados para sua rede virtual do Azure. Não importa que o recurso do Azure esteja em uma rede virtual diferente e em um locatário diferente do Ative Directory. Para os usuários em sua rede virtual do Azure, o recurso parece fazer parte dessa rede.
  • Acesso privado aos serviços do Azure em qualquer região. O Private Link funciona globalmente. A conexão privada com um serviço do Azure funciona mesmo se a rede virtual desse serviço estiver em uma região diferente da sua própria rede virtual.
  • Rotas não públicas para serviços do Azure. Depois que um serviço do Azure tiver sido mapeado para sua rede virtual, a rota de tráfego será alterada. Todo o tráfego de entrada e saída entre sua rede virtual e o serviço do Azure viaja pela rede de backbone do Microsoft Azure. A Internet pública nunca é utilizada para o tráfego de serviços.
  • Os pontos finais públicos já não são necessários. Como todo o tráfego de e para um serviço do Azure mapeado agora flui pelo backbone do Microsoft Azure, o ponto de extremidade público para o serviço não é mais necessário. Você pode desativar esse ponto de extremidade público e, portanto, eliminar uma possível ameaça à segurança.
  • As suas redes virtuais do Azure emparelhadas também obtêm acesso a recursos alimentados por Link Privado. Se você estiver usando uma ou mais redes virtuais emparelhadas do Azure, nenhuma configuração extra será necessária para que essas redes emparelhadas acessem um recurso privado do Azure. Os clientes em qualquer rede emparelhada podem acessar qualquer Ponto de Extremidade Privado que você mapeou para um serviço do Azure.
  • Sua rede local também obtém acesso a recursos alimentados por Link Privado. Sua rede local se conecta à sua rede virtual do Azure usando o emparelhamento privado da Rota Expressa ou um túnel VPN? Em caso afirmativo, nenhuma configuração extra é necessária para que os clientes na rede local acessem um recurso privado do Azure.
  • Proteção contra exfiltração de dados. Ao mapear um Ponto de Extremidade Privado para um serviço do Azure, você mapeia para uma instância específica desse serviço. Por exemplo, se estiver a configurar o acesso privado ao Armazenamento do Azure, mapeie o acesso a um blob, tabela ou outra instância de armazenamento. Se uma máquina virtual na rede for comprometida, o invasor não poderá mover ou copiar dados para outra instância de recurso.
  • Acesso privado aos seus próprios serviços do Azure. Você pode implementar o Serviço de Link Privado e oferecer aos clientes acesso privado aos seus serviços personalizados do Azure.

O Private Link e o Private Endpoint funcionam com muitos serviços do Azure. Para se manter atualizado sobre os serviços e regiões mais recentes que oferecem suporte ao Private Link, consulte Atualizações do Azure.