Nätverkssäkerhet för Azure Event Hubs

I den här artikeln beskrivs hur du använder följande säkerhetsfunktioner med Azure Event Hubs:

• Tjänsttaggar
• IP-brandväggsregler
• Nätverkstjänstslutpunkter
• Privata slutpunkter

Tjänsttaggar

En tjänsttagg representerar en grupp IP-adressprefix från en viss Azure-tjänst. Microsoft hanterar adressprefixen som omfattas av tjänsttaggen och uppdaterar automatiskt tjänsttaggen när adresserna ändras, vilket minimerar komplexiteten i frekventa uppdateringar av nätverkssäkerhetsregler. Mer information om tjänsttaggar finns i Översikt över tjänsttaggar.

Du kan använda tjänsttaggar för att definiera nätverksåtkomstkontroller i nätverkssäkerhetsgrupper eller Azure Firewall. Använd tjänsttaggar i stället för specifika IP-adresser när du skapar säkerhetsregler. Genom att ange namnet på tjänsttaggen (till exempel EventHub) i lämpligt käll- eller målfält för en regel kan du tillåta eller neka trafik för motsvarande tjänst.

Tjänsttagg	Syfte	Kan du använda inkommande eller utgående trafik?	Kan vara regional?	Kan du använda med Azure Firewall?
EventHub	Azure Event Hubs.	Utgående	Ja	Ja

Kommentar

Azure Event Hubs-tjänsttaggen innehåller några av de IP-adresser som används av Azure Service Bus på grund av historiska orsaker.

IP-brandvägg

Som standard är Event Hubs-namnområden tillgängliga från Internet så länge begäran levereras med giltig autentisering och auktorisering. Med IP-brandväggen kan du begränsa den ytterligare till endast en uppsättning IPv4- eller IPv6-adresser eller adressintervall i notationen CIDR (Classless Inter-Domain Routing).

Den här funktionen är användbar i scenarier där Azure Event Hubs endast ska vara tillgänglig från vissa välkända webbplatser. Med brandväggsregler kan du konfigurera regler för att acceptera trafik som kommer från specifika IPv4- eller IPv6-adresser. Om du till exempel använder Event Hubs med Azure Express Route kan du skapa en brandväggsregel som tillåter trafik från endast ip-adresser för din lokala infrastruktur.

IP-brandväggsreglerna tillämpas på Event Hubs-namnområdesnivå. Därför gäller reglerna för alla anslutningar från klienter som använder protokoll som stöds. Alla anslutningsförsök från en IP-adress som inte matchar en tillåten IP-regel i Event Hubs-namnområdet avvisas som obehöriga. I svaret nämns inte IP-regeln. IP-filterregler tillämpas i ordning och den första regeln som matchar IP-adressen avgör åtgärden acceptera eller avvisa.

Mer information finns i Konfigurera IP-brandvägg för en händelsehubb.

Nätverkstjänstslutpunkter

Integreringen av Event Hubs med tjänstslutpunkter för virtuellt nätverk (virtuellt nätverk) ger säker åtkomst till meddelandefunktioner från arbetsbelastningar, till exempel virtuella datorer som är bundna till virtuella nätverk, där nätverkstrafiksökvägen skyddas i båda ändar.

När den har konfigurerats för att bindas till minst en tjänstslutpunkt för virtuellt nätverk accepterar respektive Event Hubs-namnområde inte längre trafik från någon plats utan auktoriserade undernät i virtuella nätverk. Från det virtuella nätverkets perspektiv konfigurerar bindning av ett Event Hubs-namnområde till en tjänstslutpunkt en isolerad nätverkstunnel från det virtuella nätverksundernätet till meddelandetjänsten.

Resultatet är en privat och isolerad relation mellan de arbetsbelastningar som är bundna till undernätet och respektive Event Hubs-namnområde, trots att den observerbara nätverksadressen för meddelandetjänstens slutpunkt finns i ett offentligt IP-intervall. Det finns ett undantag till det här beteendet. När du aktiverar en tjänstslutpunkt aktiverar denyall tjänsten som standard regeln i IP-brandväggen som är associerad med det virtuella nätverket. Du kan lägga till specifika IP-adresser i IP-brandväggen för att aktivera åtkomst till den offentliga Slutpunkten för Event Hubs.

Viktigt!

Den här funktionen stöds inte på den grundläggande nivån.

Avancerade säkerhetsscenarier som aktiveras av integrering av virtuella nätverk

Lösningar som kräver strikt och uppdelad säkerhet, och där virtuella nätverksundernät tillhandahåller segmenteringen mellan de uppdelade tjänsterna, behöver fortfarande kommunikationsvägar mellan tjänster som finns i dessa fack.

Varje omedelbar IP-väg mellan facken, inklusive de som transporterar HTTPS via TCP/IP, medför risk för utnyttjande av sårbarheter från nätverksskiktet uppåt. Meddelandetjänster tillhandahåller isolerade kommunikationsvägar, där meddelanden till och med skrivs till disk när de övergår mellan parter. Arbetsbelastningar i två distinkta virtuella nätverk som båda är bundna till samma Event Hubs-instans kan kommunicera effektivt och tillförlitligt via meddelanden, medan respektive nätverksisoleringsgränsintegritet bevaras.

Det innebär att dina säkerhetskänsliga molnlösningar inte bara får åtkomst till azures branschledande tillförlitliga och skalbara asynkrona meddelandefunktioner, utan de kan nu använda meddelanden för att skapa kommunikationsvägar mellan säkra lösningsfack som är säkrare än vad som kan uppnås med alla peer-to-peer-kommunikationslägen, inklusive HTTPS och andra TLS-skyddade socketprotokoll.

Binda händelsehubbar till virtuella nätverk

Regler för virtuellt nätverk är brandväggssäkerhetsfunktionen som styr om ditt Azure Event Hubs-namnområde accepterar anslutningar från ett visst virtuellt nätverksundernät.

Att binda ett Event Hubs-namnområde till ett virtuellt nätverk är en tvåstegsprocess. Du måste först skapa en tjänstslutpunkt för virtuellt nätverk i ett virtuellt nätverks undernät och aktivera den för Microsoft.EventHub enligt beskrivningen i översiktsartikeln för tjänstslutpunkten. När du har lagt till tjänstslutpunkten binder du Event Hubs-namnområdet till den med en regel för virtuellt nätverk.

Regeln för virtuellt nätverk är en association av Event Hubs-namnområdet med ett virtuellt nätverksundernät. Regeln finns, men alla arbetsbelastningar som är bundna till undernätet beviljas åtkomst till Event Hubs-namnområdet. Själva Event Hubs upprättar aldrig utgående anslutningar, behöver inte få åtkomst och beviljas därför aldrig åtkomst till ditt undernät genom att aktivera den här regeln.

Mer information finns i Konfigurera tjänstslutpunkter för virtuella nätverk för en händelsehubb.

Privata slutpunkter

Med Azure Private Link-tjänsten kan du komma åt Azure-tjänster (till exempel Azure Event Hubs, Azure Storage och Azure Cosmos DB) och Azure-värdbaserade kund-/partnertjänster via en privat slutpunkt i ditt virtuella nätverk.

En privat slutpunkt är ett nätverksgränssnitt som ger dig en privat och säker anslutning till en tjänst som drivs av Azure Private Link. En privat slutpunkt använder en privat IP-adress från ditt virtuella nätverk, vilket i praktiken flyttar tjänsten till ditt virtuella nätverk. All trafik till tjänsten kan dirigeras via den privata slutpunkten, så inga gatewayer, NAT-enheter, ExpressRoute- eller VPN-anslutningar, eller offentliga IP-adresser behövs. Trafik mellan ditt virtuella nätverk och tjänsten passerar över Microsofts stamnätverk, vilket eliminerar exponering från det offentliga Internet. Du kan ansluta till en instans av en Azure-resurs, vilket ger dig den högsta detaljnivån i åtkomstkontrollen.

Viktigt!

Den här funktionen stöds inte på den grundläggande nivån.

Mer information finns i Konfigurera privata slutpunkter för en händelsehubb.

Nästa steg

Mer information finns i följande artiklar:

• Så här konfigurerar du IP-brandväggen för en händelsehubb
• Så här konfigurerar du tjänstslutpunkter för virtuella nätverk för en händelsehubb
• Så här konfigurerar du privata slutpunkter för en händelsehubb