Nätverkssäkerhet för Azure Service Bus

Den här artikeln beskriver hur du använder följande säkerhetsfunktioner med Azure Service Bus:

• Tjänsttaggar
• IP-brandväggsregler
• Nätverkstjänstslutpunkter
• Privata slutpunkter

Tjänsttaggar

En tjänsttagg representerar en grupp IP-adressprefix från en viss Azure-tjänst. Microsoft hanterar adressprefixen som omfattas av tjänsttaggen och uppdaterar automatiskt tjänsttaggen när adresserna ändras, vilket minimerar komplexiteten i frekventa uppdateringar av nätverkssäkerhetsregler. Mer information om tjänsttaggar finns i Översikt över tjänsttaggar.

Du kan använda tjänsttaggar för att definiera nätverksåtkomstkontroller i nätverkssäkerhetsgrupper eller Azure Firewall. Använd tjänsttaggar i stället för specifika IP-adresser när du skapar säkerhetsregler. Genom att ange namnet på tjänsttaggen (till exempel ServiceBus) i lämpligt käll- eller målfält för en regel kan du tillåta eller neka trafik för motsvarande tjänst.

Tjänsttagg	Syfte	Kan du använda inkommande eller utgående trafik?	Kan vara regional?	Kan du använda med Azure Firewall?
ServiceBus	Azure Service Bus-trafik som använder Premium-tjänstnivån.	Utgående	Ja	Ja

Kommentar

Du kan endast använda tjänsttaggar för premiumnamnområden . Om du använder ett standardnamnområde använder du FQDN för namnområdet i stället i form av <contoso.servicebus.windows.net>. Du kan också använda DEN IP-adress som du ser när du kör följande kommando: nslookup <host name for the namespace>, men detta rekommenderas inte eller stöds inte, och du måste hålla reda på ändringar i IP-adresserna.

IP-brandvägg

Som standard är Service Bus-namnområden tillgängliga från Internet så länge begäran levereras med giltig autentisering och auktorisering. Med IP-brandväggen kan du begränsa den ytterligare till endast en uppsättning IPv4-adresser eller IPv4-adressintervall i notationen CIDR (Classless Inter-Domain Routing).

Den här funktionen är användbar i scenarier där Azure Service Bus endast ska vara tillgänglig från vissa välkända platser. Med brandväggsregler kan du konfigurera regler för att acceptera trafik som kommer från specifika IPv4-adresser. Om du till exempel använder Service Bus med Azure Express Route kan du skapa en brandväggsregel som tillåter trafik från endast din lokala infrastrukturs IP-adresser eller adresser för en företags-NAT-gateway.

IP-brandväggsreglerna tillämpas på Service Bus-namnområdesnivå. Därför gäller reglerna för alla anslutningar från klienter som använder protokoll som stöds. Alla anslutningsförsök från en IP-adress som inte matchar en tillåten IP-regel i Service Bus-namnområdet avvisas som obehöriga. I svaret nämns inte IP-regeln. IP-filterregler tillämpas i ordning och den första regeln som matchar IP-adressen avgör åtgärden acceptera eller avvisa.

Mer information finns i Konfigurera IP-brandvägg för ett Service Bus-namnområde

Nätverkstjänstslutpunkter

Integreringen av Service Bus med tjänstslutpunkter för virtuellt nätverk (VNet) ger säker åtkomst till meddelandefunktioner från arbetsbelastningar som virtuella datorer som är bundna till virtuella nätverk, där nätverkstrafiksökvägen skyddas i båda ändar.

När den har konfigurerats för att bindas till minst en tjänstslutpunkt för virtuellt nätverk kommer respektive Service Bus-namnområde inte längre att acceptera trafik från någon plats utan auktoriserade virtuella nätverk. Från det virtuella nätverkets perspektiv konfigurerar bindning av ett Service Bus-namnområde till en tjänstslutpunkt en isolerad nätverkstunnel från det virtuella nätverksundernätet till meddelandetjänsten.

Resultatet är en privat och isolerad relation mellan de arbetsbelastningar som är bundna till undernätet och respektive Service Bus-namnområde, trots att den observerbara nätverksadressen för meddelandetjänstens slutpunkt finns i ett offentligt IP-intervall.

Viktigt!

Virtuella nätverk stöds endast i Service Bus-namnområden på Premium-nivå .

När du använder VNet-tjänstslutpunkter med Service Bus bör du inte aktivera dessa slutpunkter i program som blandar Service Bus-namnområden på Standard- och Premium-nivå. Eftersom Standard-nivån inte stöder virtuella nätverk. Slutpunkten är endast begränsad till Premium-nivånamnområden.

Avancerade säkerhetsscenarier som aktiveras av VNet-integrering

Lösningar som kräver strikt och uppdelad säkerhet, och där virtuella nätverksundernät tillhandahåller segmenteringen mellan de uppdelade tjänsterna, behöver vanligtvis fortfarande kommunikationsvägar mellan tjänster som finns i dessa fack.

Varje omedelbar IP-väg mellan facken, inklusive de som transporterar HTTPS via TCP/IP, medför risk för utnyttjande av sårbarheter från nätverksskiktet uppåt. Meddelandetjänster tillhandahåller helt isolerade kommunikationsvägar, där meddelanden till och med skrivs till disk när de övergår mellan parter. Arbetsbelastningar i två distinkta virtuella nätverk som båda är bundna till samma Service Bus-instans kan kommunicera effektivt och tillförlitligt via meddelanden, medan respektive nätverksisoleringsgränsintegritet bevaras.

Det innebär att dina säkerhetskänsliga molnlösningar inte bara får åtkomst till azures branschledande tillförlitliga och skalbara asynkrona meddelandefunktioner, utan de kan nu använda meddelanden för att skapa kommunikationsvägar mellan säkra lösningsfack som är säkrare än vad som kan uppnås med alla peer-to-peer-kommunikationslägen, inklusive HTTPS och andra TLS-skyddade socketprotokoll.

Binda Service Bus till virtuella nätverk

Regler för virtuellt nätverk är brandväggssäkerhetsfunktionen som styr om Azure Service Bus-servern accepterar anslutningar från ett visst virtuellt nätverksundernät.

Att binda ett Service Bus-namnområde till ett virtuellt nätverk är en tvåstegsprocess. Du måste först skapa en tjänstslutpunkt för virtuellt nätverk i ett undernät för virtuellt nätverk och aktivera den för Microsoft.ServiceBus enligt beskrivningen i översikten över tjänstslutpunkten. När du har lagt till tjänstslutpunkten binder du Service Bus-namnområdet till den med en regel för virtuellt nätverk.

Regeln för virtuellt nätverk är en association av Service Bus-namnområdet med ett virtuellt nätverksundernät. Regeln finns, men alla arbetsbelastningar som är bundna till undernätet beviljas åtkomst till Service Bus-namnområdet. Själva Service Bus upprättar aldrig utgående anslutningar, behöver inte få åtkomst och beviljas därför aldrig åtkomst till undernätet genom att aktivera den här regeln.

Mer information finns i Konfigurera tjänstslutpunkter för virtuella nätverk för ett Service Bus-namnområde

Privata slutpunkter

Med Azure Private Link Service kan du komma åt Azure-tjänster (till exempel Azure Service Bus, Azure Storage och Azure Cosmos DB) och Azure-värdbaserade kund-/partnertjänster via en privat slutpunkt i ditt virtuella nätverk.

En privat slutpunkt är ett nätverksgränssnitt som ger dig en privat och säker anslutning till en tjänst som drivs av Azure Private Link. Den privata slutpunkten använder en privat IP-adress från ditt virtuella nätverk som effektivt flyttar tjänsten till ditt virtuella nätverk. All trafik till tjänsten kan dirigeras via den privata slutpunkten, så inga gatewayer, NAT-enheter, ExpressRoute- eller VPN-anslutningar, eller offentliga IP-adresser behövs. Trafik mellan ditt virtuella nätverk och tjänsten passerar över Microsofts stamnätverk, vilket eliminerar exponering från det offentliga Internet. Du kan ansluta till en instans av en Azure-resurs, vilket ger dig den högsta detaljnivån i åtkomstkontrollen.

Mer information finns i Vad är Azure Private Link?

Kommentar

Den här funktionen stöds med Premium-nivån för Azure Service Bus. Mer information om premiumnivån finns i artikeln Service Bus Premium- och Standard-meddelandenivåer .

Mer information finns i Konfigurera privata slutpunkter för ett Service Bus-namnområde

Nästa steg

Mer information finns i följande artiklar:

• Så här konfigurerar du IP-brandväggen för ett Service Bus-namnområde
• Så här konfigurerar du tjänstslutpunkter för virtuella nätverk för ett Service Bus-namnområde
• Konfigurera privata slutpunkter för ett Service Bus-namnområde