Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описывается, как использовать следующие функции безопасности с служебной шиной Azure:
- Теги сервиса
- Правила брандмауэра ДЛЯ IP-адресов
- Конечные точки сетевой службы
- Частные конечные точки
Теги сервиса
Тег службы представляет группу префиксов IP-адресов из данной службы Azure. Корпорация Майкрософт управляет префиксами адресов, входящих в тег службы, и автоматически обновляет этот тег при изменении адресов, сводя к минимуму сложность частых обновлений правил сетевой безопасности. Для получения дополнительной информации о служебных тегах см. статью Обзор служебных тегов.
Теги службы можно использовать для определения элементов управления доступом к сети в группах безопасности сети или Брандмауэре Azure. Теги служб можно использовать вместо определенных IP-адресов при создании правил безопасности. Указав имя тега службы (например, ServiceBus) в соответствующем поле источника или назначения правила, можно разрешить или запретить трафик соответствующей службы.
| Сервисный тег | Цель | Может ли использовать входящий или исходящий трафик? | Может быть региональным? | Можно ли использовать с Брандмауэром Azure? |
|---|---|---|---|---|
| ServiceBus | Трафик служебной шины Azure. | исходящий | Да | Да |
Замечание
Ранее теги службы служебной шины включали только IP-адреса пространств имен в номере SKU уровня "Премиум ". Теперь оно было обновлено, чтобы включить IP-адреса всех пространств имен независимо от номера SKU.
IP-брандмауэр
По умолчанию пространства имен служебной шины доступны из Интернета, если запрос поставляется с допустимой проверкой подлинности и авторизацией. С помощью брандмауэра для IP-адресов такой доступ можно дополнительно ограничить набором или диапазоном IPv4-адресов в нотации CIDR.
Эта возможность полезна в сценариях, в которых Служебная шина Azure должна быть доступна только с определенных хорошо известных сайтов. Правила брандмауэра позволяют настроить правила приема трафика, поступающего с определенных IPv4-адресов. Например, при использовании Служебной шины с помощью Azure ExpressRoute можно создать правило брандмауэра, разрешающее трафик только с IP-адресов в локальной инфраструктуре или адресов корпоративного шлюза NAT.
Правила брандмауэра для IP-адресов применяются на уровне пространства имен Служебной шины. Поэтому они действуют для всех клиентских подключений по любым поддерживаемым протоколам. Любые попытки подключения с IP-адресов, которые не соответствуют правилу разрешенных IP-адресов для пространства имен Служебной шины, отклоняются. В ответе клиенту не упоминается правило для IP-адресов. Правила фильтрации IP-адресов применяются по порядку, поэтому первое правило, которое соответствует IP-адресу, определяет действие (принять или отклонить).
Дополнительные сведения см. в разделе "Настройка брандмауэра IP-адресов для пространства имен служебной шины"
Конечные точки сетевой службы
Интеграция служебной шины с конечными точками службы виртуальной сети обеспечивает безопасный доступ к возможностям обмена сообщениями из рабочих нагрузок, таких как виртуальные машины, привязанные к виртуальным сетям, с защищенным сетевым трафиком на обоих концах.
После настройки привязки к одной конечной точке службы подсети виртуальной сети соответствующее пространство имен служебной шины больше не будет принимать трафик из любого места, но авторизованные виртуальные сети. С точки зрения виртуальной сети привязка пространства имен Служебной шины к конечной точке службы настраивает изолированный сетевой туннель от подсети виртуальной сети к службе обмена сообщениями.
Результатом является частная и изолированная взаимосвязь между рабочими нагрузками, связанными с подсетью, и соответствующим пространством имен Служебной шины, несмотря на то что наблюдаемый сетевой адрес конечной точки службы обмена сообщениями находится в общедоступном диапазоне IP-адресов.
Это важно
Виртуальные сети поддерживаются только в пространствах имен службы "Служебная шина" ценовой категории "Премиум".
При использовании конечных точек службы виртуальной сети с служебной шиной не следует включать эти конечные точки в приложениях, смешивающих пространства имен служебной шины уровня "Стандартный" и "Премиум". Так как уровень "Стандартный" не поддерживает виртуальные сети. Конечная точка ограничивается пространствами имен уровня "Премиум".
Расширенные сценарии безопасности, включенные интеграцией виртуальной сети
Решения, требующие жесткой и раздельной защиты, где подсети виртуальной сети обеспечивают сегментирование между разделенными службами, обычно все же нуждаются в путях взаимодействия между службами, находящимися в этих секциях.
Любой прямой IP-маршрут между секциями, включая передачу трафика HTTPS через TCP/IP, несет риск использования уязвимостей на сетевом уровне. Службы обмена сообщениями предоставляют полностью изолированные пути связи, где сообщения даже записываются на диск при переходе между сторонами. Рабочие нагрузки в двух разных виртуальных сетях, которые связаны с одним и тем же экземпляром Служебной шины, могут эффективно и надежно связываться с использованием сообщений, в то время как целостность границ изолированной сети сохраняется.
Это означает, что ваши конфиденциальные облачные решения, влияющие на безопасность, не только получают доступ к ведущим в отрасли надежным, масштабируемым и асинхронным службам обмена сообщениями Azure, но теперь могут использовать обмен сообщениями, чтобы создавать пути передачи данных между защищенными секциями решений. По своей сути такие пути обеспечивают больше безопасности, чем при любом режиме одноранговой связи, включая HTTPS и другие протоколы сокетов TLS.
Привязка служебной шины к виртуальным сетям
Правила виртуальной сети — это функция безопасности брандмауэра, которая позволяет контролировать, принимает ли сервер Служебной шины Azure соединения из определенной подсети виртуальной сети.
Привязка пространства имен Служебной шины к виртуальной сети состоит из двух этапов. Сначала необходимо создать конечную точку службы для Виртуальной сети в подсети Виртуальной сети и включить ее для Microsoft.ServiceBus, как описано в обзоре конечных точек служб. Добавив конечную точку службы, вы привязываете к нему пространство имен служебной шины с правилом виртуальной сети.
Правило виртуальной сети — это связь пространства имен Служебной шины с подсетью виртуальной сети. Пока правило существует, всем рабочим нагрузкам, привязанным к подсети, предоставляется доступ к пространству имен Служебной шины. Служебная шина сама никогда не устанавливает исходящие подключения, не нуждается в доступе, и поэтому, благодаря включению этого правила, ей никогда не предоставляется доступ к вашей подсети.
Дополнительные сведения см. в разделе "Настройка конечных точек службы виртуальной сети" для пространства имен служебной шины
Частные конечные точки
Приватный канал Azure обеспечивает доступ к службам Azure (например, к Служебной шине Azure, службе хранилища Azure и Azure Cosmos DB), а также размещенным в Azure службам клиентов или партнеров через частную конечную точку в виртуальной сети.
Частная конечная точка — это сетевой интерфейс, который приватно и надежно подключается к службе, работающей через службу Azure Private Link. Частная конечная точка использует частный IP-адрес из вашей виртуальной сети, фактически интегрируя службу в вашу виртуальную сеть. Весь трафик к службе может маршрутизироваться через частную конечную точку, поэтому шлюзы, устройства преобразования сетевых адресов (NAT), подключения ExpressRoute и VPN, а также общедоступные IP-адреса не требуются. Трафик между виртуальной сетью и службой проходит через магистральную сеть Майкрософт. Это позволяет избежать рисков общедоступного Интернета. Вы можете подключиться к отдельному экземпляру ресурса Azure, обеспечивая максимальную точность в управлении доступом.
Дополнительные сведения см. в статье Что такое Приватный канал Azure.
Замечание
Эта функция поддерживается для Служебной шины Azure категории Премиум. Дополнительные сведения о категории "Премиум" см. в статье Категории обмена сообщениями через служебную шину "Премиум" и "Стандартный".
Дополнительные сведения см. в разделе "Настройка частных конечных точек для пространства имен служебной шины"
Дальнейшие действия
См. следующие статьи: