Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
I den här artikeln beskrivs hur du använder säkerhetsfunktioner med Azure Service Bus.
Tjänsttaggar
En tjänsttagg representerar en grupp IP-adressprefix från en Azure-tjänst. Microsoft hanterar adressprefixen som omfattas av tjänsttaggen och uppdaterar automatiskt tjänsttaggen när adresserna ändras. Den här hanteringen minimerar komplexiteten i frekventa uppdateringar av nätverkssäkerhetsregler. För mer information om servicetaggar, se Översikt över Azure-servicetaggar för virtuell nätverkssäkerhet.
Använd tjänsttaggar för att definiera nätverksåtkomstkontroller i nätverkssäkerhetsgrupper eller Azure Firewall. Använd tjänsttaggar i stället för specifika IP-adresser när du skapar säkerhetsregler. Genom att ange namnet på tjänsttaggen (till exempel ServiceBus) i lämpligt käll- eller målfält för en regel kan du tillåta eller neka trafik för motsvarande tjänst.
I samband med tjänsttaggar refererar termen utgående trafik till trafik som är utgående från ett virtuellt Azure-nätverk. Den här trafiken representerar inkommande trafik till Service Bus. Med andra ord innehåller tjänsttaggen de IP-adresser som används för trafik som flödar till Service Bus från ditt virtuella nätverk.
| Serviceetikett | Avsikt | Kan du använda inkommande eller utgående trafik? | Kan det vara regionalt? | Kan användas med Azure Firewall? |
|---|---|---|---|---|
ServiceBus |
Azure Service Bus-trafik | Utgående | Ja | Ja |
Anmärkning
Tidigare inkluderade Service Bus-tjänsttaggar endast IP-adresserna för namnområden på Premium-nivån. De innehåller nu IP-adresserna för alla namnområden, oavsett nivå.
IP-brandväggsregler
Som standard kan användarna komma åt Service Bus-namnområden från Internet så länge begäran levereras med giltig autentisering och auktorisering. Genom att använda IP-brandväggen kan du begränsa åtkomsten till endast en uppsättning IPv4-adresser eller IPv4-adressintervall i notationen CIDR (Classless Inter-Domain Routing).
Den här funktionen är användbar i scenarier där Azure Service Bus endast ska vara tillgänglig från vissa välkända platser. Du kan använda brandväggsregler för att konfigurera regler för att acceptera trafik som kommer från specifika IPv4-adresser. Om du till exempel använder Service Bus med Azure ExpressRoute kan du skapa en brandväggsregel som tillåter trafik från endast din lokala infrastrukturs IP-adresser eller adresser för en företags-NAT-gateway.
Service Bus-namnområdet tillämpar IP-brandväggsreglerna. Reglerna gäller för alla anslutningar från klienter som använder alla protokoll som stöds. Service Bus-namnområdet avvisar alla anslutningsförsök från en IP-adress som inte matchar en tillåten IP-regel som obehörig. I svaret nämns inte IP-regeln. IP-filterregler tillämpas i ordning och den första regeln som matchar IP-adressen avgör godkännande eller avvisande.
Mer information finns i Konfigurera en IP-brandvägg för ett befintligt namnområde.
Nätverkstjänstslutpunkter
Genom att integrera Service Bus med tjänstslutpunkter för virtuella nätverk kan du på ett säkert sätt komma åt meddelandefunktioner från arbetsbelastningar som virtuella datorer som är bundna till virtuella nätverk. Vägen för nätverkstrafik är säkrad i båda ändar.
När du konfigurerar ett Service Bus-namnområde som ska bindas till minst en tjänstslutpunkt för ett virtuellt nätverksundernät, accepterar Service Bus-namnområdet inte längre trafik från någon annanstans än auktoriserade virtuella nätverk. Från det virtuella nätverkets perspektiv konfigurerar bindning av ett Service Bus-namnområde till en tjänstslutpunkt en isolerad nätverkstunnel från det virtuella nätverksundernätet till meddelandetjänsten.
Resultatet är en privat och isolerad relation mellan de arbetsbelastningar som är bundna till undernätet och respektive Service Bus-namnområde, även om den observerbara nätverksadressen för meddelandetjänstens slutpunkt ligger i ett offentligt IP-intervall.
Viktigt!
Virtuella nätverk stöds endast i premium-nivå Service Bus-namnområden.
När du använder tjänstslutpunkter för virtuellt nätverk med Service Bus ska du inte aktivera dessa slutpunkter i program som blandar Service Bus-namnområden på standardnivå och Premium-nivå. Eftersom standardnivån inte stöder virtuella nätverk begränsas slutpunkterna endast till Premium-nivånamnområden.
Avancerade säkerhetsscenarier för integrering av virtuella nätverk
Lösningar som kräver strikt och uppdelad säkerhet, och där virtuella nätverksundernät tillhandahåller segmenteringen mellan de uppdelade tjänsterna, behöver vanligtvis fortfarande kommunikationsvägar mellan dessa tjänster.
Varje omedelbar IP-väg mellan facken, inklusive de som transporterar HTTPS via TCP/IP, medför risk för utnyttjande av sårbarheter från nätverksskiktet och högre lager. Meddelandetjänster tillhandahåller helt isolerade kommunikationsvägar, där meddelanden till och med skrivs till disk när de övergår mellan parter. Arbetsbelastningar i två distinkta virtuella nätverk som båda är bundna till samma Service Bus-instans kan kommunicera effektivt och tillförlitligt via meddelanden, samtidigt som integriteten för respektive nätverksisoleringsgräns bevaras.
Den här meddelandefunktionen är i sig säkrare än vad som kan uppnås med alla peer-to-peer-kommunikationslägen, inklusive HTTPS och andra TLS-skyddade socketprotokoll.
Binda Service Bus till virtuella nätverk
Regler för virtuellt nätverk är brandväggssäkerhetsfunktionen som styr om Azure Service Bus-servern accepterar anslutningar från ett visst virtuellt nätverksundernät.
Att binda ett Service Bus-namnområde till ett virtuellt nätverk är en tvåstegsprocess. Skapa först en tjänstslutpunkt för virtuellt nätverk i ett virtuellt nätverksundernät och aktivera den för Microsoft.ServiceBus, enligt beskrivningen i översikten över tjänstslutpunkten. När du har lagt till tjänstslutpunkten binder du Service Bus-namnområdet till det med hjälp av en regel för virtuellt nätverk.
Regeln för virtuellt nätverk associerar Service Bus-namnområdet med ett virtuellt nätverksundernät. Medan regeln finns, beviljas alla arbetsbelastningar som är bundna till undernätet åtkomst till Service Bus-namnområdet. Själva Service Bus upprättar aldrig utgående anslutningar, behöver inte få åtkomst och beviljas aldrig åtkomst till undernätet när du aktiverar den här regeln.
Mer information finns i Tillåt åtkomst till ett Azure Service Bus-namnområde från specifika virtuella nätverk.
Privata slutpunkter
Genom att använda Azure Private Link-tjänsten kan du komma åt Azure-tjänster (till exempel Azure Service Bus, Azure Storage och Azure Cosmos DB) och Azure-värdbaserade kund- eller partnertjänster via en privat slutpunkt i ditt virtuella nätverk.
En privat slutpunkt är ett nätverksgränssnitt som ansluter dig privat till en tjänst som är relaterad till Azure Private Link. Den privata slutpunkten använder en privat IP-adress från ditt virtuella nätverk för att effektivt föra in tjänsten i ditt virtuella nätverk.
Du kan dirigera all trafik till tjänsten via den privata slutpunkten, så du behöver inga gatewayer, NAT-enheter, ExpressRoute- eller VPN-anslutningar eller offentliga IP-adresser. Trafik mellan ditt virtuella nätverk och tjänsten passerar Microsofts stamnätverk för att eliminera exponering från det offentliga Internet. Du kan ansluta till en instans av en Azure-resurs för den högsta detaljnivån i åtkomstkontrollen.
Mer information finns i Vad är Azure Private Link?.
Anmärkning
Premium-nivån för Azure Service Bus stöder den här funktionen. Mer information om Premium-nivån finns i artikeln om Service Bus Premium- och Standard-meddelandenivåer.
Mer information finns i Tillåt åtkomst till Azure Service Bus-namnområden via privata slutpunkter.
Nätverkssäkerhetsperimeter
Ett annat sätt att skydda Service Bus-namnområdet är att inkludera det i en nätverkssäkerhetsperimeter. En nätverkssäkerhetsperimeter upprättar en logisk gräns för PaaS-resurser (plattform som en tjänst). Den här gränsen begränsar kommunikationen till resurser inom perimetern och styr offentlig åtkomst via explicita regler. Den här tekniken kan vara särskilt användbar när du vill upprätta en säkerhetsgräns runt Service Bus och andra PaaS-resurser som Azure Key Vault.
Mer information finns i Nätverkssäkerhetsperimeter för Azure Service Bus.