Azure 事件中樞的網路安全性
本文說明如何使用 Azure 事件中樞的下列安全性功能:
- 服務標籤
- IP 防火牆規則
- 網路服務端點
- 私人端點
服務標籤
服務標籤代表來自指定 Azure 服務的一組 IP 位址首碼。 Microsoft 會管理服務標籤包含的位址前置詞,並隨著位址變更自動更新服務標籤,而盡可能簡化網路安全性規則頻繁的更新。 如需服務標籤的詳細資訊,請參閱服務標籤概觀。
您可使用服務標籤來定義網路安全性群組或 Azure 防火牆的網路存取控制。 建立安全性規則時,請以服務標籤取代特定的 IP 位址。 在規則的正確 [來源] 或 [目的地] 欄位中指定服務標籤名稱 (例如 EventHub),即可允許或拒絕對應服務的流量。
| 服務標籤 | 目的 | 可以使用輸入還是輸出? | 是否可為區域性? | 是否可與 Azure 防火牆搭配使用? |
|---|---|---|---|---|
EventHub |
Azure 事件中樞。 | 出埠 | Yes | 是 |
注意
基於歷史原因,Azure 事件中樞服務標籤包含 Azure 服務匯流排使用的一些 IP 位址。
IP 防火牆
根據預設,只要要求具備有效的驗證和授權,便可以從網際網路存取事件中樞命名空間。 透過 IP 防火牆,您可以將其進一步限制為僅允許一組 IPv4 或 IPv6 位址,或是使用 CIDR (無類別網域間路由選擇) 標記法來設定位址範圍。
此功能在只應該從特定知名網站存取 Azure 事件中樞的情況下會很有幫助。 防火牆規則可讓您設定規則以接受源自特定 IPv4 或 IPv6 位址的流量。 例如,如果您搭配 Azure Express Route 使用事件中樞,您可以建立防火牆規則以僅允許來自您內部部署基礎結構 IP 位址的流量。
IP 防火牆規則會在事件中樞命名空間層級套用。 因此,規則會套用至來自用戶端的所有連接 (使用任何受支援的通訊協定)。 任何來自某個 IP 位址的連線嘗試,只要不符合事件中樞命名空間上的允許 IP 規則,系統就會將其視為未經授權而予以拒絕。 回應不會提及 IP 規則。 IP 篩選器規則會依序套用,而且第一個符合 IP 位址的規則會決定接受或拒絕動作。
如需詳細資訊,請參閱如何設定事件中樞的 IP 防火牆。
網路服務端點
將事件中樞與虛擬網路服務端點整合,可以安全存取來自虛擬機器 (繫結至虛擬網路) 等工作負載的傳訊功能,而且兩端的網路流量路徑都能受到保護。
一旦設定為繫結到至少一個虛擬網路子網路服務端點,各自的事件中樞命名空間便只能接受虛擬網路中已授權的子網路,而無法再接受其他位置的流量。 從虛擬網路的角度來看,將事件中樞命名空間繫結至服務端點,會設定從虛擬網路子網路到傳訊服務的隔離式網路通道。
最終這會在繫結至子網路的工作負載與各自的事件中樞命名空間之間,建立私人且隔離的關係,儘管傳訊服務端點顯示的網路位址位於公用 IP 範圍中。 此行為有例外狀況。 您啟用服務端點時,該服務依預設會在該虛擬網路相關的 IP 防火牆中啟用 denyall 規則。 您可在 IP 防火牆中新增特定 IP 位址,以啟用事件中樞公用端點的存取權。
重要
基本層中不支援此功能。
虛擬網路整合所實現的進階安全性案例
當解決方案需要嚴格的劃分式安全性,且虛擬網路子網路可區隔各項劃分的服務,各項劃分的服務間通常仍需要通訊路徑。
區間之間的任何立即 IP 路由,包括那些運輸 HTTPS over TCP/IP,會帶來上層網路的弱點危害風險。 傳訊服務提供隔離式的通訊路徑,當訊息在對象之間轉換時,甚至會寫入磁碟。 兩個都繫結到相同事件中樞執行個體的不同虛擬網路,當中的工作負載可以透過訊息有效且可靠地通訊,並且保留各自的網路隔離界限完整性。
這表示您的安全性敏感雲端解決方案,不只獲得 Azure 可靠、可擴充的領先業界非同步傳訊功能的存取權,而且它們現在可以使用傳訊來建立安全解決方案區間之間的通訊路徑,這些區間本質上比任何對等通訊模式 (包括 HTTPS 和其他 TLS 保護的通訊端通訊協定) 更為安全。
將事件中樞繫結至虛擬網路
「虛擬網路規則」是防火牆安全性功能,可控制 Azure 事件中樞命名空間是否接受來自特定虛擬網路子網路的連線。
將事件中樞命名空間繫結至虛擬網路是一個雙步驟程序。 您必須先在虛擬網路子網路上建立虛擬網路服務端點,接著針對 Microsoft.EventHub 啟用該端點 (如服務端點概觀一文所述)。 一旦您新增服務端點,便會使用虛擬網路規則將事件中樞命名空間與其繫結。
虛擬網路規則是「事件中樞」命名空間與虛擬網路子網路的關聯。 此規則存在時,繫結至該子網路的所有工作負載都會獲得事件中樞命名空間的存取權。 事件中樞本身一律不會建立輸出連線,且無須取得存取權,因此即使啟用這項規則,也一律不會獲得您子網路的存取權。
如需詳細資訊,請參閱如何設定事件中樞的虛擬網路服務端點。
私人端點
Azure Private Link 服務可讓您透過虛擬網路中的私人端點存取各項 Azure 服務 (例如 Azure 事件中樞、Azure 儲存體和 Azure Cosmos DB),以及 Azure 託管的客戶/合作夥伴服務。
私人端點是一種網路介面,其可以私人且安全的方式連線至 Azure Private Link 所支援服務。 私人端點會使用您虛擬網路中的私人 IP 位址,有效地將服務帶入您的虛擬網路中。 服務的所有流量都可以透過私人端點路由傳送,因此不需要閘道、NAT 裝置、ExpressRoute 或 VPN 連線或公用 IP 位址。 虛擬網路和服務間的流量會在通過 Microsoft 骨幹網路時隨之減少,降低資料在網際網路中公開的風險。 您可以連線至 Azure 資源的執行個體,以提供您存取控制中最高層級的細微性。
重要
基本層中不支援此功能。
如需詳細資訊,請參閱如何設定事件中樞的私人端點。
下一步
請參閱以下文章: