Сетевая безопасность для служебной шины Azure
В этой статье описывается, как использовать следующие функции безопасности в служебной шине Azure:
- Теги служб
- Правила брандмауэра для IP-адресов
- Конечные точки сетевых служб
- Частные конечные точки
Теги служб
Тег службы представляет группу префиксов IP-адресов из определенной службы Azure. Корпорация Майкрософт управляет префиксами адресов, входящих в тег службы, и автоматически обновляет этот тег при изменении адресов, сводя к минимуму сложность частых обновлений правил сетевой безопасности. Для получения дополнительной информации о служебных тегах см. статью Обзор служебных тегов.
Теги службы можно использовать для определения элементов управления доступом к сети в группах безопасности сети или Брандмауэре Azure. Теги служб можно использовать вместо определенных IP-адресов при создании правил безопасности. Указав имя тега службы (например, ServiceBus) в соответствующем поле источника или назначения правила, вы можете разрешить или запретить трафик для соответствующей службы.
Тег службы | Характер использования | Может ли использовать входящий или исходящий трафик? | Может быть региональным? | Можно ли использовать с Брандмауэром Azure? |
---|---|---|---|---|
Служебная шина | Трафик служебной шины Azure, использующий уровень служб "Премиум". | Исходящий | Да | Да |
Примечание.
Вы можете использовать служебные теги только для пространств имен премиум-класса. Если вы используете стандартное пространство имен, используйте полное доменное имя пространства имен вместо этого в виде <contoso.servicebus.windows.net>. Кроме того, можно использовать IP-адрес, который отображается при выполнении следующей команды: nslookup <host name for the namespace>
однако это не рекомендуется или поддерживается, и вам потребуется отслеживать изменения IP-адресов.
IP-брандмауэр
По умолчанию пространства имен Служебной шины доступны из Интернета при условии, что запрос поступает с действительной аутентификацией и авторизацией. С помощью брандмауэра для IP-адресов такой доступ можно дополнительно ограничить набором или диапазоном IPv4-адресов в нотации CIDR.
Эта возможность полезна в сценариях, в которых Служебная шина Azure должна быть доступна только с определенных хорошо известных сайтов. Правила брандмауэра позволяют настроить правила приема трафика, поступающего с определенных IPv4-адресов. Например, при использовании Служебной шины с помощью Azure ExpressRoute можно создать правило брандмауэра, разрешающее трафик только с IP-адресов в локальной инфраструктуре или адресов корпоративного шлюза NAT.
Правила брандмауэра для IP-адресов применяются на уровне пространства имен Служебной шины. Поэтому они действуют для всех клиентских подключений по любым поддерживаемым протоколам. Любые попытки подключения с IP-адресов, которые не соответствуют правилу разрешенных IP-адресов для пространства имен Служебной шины, отклоняются. В ответе клиенту не упоминается правило для IP-адресов. Правила фильтрации IP-адресов применяются по порядку, поэтому первое правило, которое соответствует IP-адресу, определяет действие (принять или отклонить).
Дополнительные сведения см. в разделе Как настроить брандмауэр IP для пространства имен служебной шины
Конечные точки сетевых служб
Интеграция Служебной шины с конечными точками службы Виртуальной сети (VNet) обеспечивает безопасный доступ к возможностям обмена сообщениями из рабочих нагрузок, таких как виртуальные машины, связанные с виртуальными сетями, в которых трафик защищен с обеих сторон.
Если настроена привязка по крайней мере к одной конечной точке службы подсети виртуальной сети, пространство имен соответствующей Служебной шины принимает трафик только из авторизованных виртуальных сетей. С точки зрения виртуальной сети привязка пространства имен Служебной шины к конечной точке службы настраивает изолированный сетевой туннель от подсети виртуальной сети к службе обмена сообщениями.
Результатом является частная и изолированная взаимосвязь между рабочими нагрузками, связанными с подсетью, и соответствующим пространством имен Служебной шины, несмотря на то что наблюдаемый сетевой адрес конечной точки службы обмена сообщениями находится в общедоступном диапазоне IP-адресов.
Важно!
Виртуальные сети поддерживаются только в пространствах имен службы "Служебная шина" ценовой категории "Премиум".
При использовании конечных точек службы виртуальной сети с служебной шиной не следует включать эти конечные точки в приложениях, которые смешивают пространства имен служебной шины уровней "Стандартный" и "Премиум". Причина состоит в том, что уровень "Стандартный" не поддерживает виртуальные сети. Конечная точка ограничивается пространствами имен уровня "Премиум".
Расширенные сценарии обеспечения безопасности, доступные при интеграции с виртуальной сетью
Решения, требующие жесткой и раздельной защиты, где подсети виртуальной сети обеспечивают сегментирование между разделенными службами, обычно все же нуждаются в путях взаимодействия между службами, находящимися в этих секциях.
Любой прямой IP-маршрут между секциями, включая передачу трафика HTTPS через TCP/IP, несет риск использования уязвимостей на сетевом уровне. Службы обмена сообщениями обеспечивают полностью изолированные пути взаимодействия, где сообщения даже записываются на диск при передаче между сторонами. Рабочие нагрузки в двух разных виртуальных сетях, которые связаны с одним и тем же экземпляром Служебной шины, могут эффективно и надежно связываться с использованием сообщений, в то время как целостность границ изолированной сети сохраняется.
Это означает, что ваши конфиденциальные облачные решения, влияющие на безопасность, не только получают доступ к ведущим в отрасли надежным, масштабируемым и асинхронным службам обмена сообщениями Azure, но теперь могут использовать обмен сообщениями, чтобы создавать пути передачи данных между защищенными секциями решений. По своей сути такие пути обеспечивают больше безопасности, чем при любом режиме одноранговой связи, включая HTTPS и другие протоколы сокетов TLS.
Привязать служебную шину к виртуальным сетям
Правила виртуальной сети — это функция безопасности брандмауэра, которая позволяет контролировать, принимает ли сервер Служебной шины Azure соединения из определенной подсети виртуальной сети.
Привязка пространства имен Служебной шины к виртуальной сети состоит из двух этапов. Сначала необходимо создать конечную точку службы для Виртуальной сети в подсети Виртуальной сети и включить ее для Microsoft.ServiceBus, как описано в обзоре конечных точек служб. Добавив конечную точку службы, вы привязываете к ней пространство имен Служебной шины с помощью правила виртуальной сети.
Правило виртуальной сети — это связь пространства имен Служебной шины с подсетью виртуальной сети. Пока правило существует, всем рабочим нагрузкам, привязанным к подсети, предоставляется доступ к пространству имен Служебной шины. Служебная шина никогда не устанавливает исходящие подключения и не нуждается в доступе, и поэтому это правило не предоставляет ей доступ к вашей подсети.
Дополнительные сведения см. в разделе Настройка конечных точек службы виртуальной сети для пространства имен служебной шины
Частные конечные точки
Приватный канал Azure обеспечивает доступ к службам Azure (например, к Служебной шине Azure, службе хранилища Azure и Azure Cosmos DB), а также размещенным в Azure службам клиентов или партнеров через частную конечную точку в виртуальной сети.
Частная конечная точка — это сетевой интерфейс, который защищенно и надежно подключается к службе через Приватный канал Azure. Частная конечная точка использует частный IP-адрес из виртуальной сети, по сути перемещая службу в виртуальную сеть. Весь трафик к службе может маршрутизироваться через частную конечную точку, поэтому шлюзы, устройства преобразования сетевых адресов (NAT), подключения ExpressRoute и VPN, а также общедоступные IP-адреса не требуются. Трафик между виртуальной сетью и службой проходит через магистральную сеть Майкрософт. Это позволяет избежать рисков общедоступного Интернета. Вы можете подключиться к экземпляру ресурса Azure, обеспечивая наивысшую степень детализации в управлении доступом.
Дополнительные сведения см. в статье Что такое Приватный канал Azure.
Примечание.
Эта функция поддерживается для Служебной шины Azure категории Премиум. Дополнительные сведения о категории "Премиум" см. в статье Категории обмена сообщениями через служебную шину "Премиум" и "Стандартный".
Дополнительные сведения см. в разделе Как настроить частные конечные точки для пространства имен служебной шины
Дальнейшие действия
См. следующие статьи: