Безопасность сети для Центров событий Azure
В этой статье описывается, как использовать следующие функции безопасности в Центрах событий Azure.
- Теги служб
- Правила брандмауэра для IP-адресов
- Конечные точки сетевых служб
- Частные конечные точки
Теги служб
Тег службы представляет группу префиксов IP-адресов из определенной службы Azure. Корпорация Майкрософт управляет префиксами адресов, входящих в тег службы, и автоматически обновляет этот тег при изменении адресов, сводя к минимуму сложность частых обновлений правил сетевой безопасности. Для получения дополнительной информации о служебных тегах см. статью Обзор служебных тегов.
Теги службы можно использовать для определения элементов управления доступом к сети в группах безопасности сети или Брандмауэре Azure. Теги служб можно использовать вместо определенных IP-адресов при создании правил безопасности. Указав имя тега службы (например, EventHub) в соответствующем поле источника или назначения правила, можно разрешить или запретить трафик соответствующей службы.
| Тег службы | Характер использования | Может ли использовать входящий или исходящий трафик? | Может быть региональным? | Можно ли использовать с Брандмауэром Azure? |
|---|---|---|---|---|
EventHub |
. | Исходящий | Да | Да |
Примечание.
Тег службы для Центров событий Azure содержит несколько IP-адресов для Служебной шины Azure по причинам исторического характера.
IP-брандмауэр
По умолчанию пространства имен Центров событий доступны из Интернета при условии, что запрос поступает с действительной аутентификацией и авторизацией. С помощью брандмауэра IP-адресов его можно ограничить только набором адресов IPv4 или IPv6 или диапазонов адресов в нотации CIDR (маршрутизация между доменами без классов).
Эта возможность полезна в сценариях, в которых Центры событий Azure должны быть доступны только из определенных хорошо известных сайтов. Правила брандмауэра позволяют настроить правила для приема трафика, исходящего из определенных адресов IPv4 или IPv6. Например, при использовании Центров событий с помощью Azure ExpressRoute можно создать правило брандмауэра, разрешающее трафик только с IP-адресов в локальной инфраструктуре.
Правила брандмауэра для IP-адресов применяются на уровне пространства имен Центров событий. Поэтому они действуют для всех клиентских подключений по любым поддерживаемым протоколам. Любая попытка подключения с IP-адреса, который не соответствует правилу разрешения IP-адресов для пространства имен Центров событий, отклоняется, как несанкционированная. В ответе клиенту не упоминается правило для IP-адресов. Правила фильтрации IP-адресов применяются по порядку, поэтому первое правило, которое соответствует IP-адресу, определяет действие (принять или отклонить).
Дополнительные сведения см. в разделе "Настройка брандмауэра IP для концентратора событий".
Конечные точки сетевых служб
Интеграция Центров событий с конечными точками службы виртуальная сеть (виртуальная сеть) обеспечивает безопасный доступ к возможностям обмена сообщениями из рабочих нагрузок, таких как виртуальные машины, привязанные к виртуальным сетям, с защищенным сетевым трафиком на обоих концах.
Когда будет настроена привязка по меньшей мере к одной конечной точке службы подсети виртуальной сети, пространство имен соответствующих Центров событий Azure будет принимать трафик только из авторизованных подсетей в виртуальных сетях. С точки зрения виртуальной сети привязка пространства имен Центров событий к конечной точке службы настраивает изолированный сетевой туннель от подсети виртуальной сети к службе обмена сообщениями.
Результатом является частная и изолированная взаимосвязь между рабочими нагрузками, привязанными к подсети, и соответствующим пространством имен Центров событий, несмотря на то что наблюдаемый сетевой адрес конечной точки службы обмена сообщениями находится в общедоступном диапазоне IP-адресов. Но есть одно исключение. Если включить конечную точку службы, по умолчанию служба включает denyall правило в брандмауэре IP-адресов, связанном с виртуальной сетью. Можно добавить определенные IP-адреса в брандмауэр IP-адресов, чтобы открыть доступ к общедоступной конечной точке Центров событий.
Важно!
Эта функция не поддерживается на уровне "Базовый".
Расширенные сценарии безопасности, включенные интеграцией виртуальной сети
Решения, требующие жесткой и раздельной защиты, где подсети виртуальной сети обеспечивают сегментирование между разделенными службами, все же нуждаются в путях взаимодействия между службами, находящимися в этих секциях.
Любой прямой IP-маршрут между секциями, включая передачу трафика HTTPS через TCP/IP, несет риск использования уязвимостей на сетевом уровне. Службы обмена сообщениями обеспечивают изолированные пути взаимодействия, где сообщения при передаче между сторонами даже записываются на диск. Рабочие нагрузки в двух разных виртуальных сетях, которые связаны с одним и тем же экземпляром Центров событий, могут эффективно и надежно связываться через сообщения, в то время как целостность границ изолированной сети сохраняется.
Это означает, что ваши конфиденциальные облачные решения, влияющие на безопасность, не только получают доступ к ведущим в отрасли надежным, масштабируемым и асинхронным службам обмена сообщениями Azure, но теперь могут использовать обмен сообщениями, чтобы создавать пути передачи данных между защищенными секциями решений. По своей сути такие пути обеспечивают больше безопасности, чем при любом режиме одноранговой связи, включая HTTPS и другие протоколы сокетов TLS.
Привязка концентраторов событий к виртуальным сетям
Правила виртуальной сети — это функция безопасности брандмауэра, которая контролирует, принимает ли пространство имен Центров событий Azure соединения из определенной подсети виртуальной сети.
Привязка пространства имен Центров событий к виртуальной сети состоит из двух этапов. Сначала необходимо создать конечную точку службы для виртуальной сети в подсети виртуальной сети и включить ее для Microsoft.EventHub, как описано в статье Общие сведения о конечных точках служб. После добавления конечной точки службы вы привязываете пространство имен Центров событий к ней с помощью правила виртуальной сети.
Правило виртуальной сети — это связь пространства имен Центров событий с подсетью виртуальной сети. Пока правило существует, всем рабочим нагрузкам, привязанным к подсети, предоставляется доступ к пространству имен Центров событий. Центры событий никогда не устанавливают исходящие подключения. Они не нуждаются в доступе и поэтому никогда не получают доступ к вашей подсети, если это правило включено.
Дополнительные сведения см. в разделе "Настройка конечных точек службы виртуальной сети" для концентратора событий.
Частные конечные точки
Служба "Приватный канал Azure" обеспечивает доступ к службам Azure (например, к Центрам событий Azure, службе хранилища Azure и Azure Cosmos DB), а также к размещенным в Azure службам клиентов или партнеров через частную конечную точку вашей виртуальной сети.
Частная конечная точка — это сетевой интерфейс, который защищенно и надежно подключается к службе через Приватный канал Azure. Частная конечная точка использует частный IP-адрес из виртуальной сети, по сути, перемещая службу в виртуальную сеть. Весь трафик к службе может маршрутизироваться через частную конечную точку, поэтому шлюзы, устройства преобразования сетевых адресов (NAT), подключения ExpressRoute и VPN, а также общедоступные IP-адреса не требуются. Трафик между виртуальной сетью и службой проходит через магистральную сеть Майкрософт. Это позволяет избежать рисков общедоступного Интернета. Вы можете подключиться к экземпляру ресурса Azure, обеспечивая наивысшую степень детализации в управлении доступом.
Важно!
Эта функция не поддерживается на уровне "Базовый".
Дополнительные сведения см. в разделе "Настройка частных конечных точек для концентратора событий".
Дальнейшие действия
См. следующие статьи: