Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Интеграция виртуальной сети Azure позволяет безопасно изолировать и контролировать доступ к службам Azure в инфраструктуре виртуальной сети. Интегрируя службы с виртуальными сетями, вы можете устранить уязвимость к общедоступному Интернету, ограничить доступ к авторизованным сетям, включая пиринговые виртуальные сети и локальные подключения, и повысить общую безопасность. Этот комплексный подход к сетевой изоляции помогает защитить критически важные ресурсы и обеспечить соответствие требованиям безопасности организации.
Интеграция с виртуальной сетью обеспечивает службы Azure с повышенной безопасностью и сетевой изоляцией с помощью одного или нескольких следующих методов интеграции:
Развертывание выделенной службы: разверните выделенные экземпляры службы в виртуальной сети , чтобы обеспечить частный доступ в виртуальной сети и из локальных сетей. Этот метод развертывания обеспечивает полный контроль над сетевым трафиком и маршрутизацией.
Приватное подключение. Использование частной конечной точки , которая подключает вас к службе, защищенной с помощью Приватного канала Azure. Частная конечная точка использует частный IP-адрес из вашей виртуальной сети, эффективно перемещая сервис в вашу виртуальную сеть и исключая доступ к интернету.
Интеграция конечной точки службы. Доступ к службе с помощью общедоступных конечных точек путем расширения виртуальной сети к службе через конечные точки службы. Конечные точки службы позволяют защитить ресурсы службы в виртуальной сети при сохранении оптимизированной маршрутизации по магистрали Azure.
Управление доступом к сети. Используйте теги служб , чтобы разрешить или запретить трафик к ресурсам Azure в конечные точки общедоступного IP-адреса и из нее. Теги служб обеспечивают детализированный контроль доступа к сети, не требуя знания о конкретных IP-адресах.
Развертывание выделенных служб Azure в виртуальных сетях
При развертывании выделенных служб Azure в виртуальной сети можно обмениваться данными с ресурсами службы в частном порядке через частные IP-адреса.
Развертывание выделенной службы Azure в виртуальной сети обеспечивает следующие возможности:
Ресурсы в виртуальной сети могут взаимодействовать друг с другом в частном порядке через частные IP-адреса. Например, прямая передача данных между HDInsight и SQL Server, работающими на виртуальной машине, в виртуальной сети.
Локальные ресурсы могут получить доступ к ресурсам в виртуальной сети с помощью частных IP-адресов через VPN типа "сеть — сеть" (VPN-шлюз) или ExpressRoute.
Виртуальные сети можно пиринговать, чтобы разрешить ресурсам в виртуальных сетях взаимодействовать друг с другом, используя частные IP-адреса.
Служба Azure полностью управляет экземплярами служб в виртуальной сети. Это управление включает мониторинг работоспособности ресурсов и масштабирование с помощью нагрузки.
Экземпляры служб развертываются в подсети в виртуальной сети. Входящий и исходящий сетевой доступ для подсети должен быть открыт через группы безопасности сети, по инструкциям, предоставленным службой.
Некоторые службы накладывают ограничения на подсеть, в которой они размещены. Эти ограничения ограничивают применение политик, маршрутов или объединения виртуальных машин и ресурсов служб в одной подсети. Обратитесь к каждой службе с определенными ограничениями, так как они могут меняться с течением времени. Примерами таких служб являются Azure NetApp Files, выделенный HSM, экземпляры контейнеров Azure, служба приложений.
При необходимости службам может потребоваться выделенная подсеть в качестве явного признака того, что подсеть может размещать определенную службу. Службы Azure имеют явное разрешение на создание ресурсов для конкретной службы в делегированной подсети с делегированием.
Пример ответа REST API в виртуальной сети с делегированной подсетью. Полный список служб, использующих модель делегированной подсети, можно получить с помощью API доступных делегирований.
Службы, которые можно развернуть в виртуальной сети
1 "Выделенный" подразумевает, что в этой подсети могут быть развернуты только ресурсы, связанные с определенной службой, и они не могут быть объединены с клиентскими виртуальными машинами/массивами виртуальных машин.
2 В качестве рекомендации рекомендуется использовать эти службы в выделенной подсети, но это не обязательное требование, введенное службой.
Прайвет Линк и частные конечные точки
Частные конечные точки позволяют безопасно перенаправлять трафик из вашей виртуальной сети на ресурс Azure. Эта приватная ссылка устанавливается без необходимости общедоступных IP-адресов. Частная конечная точка — это специальный сетевой интерфейс для службы Azure, размещенный в виртуальной сети. При создании частной конечной точки для ресурса она обеспечивает безопасное подключение между клиентами в виртуальной сети и ресурсом Azure. IP-адрес из диапазона IP-адресов виртуальной сети назначается частной конечной точке. Подключение между частной конечной точкой и службой Azure — это приватный канал.
На схеме справа показана база данных SQL Azure в качестве целевой службы PaaS. Целевой объект может быть любой службой, поддерживающей частные конечные точки. Существует несколько экземпляров логического SQL Server для нескольких клиентов, которые доступны по общедоступным IP-адресам.
В этом случае логический экземпляр SQL Server предоставляется с частной конечной точкой. Конечная точка обеспечивает доступ к SQL Server через частный IP-адрес в виртуальной сети клиента. Из-за изменения конфигурации DNS клиентское приложение теперь отправляет свой трафик непосредственно в частную конечную точку. Целевая служба видит трафик, исходящий из частного IP-адреса виртуальной сети.
Зеленая стрелка представляет приватную ссылку. Общедоступный IP-адрес по-прежнему может существовать для целевого ресурса вместе с частной конечной точкой. Общедоступный IP-адрес больше не используется клиентским приложением. Теперь брандмауэр может запретить доступ для этого общедоступного IP-адреса, что делает его доступным только через частные конечные точки. Подключения к СЕРВЕРУ SQL Server без частной конечной точки из виртуальной сети исходят из общедоступного IP-адреса. Синяя стрелка представляет этот поток.
Клиентское приложение обычно использует DNS-имя узла для достижения целевой службы. Никаких изменений в приложении не требуется. Разрешение DNS в виртуальной сети должно быть настроено для разрешения того же имени узла на частный IP-адрес целевого ресурса вместо исходного общедоступного IP-адреса. При частном пути между клиентом и целевой службой клиент не зависит от общедоступного IP-адреса. Целевая служба может отключить общедоступный доступ.
Возможность отслеживания отдельных экземпляров позволяет предотвратить кражу данных. Злоумышленник не может собирать информацию из базы данных и передавать ее в другую общедоступную базу данных или учетную запись хранения. Вы можете запретить доступ к общедоступным IP-адресам всех служб PaaS. Вы по-прежнему можете разрешить доступ к экземплярам PaaS через свои частные конечные точки.
Дополнительные сведения о приватном канале и списке поддерживаемых служб Azure см. в статье "Что такое приватный канал"?
Конечные точки служб
Конечные точки службы обеспечивают безопасное и прямое подключение к службам Azure через магистральную сеть Azure. Конечные точки позволяют защитить ресурсы Azure только для виртуальных сетей. Конечные точки службы позволяют частным IP-адресам в виртуальной сети обращаться к службе Azure без необходимости исходящего общедоступного IP-адреса.
Без конечных точек службы ограничение доступа к виртуальной сети может быть сложной задачей. Исходный IP-адрес может измениться или может быть предоставлен другим клиентам. Например, службы PaaS с общими исходящими IP-адресами. При использовании конечных точек службы исходный IP-адрес, который видит целевая служба, становится частным IP-адресом вашей виртуальной сети. Это изменение трафика входящего трафика позволяет легко определить источник и использовать его для настройки соответствующих правил брандмауэра. Например, разрешая только трафик из определенной подсети в этой виртуальной сети.
С конечными точками службы записи DNS для служб Azure остаются как есть и продолжают сопоставляться с общедоступными IP-адресами, выделенными службе Azure.
На следующей схеме справа находится та же целевая служба PaaS. Слева расположена виртуальная сеть клиента с двумя подсетями: подсеть A, которая имеет конечную точку службы, направленную к Microsoft.Sql, и подсеть B, в которой не определены конечные точки службы.
Когда ресурс в подсети B пытается связаться с любым SQL Server, он использует общедоступный IP-адрес для исходящего взаимодействия. Синяя стрелка представляет этот трафик. Брандмауэр SQL Server должен использовать этот общедоступный IP-адрес, чтобы разрешить или заблокировать сетевой трафик.
Когда ресурс в подсети A пытается связаться с сервером базы данных, подключение рассматривается как частный IP-адрес из виртуальной сети. Зеленые стрелки представляют этот трафик. Брандмауэр SQL Server теперь может специально разрешить или заблокировать подсеть А. Знание общедоступного IP-адреса исходной службы не является ненужным.
Конечные точки службы применяются ко всем экземплярам целевой службы. Например, все экземпляры SQL Server клиентов Azure, а не только экземпляр клиента.
Дополнительные сведения см. в разделе "Конечные точки службы виртуальной сети"
Теги сервиса
Тег службы представляет группу префиксов IP-адресов из данной службы Azure. С помощью тегов службы можно определить элементы управления доступом к сети в группах безопасности сети или брандмауэре Azure. Вы можете разрешить или запретить трафик для службы. Чтобы разрешить или запретить трафик, укажите тег службы в поле источника или назначения правила.
Обеспечение сетевой изоляции и защита ресурсов Azure из Интернета при доступе к службам Azure с общедоступными конечными точками. Создайте правила группы безопасности сети для входящего и исходящего трафика, чтобы запретить трафик из Интернета и разрешить трафик из AzureCloud. Дополнительные теги служб см. в доступных тегах служб определенных служб Azure.
Дополнительные сведения о тегах служб и службах Azure, которые поддерживают их, см. в разделе "Общие сведения о тегах службы"
Сравнение частных конечных точек и конечных точек службы
Note
Корпорация Майкрософт рекомендует использовать Приватный канал Azure. Приватный канал предлагает лучшие возможности для частного доступа к PaaS из локальной среды, обеспечивает встроенную защиту от кражи данных и сопоставляет службы с частными IP-адресами в собственной сети. Дополнительные сведения см. в разделе Приватный канал Azure.
Вместо того, чтобы взглянуть только на их различия, стоит отметить, что как конечные точки службы, так и частные конечные точки имеют общие характеристики.
Оба компонента используются для более детального управления брандмауэром в целевой службе. Например, ограничение доступа к базам данных SQL Server или учетным записям хранения. Операция отличается для обоих, как описано более подробно в предыдущих разделах.
Оба подхода преодолевают проблему исчерпания портов преобразования адресов исходной сети (SNAT). При туннелировании трафика через сетевой виртуальный прибор (NVA) или службу с ограничениями портов SNAT может наблюдаться истощение. При использовании конечных точек службы или частных конечных точек трафик принимает оптимизированный путь непосредственно к целевой службе. Оба подхода могут быть выгодными для ресурсоемких приложений, поскольку это снижает задержку и сокращает затраты.
В обоих случаях можно убедиться, что трафик в целевую службу проходит через сетевой брандмауэр или NVA. Эта процедура отличается для обоих подходов. При использовании конечных точек службы следует настроить конечную точку службы в подсети брандмауэра , а не подсеть, в которой развернута исходная служба. При использовании частных конечных точек вы помещаете определяемый пользователем маршрут (UDR) для IP-адреса частной конечной точки в исходной подсети. Находится вне подсети частной конечной точки.
Чтобы сравнить и понять различия, ознакомьтесь со следующей таблицей.
| Consideration | Конечные точки службы | Частные конечные точки |
|---|---|---|
| Область службы, в которой применяется конфигурация | Вся служба (например, все серверы SQL Server или учетные записи хранения всех клиентов) | Отдельный экземпляр (например, определенный экземпляр SQL Server или ваш учетная запись хранения) |
| Встроенная защита от эксфильтрации данных — возможность перемещения и копирования данных из защищенного ресурса PaaS в другой незащищенный ресурс PaaS злоумышленником. | No | Yes |
| Частный доступ к ресурсу PaaS из локальной среды | No | Yes |
| Конфигурация NSG, необходимая для доступа к службе | Да (использование тегов службы) | No |
| Служба может быть достигнута без использования общедоступного IP-адреса | No | Yes |
| Трафик Azure в Azure остается в магистральной сети Azure | Yes | Yes |
| Служба может отключить общедоступный IP-адрес | No | Yes |
| Вы можете легко ограничить трафик, поступающий из виртуальной сети Azure | Да (разрешить доступ из определенных подсетей и/или использовать группы безопасности сети) | Yes |
| Вы можете легко ограничить трафик, поступающий из локальной среды (VPN/ExpressRoute) | N/A** | Yes |
| Требуется изменение DNS | No | Да (см . конфигурацию DNS) |
| Влияет на стоимость решения | No | Да (см. ценообразование приватной ссылки) |
| Влияет на составное соглашение об уровне обслуживания решения | No | Да (служба частного подключения имеет 99.99% соглашение об уровне обслуживания) |
| Настройка и обслуживание | Простая настройка с меньшими затратами на управление | Требуются дополнительные усилия |
| Limits | Нет ограничений на общее количество конечных точек службы в виртуальной сети. Службы Azure могут применять ограничения на количество подсетей, используемых для защиты ресурса. (см. часто задаваемые вопросы о виртуальной сети) | Да (см. ограничения Private Link) |
**Ресурсы службы Azure, защищенные для виртуальных сетей, недоступны из локальных сетей. Если вы хотите разрешить трафик из вашей локальной среды, разрешите публичные IP-адреса (обычно NAT) из вашей локальной среды или через ExpressRoute. Эти IP-адреса можно добавить с помощью конфигурации брандмауэра IP-адресов для ресурсов службы Azure. Дополнительные сведения см. в разделе часто задаваемых вопросов о виртуальной сети.