Proteger o acesso de rede para serviços PaaS com pontos finais de serviço de rede virtual
Migrou os servidores de bases de dados e aplicações existentes do seu sistema ERP para o Azure como VMs. Agora, para reduzir os custos e requisitos administrativos, está a considerar utilizar alguns serviços PaaS (plataforma como serviço) do Azure. Os serviços de armazenamento irão manter determinados recursos de ficheiros grandes, tal como diagramas de engenharia. Esses diagramas de engenharia têm informações proprietárias e devem permanecer protegidos contra acesso não autorizado. Estes ficheiros têm de ser acessíveis somente a partir de sistemas específicos.
Nesta unidade, irá ver como utilizar pontos finais de serviço de rede virtual para proteger serviços do Azure suportados.
Pontos finais de serviço de rede virtual
Utilize pontos finais de serviço de rede virtual para expandir o seu espaço de endereços privados no Azure ao fornecer uma ligação direta para os seus serviços do Azure. Os pontos finais de serviço permitem-lhe proteger os recursos do Azure limitando-os somente à sua rede virtual. O tráfego do serviço permanecerá no backbone do Azure e não vai para a Internet.
Por predefinição, os serviços do Azure são concebidos para o acesso direto à Internet. Todos os recursos do Azure têm endereços IP públicos, incluindo serviços PaaS, tais como a Base de Dados SQL do Azure e o Armazenamento do Microsoft Azure. Como estes serviços estão expostos à Internet, qualquer pessoa pode potencialmente aceder aos seus serviços do Azure.
Os pontos finais de serviço podem ligar determinados serviços PaaS diretamente ao seu espaço de endereços privados no Azure, para que ajam como se estivessem na mesma rede virtual. Utilize o seu espaço de endereços privados para aceder diretamente aos serviços PaaS. A adição de pontos finais de serviço não remove o ponto final público. Apenas fornece um redirecionamento de tráfego.
Os pontos finais de serviço do Azure estão disponíveis para vários serviços, tais como:
- Storage do Azure
- Base de Dados SQL do Azure
- Azure Cosmos DB
- Azure Key Vault
- Azure Service Bus
- Azure Data Lake
Para um serviço como o Banco de dados SQL, que você não pode acessar até adicionar endereços IP ao firewall, você ainda deve considerar pontos de extremidade de serviço. Utilizar um ponto final de serviço para a Base de Dados SQL restringe o acesso a redes virtuais específicas ao fornecer maior isolamento e reduzir a superfície de ataque.
Como funcionam os pontos finais de serviço
Para habilitar um ponto de extremidade de serviço, você deve:
- Desativar o acesso público ao serviço.
- Adicionar o ponto final de serviço a uma rede virtual.
Ao habilitar um ponto de extremidade de serviço, você restringe o fluxo de tráfego e habilita suas VMs do Azure para acessar o serviço diretamente do seu espaço de endereçamento privado. Os dispositivos não podem aceder ao serviço a partir de uma rede pública. Numa VM vNIC implementada, se observar as Rotas efetivas, irá reparar no ponto final de serviço como o Tipo de Salto Seguinte.
Este é um exemplo de tabela de rotas antes de habilitar um ponto de extremidade de serviço:
| ORIGEM | ESTADO | PREFIXOS DE ENDEREÇO | TIPO DE SALTO SEGUINTE |
|---|---|---|---|
| Predefinido | Ativo | 10.1.1.0/24 | VNet |
| Predefinido | Ativo | 0.0.0.0./0 | Internet |
| Predefinido | Ativo | 10.0.0.0/8 | Nenhuma |
| Predefinido | Ativo | 100.64.0.0./10 | Nenhuma |
| Predefinido | Ativo | 192.168.0.0/16 | Nenhuma |
Veja a seguir um exemplo de uma tabela de rotas depois de adicionar dois pontos finais de serviço à rede virtual:
| ORIGEM | ESTADO | PREFIXOS DE ENDEREÇO | TIPO DE SALTO SEGUINTE |
|---|---|---|---|
| Predefinido | Ativo | 10.1.1.0/24 | VNet |
| Predefinido | Ativo | 0.0.0.0./0 | Internet |
| Predefinido | Ativo | 10.0.0.0/8 | Nenhuma |
| Predefinido | Ativo | 100.64.0.0./10 | Nenhuma |
| Predefinido | Ativo | 192.168.0.0/16 | Nenhuma |
| Predefinido | Ativo | 20.38.106.0/23, mais 10 | Ponto Final de Serviço de Rede Virtual |
| Predefinido | Ativo | 20.150.2.0/23, mais 9 | Ponto Final de Serviço de Rede Virtual |
Todo o tráfego do serviço agora é roteado para o VirtualNetworkServiceEndpoint e permanece interno ao Azure.
Pontos finais de serviço e redes híbridas
Os recursos de serviço que protegeu com os pontos finais de serviço de rede virtual não são acessíveis, por predefinição, a partir de redes no local. Para aceder a recursos a partir de uma rede no local, utilize IPs NAT. Se você usar a Rota Expressa para conectividade do local com o Azure, precisará identificar os endereços IP NAT usados pela Rota Expressa. Por predefinição, cada circuito utiliza dois endereços IP de NAT para se ligar à rede backbone do Azure. Em seguida, você precisa adicionar esses endereços IP à configuração de firewall IP do recurso de serviço do Azure (por exemplo, Armazenamento do Azure).
O diagrama a seguir mostra como você pode usar um ponto de extremidade de serviço e uma configuração de firewall para habilitar dispositivos locais para acessar recursos do Armazenamento do Azure:
