Vad är Azure Privat Link?

  • 12 minuter

Innan du lär dig mer om Azure Private Link och dess funktioner och fördelar ska vi undersöka problemet som Private Link är utformat för att lösa.

Contoso har ett virtuellt Azure-nätverk och du vill ansluta till en PaaS-resurs, till exempel en Azure SQL-databas. När du skapar sådana resurser anger du normalt en offentlig slutpunkt som anslutningsmetod.

Att ha en offentlig slutpunkt innebär att resursen tilldelas en offentlig IP-adress. Så även om både ditt virtuella nätverk och Azure SQL-databasen finns i Azure-molnet sker anslutningen mellan dem via Internet.

Problemet är att din Azure SQL-databas exponeras för Internet via dess offentliga IP-adress. Exponeringen skapar flera säkerhetsrisker. Samma säkerhetsrisker finns när en Azure-resurs nås via en offentlig IP-adress från följande platser:

  • Ett peer-kopplat virtuellt Azure-nätverk
  • Ett lokalt nätverk som ansluter till Azure med ExpressRoute och Microsoft-peering
  • En kunds virtuella Azure-nätverk som ansluter till en Azure-tjänst som erbjuds av ditt företag

Network diagram of an Azure virtual network, an Azure peered virtual network, and an on-premises network accessing an Azure SQL database via the internet.

Private Link är utformat för att eliminera dessa säkerhetsrisker genom att ta bort den offentliga delen av anslutningen.

Private Link ger säker åtkomst till Azure-tjänster. Private Link uppnår den säkerheten genom att ersätta en resurs offentliga slutpunkt med ett privat nätverksgränssnitt. Det finns tre viktiga saker att tänka på med den här nya arkitekturen:

  • Azure-resursen blir på sätt och vis en del av ditt virtuella nätverk.
  • Anslutningen till resursen använder nu Microsoft Azure-stamnätverket i stället för det offentliga Internet.
  • Du kan konfigurera Azure-resursen så att den inte längre exponerar sin offentliga IP-adress, vilket eliminerar den potentiella säkerhetsrisken.

Vad är en privat Azure-slutpunkt?

Privat slutpunkt är den viktigaste tekniken bakom Private Link. Privat slutpunkt är ett nätverksgränssnitt som möjliggör en privat och säker anslutning mellan ditt virtuella nätverk och en Azure-tjänst. Med andra ord är privat slutpunkt nätverksgränssnittet som ersätter resursens offentliga slutpunkt.

Kommentar

Privat slutpunkt är inte en kostnadsfri tjänst. Du betalar en fast avgift per timme, samt en fast avgift per gigabyte för både inkommande och utgående trafik som passerar genom den privata slutpunkten.

Private Link ger dig privat åtkomst från ditt virtuella Azure-nätverk till PaaS-tjänster och Microsoft Partner-tjänster i Azure. Men vad händer om ditt företag har skapat egna Azure-tjänster som företagets kunder kan använda? Är det möjligt att erbjuda dessa kunder en privat anslutning till företagets tjänster?

Ja, med hjälp av Azure Private Link Service. Med den här tjänsten kan du erbjuda Private Link-anslutningar till dina anpassade Azure-tjänster. Konsumenter av dina anpassade tjänster kan sedan komma åt dessa tjänster privat– det vill: utan att använda Internet – från sina egna virtuella Azure-nätverk.

Kommentar

Det kostar inget att använda Private Link-tjänsten.

Private Link som arbetar tillsammans med Private Endpoint och Private Link Service ger följande fördelar:

  • Privat åtkomst till PaaS-tjänster och Microsoft Partner-tjänster i Azure. När du använder privat slutpunkt mappas Azure-tjänster till ditt virtuella Azure-nätverk. Det spelar ingen roll att Azure-resursen finns i ett annat virtuellt nätverk och i en annan Active Directory-klientorganisation. För användare i ditt virtuella Azure-nätverk verkar resursen vara en del av nätverket.
  • Privat åtkomst till Azure-tjänster i alla regioner. Private Link fungerar globalt. Den privata anslutningen till en Azure-tjänst fungerar även om tjänstens virtuella nätverk finns i en annan region än ditt eget virtuella nätverk.
  • Icke-offentliga vägar till Azure-tjänster. När en Azure-tjänst har mappats till ditt virtuella nätverk ändras trafikvägen. All inkommande och utgående trafik mellan ditt virtuella nätverk och Azure-tjänsten färdas via Microsoft Azure-stamnätverket. Det offentliga internet används aldrig för tjänsttrafik.
  • Offentliga slutpunkter krävs inte längre. Eftersom all trafik till och från en mappad Azure-tjänst nu flödar över Microsoft Azure-stamnätet krävs inte längre den offentliga slutpunkten för tjänsten. Du kan inaktivera den offentliga slutpunkten och därför eliminera ett möjligt säkerhetshot.
  • Dina peerkopplade virtuella Azure-nätverk får också åtkomst till Private Link-baserade resurser. Om du använder ett eller flera peer-kopplade virtuella Azure-nätverk behövs ingen extra konfiguration för att dessa peer-kopplade nätverk ska få åtkomst till en privat Azure-resurs. Klienter i ett peer-kopplat nätverk kan komma åt den privata slutpunkt som du har mappat till en Azure-tjänst.
  • Ditt lokala nätverk får också åtkomst till Private Link-baserade resurser. Ansluter ditt lokala nätverk till ditt virtuella Azure-nätverk med antingen privat ExpressRoute-peering eller en VPN-tunnel? I så fall behövs ingen extra konfiguration för att klienter i det lokala nätverket ska få åtkomst till en privat Azure-resurs.
  • Skydd mot dataexfiltrering. När du mappar en privat slutpunkt till en Azure-tjänst mappar du till en specifik instans av den tjänsten. Om du till exempel konfigurerar privat åtkomst till Azure Storage mappar du åtkomsten till en blob, tabell eller annan lagringsinstans. Om en virtuell dator i nätverket komprometteras kan angriparen inte flytta eller kopiera data till en annan resursinstans.
  • Privat åtkomst till dina egna Azure-tjänster. Du kan implementera Private Link-tjänsten och erbjuda kunderna privat åtkomst till dina anpassade Azure-tjänster.

Private Link och private endpoint fungerar med många Azure-tjänster. Information om de senaste tjänsterna och regionerna som stöder Private Link finns i Azure-uppdateringar.