Azure Service Bus için ağ güvenliği
Bu makalede, Azure Service Bus ile aşağıdaki güvenlik özelliklerinin nasıl kullanılacağı açıklanmaktadır:
- Hizmet etiketleri
- IP Güvenlik Duvarı kuralları
- Ağ hizmeti uç noktaları
- Özel uç noktalar
Hizmet etiketleri
Hizmet etiketi, belirli bir Azure hizmetinden ip adresi ön ekleri grubunu temsil eder. Microsoft, hizmet etiketiyle kapsadığı adres ön eklerini yönetir ve adresler değiştikçe hizmet etiketini otomatik olarak güncelleştirir ve ağ güvenlik kurallarında sık sık yapılan güncelleştirmelerin karmaşıklığını en aza indirir. Hizmet etiketleri hakkında daha fazla bilgi için bkz . Hizmet etiketlerine genel bakış.
Hizmet etiketlerini kullanarak ağ güvenlik gruplarında veya Azure Güvenlik Duvarı ağ erişim denetimlerini tanımlayabilirsiniz. Güvenlik kuralları oluştururken belirli IP adreslerinin yerine hizmet etiketlerini kullanın. Bir kuralın uygun kaynak veya hedef alanında hizmet etiketi adını (örneğin, ServiceBus) belirterek, ilgili hizmet için trafiğe izin verebilir veya trafiği reddedebilirsiniz.
| Hizmet etiketi | Purpose | Gelen veya giden kullanılabilir mi? | Bölgesel olabilir mi? | Azure Güvenlik Duvarı ile kullanabilir misiniz? |
|---|---|---|---|---|
| ServiceBus | Premium hizmet katmanını kullanan Azure Service Bus trafiği. | Giden | Yes | Evet |
Not
Hizmet etiketlerini yalnızca premium ad alanları için kullanabilirsiniz. Standart bir ad alanı kullanıyorsanız, contoso.servicebus.windows.net biçiminde bunun yerine ad alanının FQDN'sini <>kullanın. Alternatif olarak, şu komutu çalıştırdığınızda gördüğünüz IP adresini kullanabilirsiniz: nslookup <host name for the namespace>ancak bu önerilmez veya desteklenmez ve IP adreslerindeki değişiklikleri izlemeniz gerekir.
IP güvenlik duvarı
Varsayılan olarak, istek geçerli kimlik doğrulaması ve yetkilendirme ile birlikte geldiği sürece Service Bus ad alanlarına İnternet'ten erişilebilir. IP güvenlik duvarı ile, bunu yalnızca CIDR (Sınıfsız Etki Alanları Arası Yönlendirme) gösterimindeki bir dizi IPv4 adresi veya IPv4 adres aralığıyla kısıtlayabilirsiniz.
Bu özellik, Azure Service Bus'ın yalnızca belirli iyi bilinen sitelerden erişilebilir olması gereken senaryolarda yararlıdır. Güvenlik duvarı kuralları, belirli IPv4 adreslerinden kaynaklanan trafiği kabul etmek için kuralları yapılandırmanıza olanak tanır. Örneğin, Azure Express Route ile Service Bus kullanıyorsanız, yalnızca şirket içi altyapı IP adreslerinden veya kurumsal NAT ağ geçidinin adreslerinden gelen trafiğe izin veren bir güvenlik duvarı kuralı oluşturabilirsiniz.
IP güvenlik duvarı kuralları Service Bus ad alanı düzeyinde uygulanır. Bu nedenle, kurallar desteklenen herhangi bir protokolü kullanan istemcilerden gelen tüm bağlantılar için geçerlidir. Service Bus ad alanında izin verilen bir IP kuralıyla eşleşmeyen bir IP adresinden yapılan tüm bağlantı girişimleri yetkisiz olarak reddedilir. Yanıtta IP kuralından bahsedilmez. IP filtresi kuralları sırayla uygulanır ve IP adresiyle eşleşen ilk kural kabul etme veya reddetme eylemini belirler.
Daha fazla bilgi için bkz . Service Bus ad alanı için IP güvenlik duvarını yapılandırma
Ağ hizmeti uç noktaları
Service Bus'ın Sanal Ağ (VNet) hizmet uç noktalarıyla tümleştirilmesi, sanal ağlara bağlı sanal makineler gibi iş yüklerinden mesajlaşma özelliklerine güvenli erişim sağlar ve ağ trafiği yolunun her iki ucunda da güvenliği sağlanır.
En az bir sanal ağ alt ağı hizmet uç noktasına bağlanacak şekilde yapılandırıldıktan sonra, ilgili Service Bus ad alanı artık yetkili sanal ağlardan gelen trafiği kabul etmeyecektir. Sanal ağ perspektifinden bir Service Bus ad alanını bir hizmet uç noktasına bağlamak, sanal ağ alt ağından mesajlaşma hizmetine yalıtılmış bir ağ tüneli yapılandırılır.
Sonuç, mesajlaşma hizmeti uç noktasının gözlemlenebilir ağ adresinin genel IP aralığında olmasına rağmen alt ağa bağlı iş yükleri ile ilgili Service Bus ad alanı arasındaki özel ve yalıtılmış bir ilişkidir.
Önemli
Sanal Ağ yalnızca Premium katman Service Bus ad alanları.
Service Bus ile sanal ağ hizmet uç noktalarını kullanırken, Standart ve Premium katman Service Bus ad alanlarını bir araya getiren uygulamalarda bu uç noktaları etkinleştirmemelisiniz. Standart katman sanal ağları desteklemediğinden. Uç nokta yalnızca Premium katman ad alanlarıyla sınırlıdır.
Sanal ağ tümleştirmesi tarafından etkinleştirilen gelişmiş güvenlik senaryoları
Sıkı ve bölümlere ayrılmış güvenlik gerektiren ve sanal ağ alt ağlarının bölümlere ayrılmış hizmetler arasında segmentasyon sağladığı çözümler, genellikle bu bölmelerde yer alan hizmetler arasında iletişim yollarına ihtiyaç duyar.
TCP/IP üzerinden HTTPS taşıyanlar da dahil olmak üzere bölmeler arasındaki herhangi bir anında IP yolu, açıkların ağ katmanından açıklardan yararlanma riskini taşır. Mesajlaşma hizmetleri, taraflar arasında geçiş yapılırken iletilerin diske bile yazıldığı tamamen yalıtılmış iletişim yolları sağlar. Her ikisi de aynı Service Bus örneğine bağlı iki ayrı sanal ağdaki iş yükleri, iletiler aracılığıyla verimli ve güvenilir bir şekilde iletişim kurabilirken, ilgili ağ yalıtım sınırı bütünlüğü korunur.
Bu, güvenlik açısından hassas bulut çözümlerinizin yalnızca Azure sektör lideri güvenilir ve ölçeklenebilir zaman uyumsuz mesajlaşma özelliklerine erişim elde etmekle kalmaz, aynı zamanda https ve diğer TLS güvenli yuva protokolleri de dahil olmak üzere eşler arası iletişim modlarından daha güvenli olan güvenli çözüm bölmeleri arasında iletişim yolları oluşturmak için mesajlaşmayı kullanabilecekleri anlamına gelir.
Service Bus'ı Sanal Ağ bağlama
Sanal ağ kuralları , Azure Service Bus sunucunuzun belirli bir sanal ağ alt ağından gelen bağlantıları kabul edip etmediğini denetleyan güvenlik duvarı güvenlik özelliğidir.
Service Bus ad alanını sanal ağa bağlamak iki adımlı bir işlemdir. İlk olarak Sanal Ağ bir alt ağda bir Sanal Ağ hizmet uç noktası oluşturmanız ve hizmet uç noktasına genel bakış bölümünde açıklandığı gibi bunu Microsoft.ServiceBus için etkinleştirmeniz gerekir. Hizmet uç noktasını ekledikten sonra, Service Bus ad alanını buna bir sanal ağ kuralıyla bağlarsınız.
Sanal ağ kuralı, Service Bus ad alanının bir sanal ağ alt ağıyla ilişkisidir. Kural mevcutken, alt ağa bağlı tüm iş yüklerine Service Bus ad alanına erişim verilir. Service Bus hiçbir zaman giden bağlantılar kurmaz, erişim kazanması gerekmez ve bu nedenle bu kuralı etkinleştirerek alt ağınıza hiçbir zaman erişim verilmez.
Daha fazla bilgi için bkz . Service Bus ad alanı için sanal ağ hizmet uç noktalarını yapılandırma
Özel uç noktalar
Azure Özel Bağlantı Hizmeti, Sanal ağınızdaki özel bir uç nokta üzerinden Azure hizmetlerine (örneğin Azure Service Bus, Azure Depolama ve Azure Cosmos DB) ve Azure tarafından barındırılan müşteri/iş ortağı hizmetlerine erişmenizi sağlar.
Bir özel uç nokta, sizi Azure Özel Bağlantı ile desteklenen bir hizmete özel olarak ve güvenle bağlayan bir ağ arabirimidir. Özel uç nokta, sanal ağınızdan bir özel IP adresi kullanarak hizmeti etkili bir şekilde sanal ağınıza getirir. Hizmete giden tüm trafik özel uç nokta üzerinden yönlendirilebilir, bu nedenle ağ geçitleri, NAT cihazları, ExpressRoute veya VPN bağlantıları veya genel IP adresleri gerekmez. Sanal ağınız ve hizmet arasındaki trafik, Microsoft omurga ağı üzerinden geçer ve genel İnternet’ten etkilenme olasılığı ortadan kaldırılır. Bir Azure kaynağının örneğine bağlanarak erişim denetiminde en yüksek ayrıntı düzeyini sağlayabilirsiniz.
Daha fazla bilgi için bkz. Azure Özel Bağlantı nedir?
Not
Bu özellik, Azure Service Bus'ın premium katmanında desteklenir. Premium katman hakkında daha fazla bilgi için Service Bus Premium ve Standart mesajlaşma katmanları makalesine bakın.
Daha fazla bilgi için bkz . Service Bus ad alanı için özel uç noktaları yapılandırma
Sonraki adımlar
Aşağıdaki makalelere bakın: