Azure Event Hubs için ağ güvenliği
Bu makalede, Azure Event Hubs ile aşağıdaki güvenlik özelliklerinin nasıl kullanılacağı açıklanmaktadır:
- Hizmet etiketleri
- IP Güvenlik Duvarı kuralları
- Ağ hizmeti uç noktaları
- Özel uç noktalar
Hizmet etiketleri
Hizmet etiketi, belirli bir Azure hizmetinden ip adresi ön ekleri grubunu temsil eder. Microsoft, hizmet etiketiyle kapsadığı adres ön eklerini yönetir ve adresler değiştikçe hizmet etiketini otomatik olarak güncelleştirir ve ağ güvenlik kurallarında sık sık yapılan güncelleştirmelerin karmaşıklığını en aza indirir. Hizmet etiketleri hakkında daha fazla bilgi için bkz . Hizmet etiketlerine genel bakış.
Hizmet etiketlerini kullanarak ağ güvenlik gruplarında veya Azure Güvenlik Duvarı ağ erişim denetimlerini tanımlayabilirsiniz. Güvenlik kuralları oluştururken belirli IP adreslerinin yerine hizmet etiketlerini kullanın. Bir kuralın uygun kaynak veya hedef alanında hizmet etiketi adını (örneğin, EventHub) belirterek, ilgili hizmet için trafiğe izin verebilir veya trafiği reddedebilirsiniz.
| Hizmet etiketi | Purpose | Gelen veya giden kullanılabilir mi? | Bölgesel olabilir mi? | Azure Güvenlik Duvarı ile kullanabilir misiniz? |
|---|---|---|---|---|
EventHub |
Azure Event Hubs. | Giden | Yes | Evet |
Not
Azure Event Hubs hizmet etiketi, geçmiş nedenlerden dolayı Azure Service Bus tarafından kullanılan IP adreslerinden bazılarını içerir.
IP güvenlik duvarı
varsayılan olarak, istek geçerli kimlik doğrulaması ve yetkilendirme ile birlikte geldiği sürece Event Hubs ad alanlarına İnternet'ten erişilebilir. IP güvenlik duvarı ile, bunu yalnızca CIDR (Sınıfsız Etki Alanları Arası Yönlendirme) gösterimindeki bir dizi IPv4 veya IPv6 adresi veya adres aralığıyla kısıtlayabilirsiniz.
Bu özellik, Azure Event Hubs'ın yalnızca belirli iyi bilinen sitelerden erişilebilir olması gereken senaryolarda yararlıdır. Güvenlik duvarı kuralları, belirli IPv4 veya IPv6 adreslerinden kaynaklanan trafiği kabul etmek için kuralları yapılandırmanıza olanak tanır. Örneğin, Event Hubs'ı Azure Express Route ile kullanıyorsanız, yalnızca şirket içi altyapı IP adreslerinden gelen trafiğe izin vermek için bir güvenlik duvarı kuralı oluşturabilirsiniz.
IP güvenlik duvarı kuralları Event Hubs ad alanı düzeyinde uygulanır. Bu nedenle, kurallar desteklenen herhangi bir protokolü kullanan istemcilerden gelen tüm bağlantılar için geçerlidir. Event Hubs ad alanında izin verilen bir IP kuralıyla eşleşmeyen bir IP adresinden yapılan tüm bağlantı girişimleri yetkisiz olarak reddedilir. Yanıtta IP kuralından bahsedilmez. IP filtresi kuralları sırayla uygulanır ve IP adresiyle eşleşen ilk kural kabul etme veya reddetme eylemini belirler.
Daha fazla bilgi için bkz . Olay hub'ı için IP güvenlik duvarını yapılandırma.
Ağ hizmeti uç noktaları
Event Hubs'ın Sanal Ağ (sanal ağ) Hizmet Uç Noktaları ile tümleştirilmesi, sanal ağlara bağlı sanal makineler gibi iş yüklerinden mesajlaşma özelliklerine güvenli erişim sağlar ve ağ trafiği yolunun her iki ucunda da güvenliği sağlanır.
En az bir sanal ağ alt ağı hizmet uç noktasına bağlı olacak şekilde yapılandırıldıktan sonra, ilgili Event Hubs ad alanı artık sanal ağlardaki yetkili alt ağlar dışında herhangi bir yerden gelen trafiği kabul etmemektedir. Sanal ağ perspektifinden bir Event Hubs ad alanını hizmet uç noktasına bağlamak, sanal ağ alt ağından mesajlaşma hizmetine yalıtılmış bir ağ tüneli yapılandırılır.
Sonuç, mesajlaşma hizmeti uç noktasının gözlemlenebilir ağ adresinin genel IP aralığında olmasına rağmen alt ağa bağlı iş yükleri ile ilgili Event Hubs ad alanı arasındaki özel ve yalıtılmış bir ilişkidir. Bu davranışın bir istisnası vardır. Bir hizmet uç noktasını etkinleştirdiğinizde, varsayılan olarak hizmet sanal ağ ile ilişkilendirilmiş IP güvenlik duvarında kuralı etkinleştirirdenyall. Event Hubs genel uç noktasına erişimi etkinleştirmek için IP güvenlik duvarına belirli IP adresleri ekleyebilirsiniz.
Önemli
Bu özellik temel katmanda desteklenmez.
Sanal ağ tümleştirmesi tarafından etkinleştirilen gelişmiş güvenlik senaryoları
Sıkı ve bölümlere ayrılmış güvenlik gerektiren ve sanal ağ alt ağlarının bölümlere ayrılmış hizmetler arasında segmentasyon sağladığı çözümler, yine de bu bölmelerde yer alan hizmetler arasında iletişim yollarına ihtiyaç duyar.
TCP/IP üzerinden HTTPS taşıyanlar da dahil olmak üzere bölmeler arasındaki herhangi bir anında IP yolu, açıkların ağ katmanından açıklardan yararlanma riskini taşır. Mesajlaşma hizmetleri, iletiler taraflar arasında geçiş yapılırken diske bile yazıldığı yalıtılmış iletişim yolları sağlar. her ikisi de aynı Event Hubs örneğine bağlı iki ayrı sanal ağdaki iş yükleri, iletiler aracılığıyla verimli ve güvenilir bir şekilde iletişim kurabilirken, ilgili ağ yalıtım sınırı bütünlüğü korunur.
Bu, güvenlik açısından hassas bulut çözümlerinizin yalnızca Azure sektör lideri güvenilir ve ölçeklenebilir zaman uyumsuz mesajlaşma özelliklerine erişim elde etmekle kalmaz, aynı zamanda https ve diğer TLS güvenli yuva protokolleri de dahil olmak üzere eşler arası iletişim modlarından daha güvenli olan güvenli çözüm bölmeleri arasında iletişim yolları oluşturmak için mesajlaşmayı kullanabilecekleri anlamına gelir.
Olay hub'larını sanal ağlara bağlama
Sanal ağ kuralları , Azure Event Hubs ad alanınızın belirli bir sanal ağ alt ağından gelen bağlantıları kabul edip etmediğini denetleen güvenlik duvarı güvenlik özelliğidir.
Event Hubs ad alanını sanal ağa bağlamak iki adımlı bir işlemdir. İlk olarak bir sanal ağın alt ağında bir sanal Ağ hizmet uç noktası oluşturmanız ve hizmet uç noktasına genel bakış makalesinde açıklandığı gibi bunu Microsoft.EventHub için etkinleştirmeniz gerekir. Hizmet uç noktasını ekledikten sonra Event Hubs ad alanını buna bir sanal ağ kuralıyla bağlarsınız.
Sanal ağ kuralı, Event Hubs ad alanının bir sanal ağ alt ağıyla ilişkisidir. Kural mevcutken, alt ağa bağlı tüm iş yüklerine Event Hubs ad alanına erişim verilir. Event Hubs'ın kendisi hiçbir zaman giden bağlantılar kurmaz, erişim elde etmek zorunda değildir ve bu nedenle bu kuralı etkinleştirerek alt ağınıza hiçbir zaman erişim verilmez.
Daha fazla bilgi için bkz . Olay hub'ı için sanal ağ hizmet uç noktalarını yapılandırma.
Özel uç noktalar
Azure Özel Bağlantı hizmeti, sanal ağınızdaki özel bir uç nokta üzerinden Azure Hizmetleri'ne (örneğin Azure Event Hubs, Azure Depolama ve Azure Cosmos DB) ve Azure tarafından barındırılan müşteri/iş ortağı hizmetlerine erişmenizi sağlar.
Bir özel uç nokta, sizi Azure Özel Bağlantı ile desteklenen bir hizmete özel olarak ve güvenle bağlayan bir ağ arabirimidir. Özel uç nokta, sanal ağınızdan bir özel IP adresi kullanarak hizmeti etkili bir şekilde sanal ağınıza getirir. Hizmete giden tüm trafik özel uç nokta üzerinden yönlendirilebilir, bu nedenle ağ geçitleri, NAT cihazları, ExpressRoute veya VPN bağlantıları veya genel IP adresleri gerekmez. Sanal ağınız ve hizmet arasındaki trafik, Microsoft omurga ağı üzerinden geçer ve genel İnternet’ten etkilenme olasılığı ortadan kaldırılır. Bir Azure kaynağının örneğine bağlanarak erişim denetiminde en yüksek ayrıntı düzeyini sağlayabilirsiniz.
Önemli
Bu özellik temel katmanda desteklenmez.
Daha fazla bilgi için bkz . Olay hub'ı için özel uç noktaları yapılandırma.
Sonraki adımlar
Aşağıdaki makalelere bakın:
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin