Explicación de los puntos de conexión de servicio de red virtual
Su organización migra una aplicación ERP existente con servidores de bases de datos a máquinas virtuales de Azure. Ahora, para reducir los costos y los requisitos administrativos, está planteándose la posibilidad de usar algunos servicios de plataforma como servicio (PaaS) de Azure. Específicamente, los servicios de almacenamiento contendrán algunos recursos de archivos grandes, como diagramas de ingeniería. Estos diagramas de ingeniería tienen información de su propiedad y deben permanecer protegidos frente a accesos no autorizados. Estos archivos solo deben ser accesibles desde sistemas específicos.
En esta unidad, verá cómo se pueden usar los puntos de conexión de servicio de red virtual para proteger los servicios de Azure.
¿Qué es un punto de conexión de servicio de red virtual?
El punto de conexión de servicio de red virtual (VNet) proporciona conectividad segura y directa a los servicios de Azure. Los puntos de conexión de servicio permiten proteger los recursos de servicio de Azure críticos únicamente para las redes virtuales. Los puntos de conexión de servicio permiten a las direcciones IP privadas de la red virtual alcanzar el punto de conexión de un servicio de Azure sin necesidad de una dirección IP pública.
De forma predeterminada, todos los servicios de Azure están diseñados para el acceso directo a Internet. Todos los recursos de Azure tienen direcciones IP públicas, incluidos los servicios PaaS como Azure SQL Database y Azure Storage. Como estos servicios se exponen a Internet, cualquiera puede acceder a los servicios de Azure.
Los puntos de conexión de servicio pueden conectar determinados servicios PaaS directamente al espacio de direcciones privado de Azure. Los puntos de conexión de servicio utilizan el espacio de direcciones privadas para acceder directamente a los servicios PaaS. La incorporación de puntos de conexión de servicio no quita el punto de conexión público. Simplemente proporciona un redireccionamiento del tráfico.
Preparación para la implementación de puntos de conexión de servicio
Para habilitar un punto de conexión de servicio, debe hacer dos cosas:
- Desactivar el acceso público al servicio.
- Agregar el punto de conexión de servicio a una red virtual.
Cuando se habilita un punto de conexión de servicio, se restringe el flujo de tráfico y se permite que las máquinas virtuales de Azure accedan directamente al servicio desde el espacio de direcciones privado. Los dispositivos no pueden acceder al servicio desde una red pública. En una vNIC de máquina virtual implementada, si observa Rutas eficaces, puede ver el punto de conexión de servicio como Tipo del próximo salto.
Esta es una tabla de rutas de ejemplo, antes de habilitar un punto de conexión de servicio:
| ORIGEN | ESTADO | PREFIJOS DE DIRECCIÓN | TIPO DEL PRÓXIMO SALTO |
|---|---|---|---|
| Predeterminado | Activo | 10.1.1.0/24 | VNet |
| Predeterminado | Activo | 0.0.0.0./0 | Internet |
| Predeterminado | Activo | 10.0.0.0/8 | None |
| Predeterminado | Activo | 100.64.0.0/10 | None |
| Predeterminado | Activo | 192.168.0.0/16 | None |
Esta es una tabla de rutas de ejemplo después de agregar dos puntos de conexión de servicio a la red virtual.
| ORIGEN | ESTADO | PREFIJOS DE DIRECCIÓN | TIPO DEL PRÓXIMO SALTO |
|---|---|---|---|
| Predeterminado | Activo | 10.1.1.0/24 | VNet |
| Predeterminado | Activo | 0.0.0.0./0 | Internet |
| Predeterminado | Activo | 10.0.0.0/8 | None |
| Predeterminado | Activo | 100.64.0.0/10 | None |
| Predeterminado | Activo | 192.168.0.0/16 | None |
| Predeterminado | Activo | 20.38.106.0/23, 10 más | VirtualNetworkServiceEndpoint |
| Predeterminado | Activo | 20.150.2.0/23, 9 más | VirtualNetworkServiceEndpoint |
Ahora, todo el tráfico del servicio se enruta al punto de conexión de servicio de red virtual y sigue siendo interno en Azure.
Creación de puntos de conexión de servicio
Como ingeniero de red, planea mover archivos de diagrama de ingeniería confidenciales a Azure Storage. Los archivos solo deben ser accesibles desde equipos internos de la red corporativa. Quiere crear un punto de conexión de servicio de red virtual para Azure Storage con el fin de proteger la conectividad a las cuentas de almacenamiento.
En el tutorial del punto de conexión de servicio, aprenderá a:
- Habilitación de un punto de conexión de servicio en una subred
- Uso de reglas de red para restringir el acceso a Azure Storage
- Creación de un punto de conexión de servicio de red virtual para Azure Storage
- Comprobación de que el acceso se deniega correctamente
Configuración de etiquetas de servicio
Una etiqueta de servicio representa un grupo de prefijos de direcciones IP de un servicio de Azure determinado. Microsoft administra los prefijos de direcciones que la etiqueta de servicio incluye y actualiza automáticamente dicha etiqueta a medida que las direcciones cambian, lo que minimiza la complejidad de las actualizaciones frecuentes en las reglas de seguridad de red.
Puede usar etiquetas de servicio para definir controles de acceso a la red en grupos de seguridad de red o Azure Firewall. Utilice etiquetas de servicio en lugar de direcciones IP específicas al crear reglas de seguridad. Al especificar el nombre de la etiqueta de servicio, como API Management, en el campo de origen o destino apropiados de una regla, puede permitir o denegar el tráfico del servicio correspondiente.
Puede usar etiquetas de servicio para lograr el aislamiento de red y proteger los recursos de Azure de Internet general mientras accede a los servicios de Azure que tienen puntos de conexión públicos. Cree reglas de grupo de seguridad de red de entrada y salida para denegar el tráfico hacia y desde Internet y permitir el tráfico desde y hacia AzureCloud u otras etiquetas de servicio disponibles de servicios específicos de Azure.
Etiquetas de servicio disponibles
Esta tabla incluye todas las etiquetas de servicio disponibles que se pueden usar en reglas de grupos de seguridad de red. Las columnas indican si la etiqueta:
- Es adecuada para reglas que cubren el tráfico entrante o saliente.
- Es compatible con el ámbito regional.
- Se puede usar en las reglas de Azure Firewall.
De forma predeterminada, las etiquetas de servicio son para toda la nube. Algunas etiquetas de servicio también permiten un control más preciso, ya que restringen los intervalos de direcciones IP correspondientes a una región especificada. Por ejemplo, la etiqueta de servicio Storage representa Azure Storage para toda la nube. Oeste de EE. UU. limita el rango solo a los intervalos de direcciones IP de almacenamiento de la región Oeste de EE. UU.
Las etiquetas de servicios de los servicios de Azure indican los prefijos de dirección de la nube específica que se va a usar. Por ejemplo, los intervalos de direcciones IP que se corresponden con el valor de la etiqueta de SQL en la nube pública de Azure serán distintos de los intervalos subyacentes en la nube de Azure Government.
Si implementa un punto de conexión de servicio de red virtual para un servicio, Azure agrega una ruta a una subred de red virtual. Los prefijos de dirección de la ruta son los mismos prefijos de dirección que la etiqueta de servicio correspondiente.