Определение конечных точек службы для виртуальной сети
Вы перенесли существующие приложения и серверы баз данных своей системы ERP в Azure на виртуальные машины. Теперь, чтобы сократить расходы и административные требования, вы рассматриваете возможность использования некоторых служб Azure "платформа как услуги" (PaaS). Службы хранилища будут содержать определенные крупные файловые ресурсы, такие как инженерные схемы. Это конфиденциальная информация, которую необходимо защитить от несанкционированного доступа. Эти файлы должны быть доступны только из конкретных систем.
В этом модуле мы рассмотрим способы использования конечных точек службы для виртуальной сети для защиты поддерживаемых служб Azure.
Что такое конечная точка службы виртуальной сети?
Конечная точка службы для виртуальной сети обеспечивает возможность безопасного и прямого подключения к службам Azure по оптимизированному маршруту через магистральную сеть Azure. Конечные точки позволяют защищать критически важные ресурсы служб Azure в пределах отдельных виртуальных сетей. Через конечные точки служб частные IP-адреса в виртуальной сети могут достигать конечную точку службы Azure без необходимости использовать общедоступный IP-адрес в виртуальной сети.
По умолчанию службы Azure предназначены для прямого доступа из Интернета. Общедоступные IP-адреса есть у всех ресурсов Azure, включая службы PaaS, такие как База данных SQL Azure и служба хранилища Azure. Так как эти службы доступны через Интернет, любой пользователь потенциально имеет доступ к службам Azure.
Конечные точки службы могут связывать определенные службы PaaS с вашим пространством частных адресов в Azure, чтобы они работали так, словно находятся в одной и той же виртуальной сети. Для непосредственного доступа к службам PaaS используйте пространство частных адресов. Добавление конечных точек служб не приводит к удалению общедоступной конечной точки. Оно просто обеспечивает перенаправление трафика.
Подготовка к реализации конечных точек службы
Чтобы включить конечную точку службы, необходимо выполнить следующие два действия:
- Отключить общий доступ к службе.
- Добавить конечную точку службы для виртуальной сети.
При включении конечной точки службы можно ограничить передачу трафика и разрешить для виртуальных машин Azure доступ к службе напрямую из диапазона частных адресов. Устройства не могут получить доступ к службе из общедоступной сети. Если на виртуальном сетевом адаптере развернутой виртуальной машины взглянуть на сведения в разделе "Фактические маршруты", вы увидите конечную точку службы, указанную как значение параметра "Тип следующего прыжка".
Это пример таблицы маршрутов перед включением конечной точки службы:
| ИСТОЧНИК | Состояние | Префиксы адресов | Тип следующего прыжка |
|---|---|---|---|
| Значение по умолчанию | Активно | 10.1.1.0/24 | Виртуальная сеть |
| По умолчанию. | Активно | 0.0.0.0./0 | Интернет |
| По умолчанию. | Активно | 10.0.0.0/8 | нет |
| По умолчанию. | Активно | 100.64.0.0./ | нет |
| По умолчанию. | Активно | 192.168.0.0/16 | нет |
А вот пример таблицы маршрутов после добавления двух конечных точек службы в виртуальную сеть:
| ИСТОЧНИК | Состояние | Префиксы адресов | Тип следующего прыжка |
|---|---|---|---|
| Значение по умолчанию | Активно | 10.1.1.0/24 | Виртуальная сеть |
| По умолчанию. | Активно | 0.0.0.0./0 | Интернет |
| По умолчанию. | Активно | 10.0.0.0/8 | нет |
| По умолчанию. | Активно | 100.64.0.0./ | нет |
| По умолчанию. | Активно | 192.168.0.0/16 | нет |
| По умолчанию. | Активно | 20.38.106.0/23, еще 10 | VirtualNetworkServiceEndpoint. |
| По умолчанию. | Активно | 20.150.2.0/23, еще 9 | VirtualNetworkServiceEndpoint. |
Весь трафик для службы теперь перенаправляется на конечную точку службы для виртуальной сети и остается внутренним по отношению к Azure.
Создание конечных точек службы
Как сетевой инженер вы планируете переместить конфиденциальные файлы инженерных схем в службу хранилища Azure. Файлы должны быть доступны только с компьютеров в корпоративной сети. Вы хотите создать конечную точку службы для виртуальной сети для службы хранилища Azure, чтобы защитить подключения к учетным записям хранения.
В руководстве по конечной точке службы вы узнаете, как:
- Включение конечной точки службы в подсети
- Использование правил сети для ограничения доступа к служба хранилища Azure
- Создание конечной точки службы для виртуальной сети для службы хранилища Azure
- Убедитесь, что доступ запрещен соответствующим образом
Настройка тегов службы
Тег службы представляет группу префиксов IP-адресов из определенной службы Azure. Корпорация Майкрософт управляет префиксами адресов, входящих в тег службы, и автоматически обновляет этот тег при изменении адресов, сводя к минимуму сложность частых обновлений правил сетевой безопасности.
Теги службы можно использовать для определения элементов управления доступом к сети в группах безопасности сети или Брандмауэре Azure. Теги служб можно использовать вместо определенных IP-адресов при создании правил безопасности. Указав имя тега службы (например, API Management) в соответствующем поле источника или назначения для правила, можно разрешить или запретить трафик для соответствующей службы.
По состоянию на март 2021 г. теги службы также можно использовать вместо явных диапазонов IP-адресов в определяемых пользователем маршрутах. Эта функция сейчас доступна в виде общедоступной предварительной версии.
Теги службы можно использовать для обеспечения изоляции сети и защиты ресурсов Azure от общего доступа через Интернет при доступе к службам Azure, имеющим общедоступные конечные точки. Создайте правила группы безопасности сети для входящих и исходящих подключений, чтобы запретить передачу трафика Интернета и разрешить входящий и исходящий трафик AzureCloud или других доступных тегов служб Azure.
Доступные теги службы
В следующей таблице перечислены все теги службы, доступные для использования в правилах группы безопасности сети.
Столбцы указывают на следующее:
- Подходит ли тег для правил, охватывающих входящий или исходящий трафик.
- Поддерживает ли тег региональные области.
- Можно ли использовать тег в правилах Брандмауэра Azure.
По умолчанию теги службы отображают диапазоны для всего облака. Некоторые теги службы также обеспечивают более детализированный контроль за счет запрета соответствующих диапазонов IP-адресов для указанного региона. Например, тег службы "Storage" представляет службу хранилища Azure для всего облака, кроме Storage. "WestUS" ограничивает диапазон только IP-адресами службы хранилища из региона WestUS. В этой таблице показано, поддерживает ли каждый тег службы такую региональную область.
Теги службы для служб Azure обозначают используемые префиксы адресов из определенного облака. Например, базовые диапазоны IP-адресов, соответствующие значению тега SQL в общедоступном облаке Azure, будут отличаться от базовых диапазонов в облаке Azure для Китая.
Если вы реализуете конечную точку службы для виртуальной сети для службы, например для службы хранилища Azure или "База данных SQL Azure", Azure добавляет для нее маршрут в подсеть виртуальной сети. Префиксы адресов для маршрута — это те же префиксы или диапазоны CIDR, которые заданы в теге соответствующей службы.