Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описывается использование функций безопасности с служебной шиной Azure.
Теги сервиса
Тег службы представляет группу префиксов IP-адресов из службы Azure. Корпорация Майкрософт управляет префиксами адресов, охватываемым тегом службы, и автоматически обновляет тег службы по мере изменения адресов. Это управление сводит к минимуму сложность частых обновлений правил безопасности сети. Дополнительные сведения о тегах служб см. в обзоре тегов службы Azure для обеспечения безопасности виртуальной сети.
Используйте теги служб для определения элементов управления доступом к сети в группах безопасности сети или брандмауэре Azure. Теги служб можно использовать вместо определенных IP-адресов при создании правил безопасности. Указав имя тега службы (например, ServiceBus) в соответствующем поле источника или назначения правила, можно разрешить или запретить трафик соответствующей службы.
В контексте тегов служб исходящий трафик относится к трафику , исходящему из виртуальной сети Azure. Этот трафик представляет собой входящий трафик в Service Bus. Другими словами, тег службы содержит IP-адреса, используемые для потока трафика в служебную шину из виртуальной сети.
| Сервисный тег | Цель | Может ли использовать входящий или исходящий трафик? | Может быть региональным? | Можно ли использовать с Брандмауэром Azure? |
|---|---|---|---|---|
ServiceBus |
Трафик служебной шины Azure | исходящий | Да | Да |
Замечание
Ранее теги службы служебной шины включали только IP-адреса пространств имен на уровне "Премиум". Теперь они включают IP-адреса всех пространств имен независимо от уровня.
Правила брандмауэра для IP-адресов
По умолчанию пользователи могут получать доступ к пространствам имен Service Bus через Интернет при условии, что запрос сопровождается допустимой проверкой подлинности и авторизацией. С помощью IP-брандмауэра можно ограничить доступ только к набору IPv4-адресов или диапазонам IPv4-адресов в нотации CIDR (бесклассовой междоменной маршрутизации).
Эта функция полезна в сценариях, когда служебная шина Azure должна быть доступна только с определенных известных сайтов. Правила брандмауэра можно использовать для настройки правил для приема трафика, исходящего из определенных IPv4-адресов. Например, если вы используете служебную шину с Azure ExpressRoute, можно создать правило брандмауэра, чтобы разрешить трафик только из IP-адресов локальной инфраструктуры или адресов корпоративного шлюза NAT.
Пространство имен Service Bus применяет правила брандмауэра для IP. Правила применяются ко всем подключениям от клиентов, использующих любой поддерживаемый протокол. Пространство имен служебной шины отклоняет любую попытку подключения из IP-адреса, который не соответствует допустимому правилу IP как несанкционированным. В ответе клиенту не упоминается правило для IP-адресов. Правила ФИЛЬТРА IP применяются в порядке, а первое правило, соответствующее IP-адресу, определяет принятие или отклонение.
Дополнительные сведения см. в разделе "Настройка брандмауэра IP для существующего пространства имен".
Конечные точки сетевой службы
Интеграция служебной шины с конечными точками службы виртуальной сети обеспечивает безопасный доступ к возможностям обмена сообщениями из рабочих нагрузок, таких как виртуальные машины, привязанные к виртуальным сетям. Сетевой трафик защищен на обоих концах.
При конфигурации пространства имен Service Bus, привязанного по крайней мере к одной конечной точке службы для подсети виртуальной сети, пространству имен Service Bus больше не доступен трафик откуда-либо, кроме авторизованных виртуальных сетей. С точки зрения виртуальной сети привязка пространства имен Служебной шины к конечной точке службы настраивает изолированный сетевой туннель от подсети виртуальной сети к службе обмена сообщениями.
Результатом является частная и изолированная связь между рабочими нагрузками, привязанными к подсети и соответствующему пространству имен служебной шины, даже если наблюдаемый сетевой адрес конечной точки службы обмена сообщениями находится в диапазоне общедоступных IP-адресов.
Это важно
Виртуальные сети поддерживаются только в пространствах имен служебной шины уровня "Премиум ".
При использовании конечных точек службы виртуальной сети с служебной шиной не включите эти конечные точки в приложениях, смешивающих пространства имен служебной шины уровня "Стандартный" и "Премиум". Так как уровень "Стандартный" не поддерживает виртуальные сети, конечные точки ограничены только пространствами имен уровня "Премиум".
Сценарии расширенной безопасности для интеграции виртуальной сети
Решения, требующие жесткой и компартментализированной безопасности, и где подсети виртуальной сети обеспечивают сегментацию между компартментализированными службами, обычно всё же необходимы пути связи между этими службами.
Любой непосредственный IP-маршрут между отсеками, в том числе с HTTPS по протоколу TCP/IP, несет риск эксплуатации уязвимостей на сетевом уровне и уровнях выше. Службы обмена сообщениями предоставляют полностью изолированные пути связи, где сообщения даже записываются на диск при переходе между сторонами. Рабочие нагрузки в двух разных виртуальных сетях, привязанных к одному экземпляру служебной шины, могут эффективно и надежно взаимодействовать через сообщения, сохраняя целостность соответствующей границы сетевой изоляции.
Эта система обмена сообщениями по сути более безопасна, чем то, что достижимо с любым одноранговым режимом связи, включая ПРОТОКОЛы HTTPS и другие протоколы сокета, защищенные TLS.
Привязка служебной шины к виртуальным сетям
Правила виртуальной сети — это функция безопасности брандмауэра, которая позволяет контролировать, принимает ли сервер Служебной шины Azure соединения из определенной подсети виртуальной сети.
Привязка пространства имен Служебной шины к виртуальной сети состоит из двух этапов. Сначала создайте конечную точку службы виртуальной сети в подсети виртуальной сети и включите ее для Microsoft.ServiceBus, как объясняется в обзоре конечной точки службы. После добавления конечной точки службы привязать пространство имен служебной шины к нему с помощью правила виртуальной сети.
Правило виртуальной сети связывает пространство имен служебной шины с подсетью виртуальной сети. Пока правило существует, всем рабочим нагрузкам, привязанным к подсети, предоставляется доступ к пространству имен Служебной шины. Служебная шина никогда не устанавливает исходящие подключения, не требует доступа и никогда не предоставляет доступ к подсети при включении этого правила.
Дополнительные сведения см. в статье "Разрешить доступ к пространству имен служебной шины Azure" из определенных виртуальных сетей.
Частные конечные точки
Используя службу Приватного канала Azure, вы можете получить доступ к службам Azure (например, служебной шине Azure, службе хранилища Azure и Azure Cosmos DB) и размещенным в Azure службам клиентов или партнеров через частную конечную точку в виртуальной сети.
Частная конечная точка — это сетевой интерфейс, который подключает вас к службе, связанной с Приватным каналом Azure. Частная конечная точка использует частный IP-адрес из вашей виртуальной сети для эффективной интеграции сервиса в вашу виртуальную сеть.
Вы можете направлять весь трафик к службе через частную конечную точку, поэтому вам не нужны никакие шлюзы, устройства NAT, ExpressRoute или VPN-подключения или общедоступные IP-адреса. Трафик между вашей виртуальной сетью и службой проходит через магистральную сеть Майкрософт, чтобы исключить подверженность общедоступному интернету. Вы можете подключиться к экземпляру ресурса Azure для высокого уровня детализации в управлении доступом.
Дополнительные сведения см. в разделе Что такое Azure Private Link?.
Замечание
Уровень "Премиум" служебной шины Azure поддерживает эту функцию. Дополнительные сведения о уровне "Премиум" см. в статье о уровнях обмена сообщениями служебной шины "Премиум" и "Стандартный".
Дополнительные сведения см. в статье "Разрешить доступ к пространствам имен служебной шины Azure" через частные конечные точки.
Периметр безопасности сети
Другой способ защитить пространство имен служебной шины — включить его в периметр безопасности сети. Периметр безопасности сети устанавливает логическую границу для ресурсов платформы как службы (PaaS). Эта граница ограничивает обмен данными с ресурсами в пределах периметра и управляет общедоступным доступом с помощью явных правил. Этот метод может быть особенно полезным, если вы хотите установить границу безопасности вокруг служебной шины и других ресурсов PaaS, таких как Azure Key Vault.
Дополнительные сведения см. в разделе периметра безопасности сети для служебной шины Azure.