Co je privátní propojení Azure?

  • 12 min

Než se dozvíte o službě Azure Private Link a jejích funkcích a výhodách, pojďme se podívat na problém, který je určený k řešení služby Private Link.

Contoso má virtuální síť Azure a chcete se připojit k prostředku PaaS, jako je databáze Azure SQL. Při vytváření takových prostředků obvykle jako metodu připojení zadáte veřejný koncový bod .

Veřejný koncový bod znamená, že prostředek má přiřazenou veřejnou IP adresu. I když se vaše virtuální síť i databáze Azure SQL nacházejí v cloudu Azure, probíhá připojení mezi nimi přes internet.

Problém spočívá v tom, že vaše databáze Azure SQL je přístupná k internetu prostřednictvím své veřejné IP adresy. Tato expozice vytváří více bezpečnostních rizik. Stejná bezpečnostní rizika jsou k dispozici, když se k prostředku Azure přistupuje přes veřejnou IP adresu z následujících umístění:

  • Partnerský vztah virtuální sítě Azure
  • Místní síť, která se připojuje k Azure pomocí ExpressRoute a partnerského vztahu Microsoftu
  • Virtuální síť Azure zákazníka, která se připojuje ke službě Azure nabízené vaší společností

Síťový diagram virtuální sítě Azure, partnerské virtuální sítě Azure a místní sítě, která přistupuje k databázi Azure SQL přes internet

Služba Private Link je navržená tak, aby eliminovala tato rizika zabezpečení odebráním veřejné části připojení.

Private Link poskytuje zabezpečený přístup ke službám Azure. Služba Private Link dosahuje tohoto zabezpečení nahrazením veřejného koncového bodu prostředku privátním síťovým rozhraním. V této nové architektuře je potřeba zvážit tři klíčové body:

  • Prostředek Azure se stane součástí vaší virtuální sítě.
  • Připojení k prostředku teď používá páteřní síť Microsoft Azure místo veřejného internetu.
  • Prostředek Azure můžete nakonfigurovat tak, aby už nezpřístupnil svou veřejnou IP adresu, což eliminuje potenciální bezpečnostní riziko.

Co je privátní koncový bod Azure?

Privátní koncový bod je klíčovou technologií služby Private Link. Privátní koncový bod je síťové rozhraní, které umožňuje privátní a zabezpečené připojení mezi vaší virtuální sítí a službou Azure. Jinými slovy, privátní koncový bod je síťové rozhraní, které nahrazuje veřejný koncový bod prostředku.

Poznámka:

Privátní koncový bod není bezplatná služba. Platíte nastavený poplatek za hodinu a také poplatek za gigabajt pro příchozí i odchozí provoz procházející privátním koncovým bodem.

Private Link poskytuje privátní přístup z vaší virtuální sítě Azure ke službám PaaS a partnerským službám Microsoftu v Azure. Co když ale vaše společnost vytvořila vlastní služby Azure pro zákazníky vaší společnosti, které budou využívat? Je možné těmto zákazníkům nabídnout privátní připojení ke službám vaší společnosti?

Ano, pomocí služby Azure Private Link. Tato služba umožňuje nabízet připojení Private Linku k vašim vlastním službám Azure. Uživatelé vlastních služeb pak můžou k těmto službám přistupovat soukromě – to znamená bez použití internetu – ze svých vlastních virtuálních sítí Azure.

Poznámka:

Za použití služby Private Link se neúčtují žádné poplatky.

Služba Private Link spolupracuje s privátními koncovými body a službou Private Link nabízí následující výhody:

  • Privátní přístup ke službám PaaS a partnerským službám Microsoftu v Azure. Při použití privátního koncového bodu se služby Azure mapují na vaši virtuální síť Azure. Nezáleží na tom, že prostředek Azure je v jiné virtuální síti a v jiném tenantovi Active Directory. Uživatelům ve vaší virtuální síti Azure se zdá, že prostředek je součástí této sítě.
  • Privátní přístup ke službám Azure v libovolné oblasti. Private Link funguje globálně. Privátní připojení ke službě Azure funguje i v případě, že je virtuální síť této služby v jiné oblasti než vaše vlastní virtuální síť.
  • Nepublikované trasy do služeb Azure Jakmile je služba Azure namapovaná na vaši virtuální síť, změní se trasa provozu. Veškerý příchozí a odchozí provoz mezi vaší virtuální sítí a službou Azure prochází přes páteřní síť Microsoft Azure. Veřejný internet se nikdy nepoužívá pro provoz služeb.
  • Veřejné koncové body se už nevyžadují. Vzhledem k tomu, že veškerý provoz do a z mapované služby Azure teď prochází přes páteřní síť Microsoft Azure, veřejný koncový bod služby se už nevyžaduje. Tento veřejný koncový bod můžete zakázat a odstranit tak možnou bezpečnostní hrozbu.
  • Vaše partnerské virtuální sítě Azure také získají přístup k prostředkům založeným na službě Private Link. Pokud používáte jednu nebo více virtuálních sítí Azure s partnerským vztahem, není pro tyto partnerské sítě potřeba žádná další konfigurace pro přístup k privátnímu prostředku Azure. Klienti v jakékoli partnerské síti mají přístup k libovolnému privátnímu koncovému bodu, který jste namapovali na službu Azure.
  • Vaše místní síť také získá přístup k prostředkům využívajícím Private Link. Připojuje se vaše místní síť k virtuální síti Azure pomocí privátního partnerského vztahu ExpressRoute nebo tunelu VPN? Pokud ano, pro klienty v místní síti není potřeba žádná další konfigurace pro přístup k privátnímu prostředku Azure.
  • Ochrana před exfiltrací dat Když namapujete privátní koncový bod na službu Azure, namapujete na konkrétní instanci této služby. Pokud například nastavujete privátní přístup ke službě Azure Storage, namapujete přístup k objektu blob, tabulce nebo jiné instanci úložiště. Pokud dojde k ohrožení zabezpečení virtuálního počítače ve vaší síti, útočník nemůže přesunout ani zkopírovat data do jiné instance prostředku.
  • Privátní přístup k vašim vlastním službám Azure. Službu Private Link můžete implementovat a nabízet zákazníkům privátní přístup k vašim vlastním službám Azure.

Private Link a privátní koncový bod pracují s mnoha službami Azure. Aktuální informace o nejnovějších službách a oblastech, které podporují Službu Private Link, najdete v aktualizacích Azure.