Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här artikeln beskriver hur du använder följande säkerhetsfunktioner med Azure Service Bus:
- Tjänsttaggar
- IP-brandväggsregler
- Nätverkstjänstslutpunkter
- Privata slutpunkter
Tjänsttaggar
En tjänsttagg representerar en grupp IP-adressprefix från en viss Azure-tjänst. Microsoft hanterar adressprefixerna som omfattas av tjänstetaggen och uppdaterar automatiskt tjänstetaggen när adresserna ändras, vilket minimerar komplexiteten av frekventa uppdateringar av nätverkssäkerhetsregler. Mer information om tjänsttaggar finns i Översikt över tjänsttaggar.
Använd tjänsttaggar för att definiera nätverksåtkomstkontroller i nätverkssäkerhetsgrupper eller Azure Firewall. Använd tjänsttaggar i stället för specifika IP-adresser när du skapar säkerhetsregler. Genom att ange namnet på tjänsttaggen (till exempel ServiceBus) i lämpligt käll- eller målfält för en regel kan du tillåta eller neka trafik för motsvarande tjänst.
Anmärkning
I samband med tjänsttaggar refererar termen utgående trafik till trafik som är utgående från ett virtuellt Azure-nätverk, som representerar inkommande trafik till Service Bus. Med andra ord innehåller tjänsttaggen de IP-adresser som används för trafik som flödar till Service Bus från ditt virtuella nätverk.
| Serviceetikett | Avsikt | Kan du använda inkommande eller utgående trafik? | Kan det vara regionalt? | Kan användas med Azure Firewall? |
|---|---|---|---|---|
| ServiceBus | Azure Service Bus-trafik. | Utgående | Ja | Ja |
Anmärkning
Tidigare inkluderade Service Bus-tjänsttaggar endast IP-adresserna för namnområden på Premium-nivån . De innehåller nu IP-adresserna för alla namnområden, oavsett nivå.
IP-brandvägg
Som standard kan användarna komma åt Service Bus-namnområden från Internet så länge begäran levereras med giltig autentisering och auktorisering. Genom att använda IP-brandväggen kan du begränsa åtkomsten till endast en uppsättning IPv4-adresser eller IPv4-adressintervall i CIDR-notation (klasslös Inter-Domain routning).
Den här funktionen är användbar i scenarier där Azure Service Bus endast ska vara tillgänglig från vissa välkända platser. Med brandväggsregler kan du konfigurera regler för att acceptera trafik som kommer från specifika IPv4-adresser. Om du till exempel använder Service Bus med Azure Express Route kan du skapa en brandväggsregel som tillåter trafik från endast din lokala infrastrukturs IP-adresser eller adresser för en företags-NAT-gateway.
Service Bus-namnområdet tillämpar IP-brandväggsreglerna. Därför gäller reglerna för alla anslutningar från klienter som använder protokoll som stöds. Service Bus-namnområdet avvisar alla anslutningsförsök från en IP-adress som inte matchar en tillåten IP-regel som obehörig. I svaret nämns inte IP-regeln. IP-filterregler tillämpas i ordning och den första regeln som matchar IP-adressen avgör åtgärden acceptera eller avvisa.
Mer information finns i Konfigurera IP-brandväggen för ett Service Bus-namnområde.
Nätverkstjänstslutpunkter
Genom att integrera Service Bus med tjänstslutpunkter för virtuellt nätverk (VNet) kan du på ett säkert sätt komma åt meddelandefunktioner från arbetsbelastningar som virtuella datorer som är bundna till virtuella nätverk. Vägen för nätverkstrafik är säkrad i båda ändar.
När du konfigurerar ett Service Bus-namnområde så att det är bundet till minst en tjänstslutpunkt för virtuellt nätverk accepterar Service Bus-namnområdet inte längre trafik från någon annanstans än auktoriserade virtuella nätverk. Från det virtuella nätverkets perspektiv konfigurerar bindning av ett Service Bus-namnområde till en tjänstslutpunkt en isolerad nätverkstunnel från det virtuella nätverksundernätet till meddelandetjänsten.
Resultatet är en privat och isolerad relation mellan de arbetsbelastningar som är bundna till undernätet och respektive Service Bus-namnområde, även om den observerbara nätverksadressen för meddelandetjänstens slutpunkt ligger i ett offentligt IP-intervall.
Viktigt!
Virtuella nätverk stöds endast i Service Bus-namnområden på Premium-nivå .
När du använder VNet-tjänstslutpunkter med Service Bus ska du inte aktivera dessa slutpunkter i program som blandar Service Bus-namnområden på Standard- och Premium-nivå. Eftersom Standard-nivån inte stöder VNets. Slutpunkten är endast begränsad till Premium-nivånamnområden.
Avancerade säkerhetsscenarier som aktiveras av VNet-integrering
Lösningar som kräver strikt och uppdelad säkerhet, och där virtuella nätverksundernät tillhandahåller segmenteringen mellan de uppdelade tjänsterna, behöver vanligtvis fortfarande kommunikationsvägar mellan tjänster som finns i dessa fack.
Varje omedelbar IP-väg mellan facken, inklusive de som transporterar HTTPS via TCP/IP, medför risk för utnyttjande av sårbarheter från nätverksskiktet uppåt. Meddelandetjänster tillhandahåller helt isolerade kommunikationsvägar, där meddelanden till och med skrivs till disk när de övergår mellan parter. Arbetsbelastningar i två distinkta virtuella nätverk som båda är bundna till samma Service Bus-instans kan kommunicera effektivt och tillförlitligt via meddelanden, medan respektive nätverksisoleringsgränsintegritet bevaras.
Det innebär att dina säkerhetskänsliga molnlösningar inte bara får åtkomst till azures branschledande tillförlitliga och skalbara asynkrona meddelandefunktioner, utan de kan nu använda meddelanden för att skapa kommunikationsvägar mellan säkra lösningsfack som är säkrare än vad som kan uppnås med alla peer-to-peer-kommunikationslägen, inklusive HTTPS och andra TLS-skyddade socketprotokoll.
Binda Service Bus till virtuella nätverk
Regler för virtuellt nätverk är brandväggssäkerhetsfunktionen som styr om Azure Service Bus-servern accepterar anslutningar från ett visst virtuellt nätverksundernät.
Att binda ett Service Bus-namnområde till ett virtuellt nätverk är en tvåstegsprocess. Skapa först en tjänstslutpunkt för virtuellt nätverk i ett undernät för virtuellt nätverk och aktivera den för Microsoft.ServiceBus enligt beskrivningen i översikten över tjänstslutpunkten. När du har lagt till tjänstslutpunkten binder du Service Bus-namnområdet till det med hjälp av en regel för virtuellt nätverk.
Regeln för virtuellt nätverk associerar Service Bus-namnområdet med ett virtuellt nätverksundernät. Medan regeln finns, beviljas alla arbetsbelastningar som är bundna till undernätet åtkomst till Service Bus-namnområdet. Själva Service Bus upprättar aldrig utgående anslutningar, behöver inte få åtkomst och beviljas därför aldrig åtkomst till undernätet genom att aktivera den här regeln.
Mer information finns i Konfigurera tjänstslutpunkter för virtuella nätverk för ett Service Bus-namnområde.
Privata slutpunkter
Genom att använda Azure Private Link Service kan du komma åt Azure-tjänster (till exempel Azure Service Bus, Azure Storage och Azure Cosmos DB) och Azure-värdbaserade kund- eller partnertjänster via en privat slutpunkt i ditt virtuella nätverk.
En privat slutpunkt är ett nätverksgränssnitt som ger dig en privat och säker anslutning till en tjänst som drivs av Azure Private Link. Den privata slutpunkten använder en privat IP-adress från ditt virtuella nätverk som effektivt flyttar tjänsten till ditt virtuella nätverk. Du kan dirigera all trafik till tjänsten via den privata slutpunkten, så du behöver inga gatewayer, NAT-enheter, ExpressRoute- eller VPN-anslutningar eller offentliga IP-adresser. Trafik mellan ditt virtuella nätverk och tjänsten passerar över Microsofts stamnätverk, vilket eliminerar exponering från det offentliga Internet. Du kan ansluta till en instans av en Azure-resurs, vilket ger dig den högsta detaljnivån i åtkomstkontrollen.
Mer information finns i Vad är Azure Private Link?
Anmärkning
Den här funktionen stöds av Premium-nivån för Azure Service Bus. Mer information om premiumnivån finns i artikeln Service Bus Premium- och Standard-meddelandenivåer .
Mer information finns i Konfigurera privata slutpunkter för ett Service Bus-namnområde.
Nätverkssäkerhetsperimeter
Ett annat sätt att skydda Service Bus-namnområdet är att inkludera det i en nätverkssäkerhetsperimeter. En nätverkssäkerhetsperimeter upprättar en logisk gräns för PaaS-resurser, begränsar kommunikationen till resurser inom perimetern och styr offentlig åtkomst via explicita regler. Detta kan vara särskilt användbart när du vill upprätta en säkerhetsgräns runt Service Bus och andra PaaS-resurser som Azure Key Vault.
Mer information finns i Nätverkssäkerhetsperimeter för Azure Service Bus.
Nästa steg
Se följande artiklar: