Интеграция служб Azure с виртуальными сетями для изоляции сети

Интеграция виртуальной сети Azure позволяет безопасно изолировать и контролировать доступ к службам Azure в инфраструктуре виртуальной сети. Интегрируя службы с виртуальными сетями, вы можете устранить уязвимость к общедоступному Интернету, ограничить доступ к авторизованным сетям, включая пиринговые виртуальные сети и локальные подключения, и повысить общую безопасность. Этот комплексный подход к сетевой изоляции помогает защитить критически важные ресурсы и обеспечить соответствие требованиям безопасности организации.

Интеграция с виртуальной сетью обеспечивает службы Azure с повышенной безопасностью и сетевой изоляцией с помощью одного или нескольких следующих методов интеграции:

  • Развертывание выделенной службы: разверните выделенные экземпляры службы в виртуальной сети , чтобы обеспечить частный доступ в виртуальной сети и из локальных сетей. Этот метод развертывания обеспечивает полный контроль над сетевым трафиком и маршрутизацией.

  • Приватное подключение. Использование частной конечной точки , которая подключает вас к службе, защищенной с помощью Приватного канала Azure. Частная конечная точка использует частный IP-адрес из вашей виртуальной сети, эффективно перемещая сервис в вашу виртуальную сеть и исключая доступ к интернету.

  • Интеграция конечной точки службы. Доступ к службе с помощью общедоступных конечных точек путем расширения виртуальной сети к службе через конечные точки службы. Конечные точки службы позволяют защитить ресурсы службы в виртуальной сети при сохранении оптимизированной маршрутизации по магистрали Azure.

  • Управление доступом к сети. Используйте теги служб , чтобы разрешить или запретить трафик к ресурсам Azure в конечные точки общедоступного IP-адреса и из нее. Теги служб обеспечивают детализированный контроль доступа к сети, не требуя знания о конкретных IP-адресах.

Развертывание выделенных служб Azure в виртуальных сетях

При развертывании выделенных служб Azure в виртуальной сети можно обмениваться данными с ресурсами службы в частном порядке через частные IP-адреса.

Снимок экрана: развертывание выделенных служб Azure в виртуальных сетях.

Развертывание выделенной службы Azure в виртуальной сети обеспечивает следующие возможности:

  • Ресурсы в виртуальной сети могут взаимодействовать друг с другом в частном порядке через частные IP-адреса. Например, прямая передача данных между HDInsight и SQL Server, работающими на виртуальной машине, в виртуальной сети.

  • Локальные ресурсы могут получить доступ к ресурсам в виртуальной сети с помощью частных IP-адресов через VPN типа "сеть — сеть" (VPN-шлюз) или ExpressRoute.

  • Виртуальные сети можно пиринговать, чтобы разрешить ресурсам в виртуальных сетях взаимодействовать друг с другом, используя частные IP-адреса.

  • Служба Azure полностью управляет экземплярами служб в виртуальной сети. Это управление включает мониторинг работоспособности ресурсов и масштабирование с помощью нагрузки.

  • Экземпляры служб развертываются в подсети в виртуальной сети. Входящий и исходящий сетевой доступ для подсети должен быть открыт через группы безопасности сети, по инструкциям, предоставленным службой.

  • Некоторые службы накладывают ограничения на подсеть, в которой они размещены. Эти ограничения ограничивают применение политик, маршрутов или объединения виртуальных машин и ресурсов служб в одной подсети. Обратитесь к каждой службе с определенными ограничениями, так как они могут меняться с течением времени. Примерами таких служб являются Azure NetApp Files, выделенный HSM, экземпляры контейнеров Azure, служба приложений.

  • При необходимости службам может потребоваться выделенная подсеть в качестве явного признака того, что подсеть может размещать определенную службу. Службы Azure имеют явное разрешение на создание ресурсов для конкретной службы в делегированной подсети с делегированием.

  • Пример ответа REST API в виртуальной сети с делегированной подсетью. Полный список служб, использующих модель делегированной подсети, можно получить с помощью API доступных делегирований.

Службы, которые можно развернуть в виртуальной сети

Category Service Выделенная подсеть1
Compute Виртуальные машины: Linux или Windows
Масштабируемые наборы виртуальных машин
Облачная служба: только виртуальная сеть (классическая)
Пакетная служба Azure
Инфраструктура на базе Bare metal от Azure
No
No
No
No2
No
Network Шлюз приложений — WAF
Бастион Azure
Межсетевой экран Azure
Сервер маршрутизации Azure
Шлюз ExpressRoute
Виртуальные сетевые устройства
VPN-шлюз
Частный сопоставитель Azure DNS
Шлюз данных виртуальной сети для Fabric и Power BI
Yes
Yes
Yes
Yes
Yes
No
Да
нет
Data Кэш Redis
Управляемый экземпляр
SQL AzureБаза данных Azure для MySQL — гибкий сервер
База данных Azure для PostgreSQL — гибкий сервер
Yes
Yes
Да да
Analytics Azure HDInsight
Azure Databricks
No2
No2
Identity доменные службы Microsoft Entra No
Containers Служба Azure Kubernetes (AKS)
Экземпляр контейнера Azure (ACI)
Подсистема службы контейнеров Azure с подключаемым модулем CNI виртуальной сети Azure
Функции Azure
No2
Yes
No
Yes
Web Управление API
Веб-приложения
Среда службы приложений
Приложения логики Azure
Среды контейнерных приложений Azure
Yes
Yes
Yes
Yes
Yes
Hosted Выделенный модуль HSM Azure
Файлы Azure NetApp
Yes
Yes
Azure Spring Apps Развертывание в виртуальной сети Azure (внедрение виртуальной сети)
Yes
Инфраструктура виртуальных рабочих столов Службы лабораторий Azure
Yes
DevOps Нагрузочное тестирование Azure
Yes

1 "Выделенный" подразумевает, что в этой подсети могут быть развернуты только ресурсы, связанные с определенной службой, и они не могут быть объединены с клиентскими виртуальными машинами/массивами виртуальных машин.
2 В качестве рекомендации рекомендуется использовать эти службы в выделенной подсети, но это не обязательное требование, введенное службой.

Частные конечные точки позволяют безопасно перенаправлять трафик из вашей виртуальной сети на ресурс Azure. Эта приватная ссылка устанавливается без необходимости общедоступных IP-адресов. Частная конечная точка — это специальный сетевой интерфейс для службы Azure, размещенный в виртуальной сети. При создании частной конечной точки для ресурса она обеспечивает безопасное подключение между клиентами в виртуальной сети и ресурсом Azure. IP-адрес из диапазона IP-адресов виртуальной сети назначается частной конечной точке. Подключение между частной конечной точкой и службой Azure — это приватный канал.

На схеме справа показана база данных SQL Azure в качестве целевой службы PaaS. Целевой объект может быть любой службой, поддерживающей частные конечные точки. Существует несколько экземпляров логического SQL Server для нескольких клиентов, которые доступны по общедоступным IP-адресам.

В этом случае логический экземпляр SQL Server предоставляется с частной конечной точкой. Конечная точка обеспечивает доступ к SQL Server через частный IP-адрес в виртуальной сети клиента. Из-за изменения конфигурации DNS клиентское приложение теперь отправляет свой трафик непосредственно в частную конечную точку. Целевая служба видит трафик, исходящий из частного IP-адреса виртуальной сети.

Зеленая стрелка представляет приватную ссылку. Общедоступный IP-адрес по-прежнему может существовать для целевого ресурса вместе с частной конечной точкой. Общедоступный IP-адрес больше не используется клиентским приложением. Теперь брандмауэр может запретить доступ для этого общедоступного IP-адреса, что делает его доступным только через частные конечные точки. Подключения к СЕРВЕРУ SQL Server без частной конечной точки из виртуальной сети исходят из общедоступного IP-адреса. Синяя стрелка представляет этот поток.

Снимок экрана: схема архитектуры частных конечных точек.

Клиентское приложение обычно использует DNS-имя узла для достижения целевой службы. Никаких изменений в приложении не требуется. Разрешение DNS в виртуальной сети должно быть настроено для разрешения того же имени узла на частный IP-адрес целевого ресурса вместо исходного общедоступного IP-адреса. При частном пути между клиентом и целевой службой клиент не зависит от общедоступного IP-адреса. Целевая служба может отключить общедоступный доступ.

Возможность отслеживания отдельных экземпляров позволяет предотвратить кражу данных. Злоумышленник не может собирать информацию из базы данных и передавать ее в другую общедоступную базу данных или учетную запись хранения. Вы можете запретить доступ к общедоступным IP-адресам всех служб PaaS. Вы по-прежнему можете разрешить доступ к экземплярам PaaS через свои частные конечные точки.

Дополнительные сведения о приватном канале и списке поддерживаемых служб Azure см. в статье "Что такое приватный канал"?

Конечные точки служб

Конечные точки службы обеспечивают безопасное и прямое подключение к службам Azure через магистральную сеть Azure. Конечные точки позволяют защитить ресурсы Azure только для виртуальных сетей. Конечные точки службы позволяют частным IP-адресам в виртуальной сети обращаться к службе Azure без необходимости исходящего общедоступного IP-адреса.

Без конечных точек службы ограничение доступа к виртуальной сети может быть сложной задачей. Исходный IP-адрес может измениться или может быть предоставлен другим клиентам. Например, службы PaaS с общими исходящими IP-адресами. При использовании конечных точек службы исходный IP-адрес, который видит целевая служба, становится частным IP-адресом вашей виртуальной сети. Это изменение трафика входящего трафика позволяет легко определить источник и использовать его для настройки соответствующих правил брандмауэра. Например, разрешая только трафик из определенной подсети в этой виртуальной сети.

С конечными точками службы записи DNS для служб Azure остаются как есть и продолжают сопоставляться с общедоступными IP-адресами, выделенными службе Azure.

На следующей схеме справа находится та же целевая служба PaaS. Слева расположена виртуальная сеть клиента с двумя подсетями: подсеть A, которая имеет конечную точку службы, направленную к Microsoft.Sql, и подсеть B, в которой не определены конечные точки службы.

Когда ресурс в подсети B пытается связаться с любым SQL Server, он использует общедоступный IP-адрес для исходящего взаимодействия. Синяя стрелка представляет этот трафик. Брандмауэр SQL Server должен использовать этот общедоступный IP-адрес, чтобы разрешить или заблокировать сетевой трафик.

Когда ресурс в подсети A пытается связаться с сервером базы данных, подключение рассматривается как частный IP-адрес из виртуальной сети. Зеленые стрелки представляют этот трафик. Брандмауэр SQL Server теперь может специально разрешить или заблокировать подсеть А. Знание общедоступного IP-адреса исходной службы не является ненужным.

Снимок экрана: схема архитектуры конечных точек службы.

Конечные точки службы применяются ко всем экземплярам целевой службы. Например, все экземпляры SQL Server клиентов Azure, а не только экземпляр клиента.

Дополнительные сведения см. в разделе "Конечные точки службы виртуальной сети"

Теги сервиса

Тег службы представляет группу префиксов IP-адресов из данной службы Azure. С помощью тегов службы можно определить элементы управления доступом к сети в группах безопасности сети или брандмауэре Azure. Вы можете разрешить или запретить трафик для службы. Чтобы разрешить или запретить трафик, укажите тег службы в поле источника или назначения правила.

Схема разрешения или запрета трафика с помощью тегов службы.

Обеспечение сетевой изоляции и защита ресурсов Azure из Интернета при доступе к службам Azure с общедоступными конечными точками. Создайте правила группы безопасности сети для входящего и исходящего трафика, чтобы запретить трафик из Интернета и разрешить трафик из AzureCloud. Дополнительные теги служб см. в доступных тегах служб определенных служб Azure.

Дополнительные сведения о тегах служб и службах Azure, которые поддерживают их, см. в разделе "Общие сведения о тегах службы"

Сравнение частных конечных точек и конечных точек службы

Note

Корпорация Майкрософт рекомендует использовать Приватный канал Azure. Приватный канал предлагает лучшие возможности для частного доступа к PaaS из локальной среды, обеспечивает встроенную защиту от кражи данных и сопоставляет службы с частными IP-адресами в собственной сети. Дополнительные сведения см. в разделе Приватный канал Azure.

Вместо того, чтобы взглянуть только на их различия, стоит отметить, что как конечные точки службы, так и частные конечные точки имеют общие характеристики.

Оба компонента используются для более детального управления брандмауэром в целевой службе. Например, ограничение доступа к базам данных SQL Server или учетным записям хранения. Операция отличается для обоих, как описано более подробно в предыдущих разделах.

Оба подхода преодолевают проблему исчерпания портов преобразования адресов исходной сети (SNAT). При туннелировании трафика через сетевой виртуальный прибор (NVA) или службу с ограничениями портов SNAT может наблюдаться истощение. При использовании конечных точек службы или частных конечных точек трафик принимает оптимизированный путь непосредственно к целевой службе. Оба подхода могут быть выгодными для ресурсоемких приложений, поскольку это снижает задержку и сокращает затраты.

В обоих случаях можно убедиться, что трафик в целевую службу проходит через сетевой брандмауэр или NVA. Эта процедура отличается для обоих подходов. При использовании конечных точек службы следует настроить конечную точку службы в подсети брандмауэра , а не подсеть, в которой развернута исходная служба. При использовании частных конечных точек вы помещаете определяемый пользователем маршрут (UDR) для IP-адреса частной конечной точки в исходной подсети. Находится вне подсети частной конечной точки.

Чтобы сравнить и понять различия, ознакомьтесь со следующей таблицей.

Consideration Конечные точки службы Частные конечные точки
Область службы, в которой применяется конфигурация Вся служба (например, все серверы SQL Server или учетные записи хранения всех клиентов) Отдельный экземпляр (например, определенный экземпляр SQL Server или ваш учетная запись хранения)
Встроенная защита от эксфильтрации данных — возможность перемещения и копирования данных из защищенного ресурса PaaS в другой незащищенный ресурс PaaS злоумышленником. No Yes
Частный доступ к ресурсу PaaS из локальной среды No Yes
Конфигурация NSG, необходимая для доступа к службе Да (использование тегов службы) No
Служба может быть достигнута без использования общедоступного IP-адреса No Yes
Трафик Azure в Azure остается в магистральной сети Azure Yes Yes
Служба может отключить общедоступный IP-адрес No Yes
Вы можете легко ограничить трафик, поступающий из виртуальной сети Azure Да (разрешить доступ из определенных подсетей и/или использовать группы безопасности сети) Yes
Вы можете легко ограничить трафик, поступающий из локальной среды (VPN/ExpressRoute) N/A** Yes
Требуется изменение DNS No Да (см . конфигурацию DNS)
Влияет на стоимость решения No Да (см. ценообразование приватной ссылки)
Влияет на составное соглашение об уровне обслуживания решения No Да (служба частного подключения имеет 99.99% соглашение об уровне обслуживания)
Настройка и обслуживание Простая настройка с меньшими затратами на управление Требуются дополнительные усилия
Limits Нет ограничений на общее количество конечных точек службы в виртуальной сети. Службы Azure могут применять ограничения на количество подсетей, используемых для защиты ресурса. (см. часто задаваемые вопросы о виртуальной сети) Да (см. ограничения Private Link)

**Ресурсы службы Azure, защищенные для виртуальных сетей, недоступны из локальных сетей. Если вы хотите разрешить трафик из вашей локальной среды, разрешите публичные IP-адреса (обычно NAT) из вашей локальной среды или через ExpressRoute. Эти IP-адреса можно добавить с помощью конфигурации брандмауэра IP-адресов для ресурсов службы Azure. Дополнительные сведения см. в разделе часто задаваемых вопросов о виртуальной сети.

Дальнейшие шаги