Integrare i servizi di Azure con le reti virtuali per l'isolamento della rete
Rete virtuale l'integrazione per un servizio di Azure consente di bloccare l'accesso al servizio solo all'infrastruttura di rete virtuale. L'infrastruttura di rete virtuale include anche reti virtuali con peering e reti locali.
L'integrazione della rete virtuale offre ai servizi di Azure i vantaggi dell'isolamento di rete con uno o più dei metodi seguenti:
Distribuzione di istanze dedicate del servizio in una rete virtuale. I servizi sono accessibili privatamente all'interno della rete virtuale e da reti locali.
Uso dell'endpoint privato che consente di connettersi privatamente e in modo sicuro a un servizio basato su collegamento privato di Azure. L'endpoint privato usa un indirizzo IP privato della rete virtuale, portando il servizio nella rete virtuale in modo efficace.
Accesso al servizio tramite endpoint pubblici estendendo una rete virtuale al servizio tramite endpoint di servizio. Gli endpoint di servizio consentono di proteggere le risorse del servizio nella rete virtuale.
Uso dei tag di servizio per consentire o negare il traffico verso le risorse di Azure da e verso endpoint IP pubblici.
Distribuire servizi di Azure dedicati in reti virtuali
Quando si distribuiscono i servizi di Azure in una rete virtuale, è possibile comunicare con le risorse dei servizi privatamente, tramite indirizzi IP privati.
La distribuzione di un servizio di Azure dedicato nella rete virtuale offre le funzionalità seguenti:
Le risorse all'interno della rete virtuale possono comunicare tra loro privatamente, tramite indirizzi IP privati, ad esempio trasferendo direttamente i dati tra HDInsight e SQL Server in esecuzione in una macchina virtuale, nella rete virtuale.
Le risorse locali possono accedere alle risorse in una rete virtuale usando indirizzi IP privati su una VPN da sito a sito (gateway VPN) o ExpressRoute.
Le reti virtuali possono essere associate tramite peering per consentire alle risorse delle reti virtuali di comunicare tra loro, usando indirizzi IP privati.
Il servizio di Azure gestisce completamente le istanze del servizio in una rete virtuale. Questa gestione include il monitoraggio dell'integrità delle risorse e il ridimensionamento con il carico.
Le istanze dei servizi vengono distribuite in una subnet in una rete virtuale. L'accesso alla rete in ingresso e in uscita deve essere consentito tramite gruppi di sicurezza di rete per la subnet, in base alle indicazioni fornite dal servizio.
Alcuni servizi impongono restrizioni alla subnet in cui vengono distribuiti. Queste restrizioni limitano l'applicazione di criteri, route o combinazione di macchine virtuali e risorse del servizio all'interno della stessa subnet. Verificare con ogni servizio le restrizioni specifiche che potrebbero cambiare nel corso del tempo. Esempi di tali servizi sono Azure NetApp Files, HSM dedicato, istanze di Azure Container, servizio app.
Facoltativamente, i servizi potrebbero richiedere una subnet delegata come identificatore esplicito del fatto che una subnet possa ospitare un servizio specifico. I servizi di Azure dispongono dell'autorizzazione esplicita per creare risorse specifiche del servizio nella subnet delegata con delega.
Vedere un esempio di risposta all'API REST in una rete virtuale con una subnet delegata. Un elenco completo dei servizi che usano il modello di subnet delegata può essere ottenuto tramite l'API Deleghe disponibili.
Per un elenco dei servizi che possono essere distribuiti in una rete virtuale, vedere Distribuire servizi di Azure dedicati in reti virtuali.
collegamento privato ed endpoint privati
Gli endpoint privati consentono l'ingresso del traffico dalla rete virtuale a una risorsa di Azure in modo sicuro. Questo collegamento privato viene stabilito senza la necessità di indirizzi IP pubblici. Un endpoint privato è un'interfaccia di rete speciale per un servizio di Azure nella rete virtuale. Quando si crea un endpoint privato per la risorsa, fornisce connettività sicura tra i client nella rete virtuale e la risorsa di Azure. All'endpoint privato viene assegnato un indirizzo IP incluso nell'intervallo di indirizzi IP della rete virtuale in uso. La connessione tra l'endpoint privato e il servizio di Azure è un collegamento privato.
Nel diagramma a destra viene illustrato un database SQL di Azure come servizio PaaS di destinazione. La destinazione può essere qualsiasi servizio che supporta endpoint privati. Esistono più istanze di SQL Server logico per più clienti, che sono tutti raggiungibili tramite indirizzi IP pubblici.
In questo caso, un'istanza di SQL Server logico viene esposta con un endpoint privato. L'endpoint rende l'istanza di SQL Server raggiungibile tramite un indirizzo IP privato nella rete virtuale del client. A causa della modifica apportata alla configurazione DNS, l'applicazione client invia ora il traffico direttamente a tale endpoint privato. Il servizio di destinazione vede il traffico proveniente da un indirizzo IP privato della rete virtuale.
La freccia verde rappresenta il collegamento privato. Un indirizzo IP pubblico può ancora esistere per la risorsa di destinazione insieme all'endpoint privato. L'indirizzo IP pubblico non viene più usato dall'applicazione client. Il firewall può ora impedire qualsiasi accesso per l'indirizzo IP pubblico, rendendolo accessibile solo tramite endpoint privati. Le connessioni a un server SQL senza un endpoint privato dalla rete virtuale provengono da un indirizzo IP pubblico. La freccia blu rappresenta questo flusso.
L'applicazione client usa in genere un nome host DNS per raggiungere il servizio di destinazione. Non sono necessarie modifiche all'applicazione. La risoluzione DNS nella rete virtuale deve essere configurata per risolvere lo stesso nome host nell'indirizzo IP privato della risorsa di destinazione anziché nell'indirizzo IP pubblico originale. Con un percorso privato tra il client e il servizio di destinazione, il client non si basa sull'indirizzo IP pubblico. Il servizio di destinazione può disattivare l'accesso pubblico.
Questa esposizione di singole istanze consente di evitare il furto di dati. Un attore malintenzionato non è in grado di raccogliere informazioni dal database e caricarlo in un altro database pubblico o in un account di archiviazione. È possibile impedire l'accesso agli indirizzi IP pubblici di tutti i servizi PaaS. È comunque possibile consentire l'accesso alle istanze PaaS tramite gli endpoint privati.
Per altre informazioni sul collegamento privato e sull'elenco dei servizi di Azure supportati, vedere Che cos'è collegamento privato?.
Endpoint di servizio
Gli endpoint di servizio offrono connettività sicura e diretta ai servizi di Azure tramite la rete backbone di Azure. Gli endpoint consentono di proteggere le risorse di Azure solo nelle reti virtuali. Gli endpoint di servizio consentono agli indirizzi IP privati nella rete virtuale di raggiungere un servizio di Azure senza la necessità di un indirizzo IP pubblico in uscita.
Senza endpoint di servizio, la limitazione dell'accesso solo alla rete virtuale può risultare complessa. L'indirizzo IP di origine può cambiare o essere condiviso con altri clienti. Ad esempio, i servizi PaaS con indirizzi IP in uscita condivisi. Con gli endpoint di servizio, l'indirizzo IP di origine visualizzato dal servizio di destinazione diventa un indirizzo IP privato dalla rete virtuale. Questa modifica del traffico in ingresso consente di identificare facilmente l'origine e di usarla per configurare le regole del firewall appropriate. Ad esempio, consentendo solo il traffico da una subnet specifica all'interno di tale rete virtuale.
Con gli endpoint di servizio, le voci DNS per i servizi di Azure rimangono così come sono e continuano a essere risolte negli indirizzi IP pubblici assegnati al servizio di Azure.
Nel diagramma seguente, il lato destro è lo stesso servizio PaaS di destinazione. A sinistra è presente una rete virtuale del cliente con due subnet: Subnet A con un endpoint di servizio verso Microsoft.Sqle Subnet B, che non dispone di endpoint di servizio definiti.
Quando una risorsa nella subnet B tenta di raggiungere qualsiasi istanza di SQL Server, usa un indirizzo IP pubblico per le comunicazioni in uscita. La freccia blu rappresenta questo traffico. Il firewall di SQL Server deve usare tale indirizzo IP pubblico per consentire o bloccare il traffico di rete.
Quando una risorsa nella subnet A tenta di raggiungere un server di database, viene considerata un indirizzo IP privato dall'interno della rete virtuale. Le frecce verdi rappresentano questo traffico. Il firewall di SQL Server può ora consentire o bloccare specificamente la subnet A. La conoscenza dell'indirizzo IP pubblico del servizio di origine non è necessario.
Gli endpoint di servizio si applicano a tutte le istanze del servizio di destinazione. Ad esempio, tutte le istanze di SQL Server dei clienti di Azure, non solo l'istanza del cliente.
Per altre informazioni, vedere Endpoint servizio di rete virtuale
Tag di servizio
Un tag del servizio rappresenta un gruppo di prefissi di indirizzi IP di un determinato servizio di Azure. Con i tag del servizio, è possibile definire controlli di accesso di rete nei gruppi di sicurezza di rete o Firewall di Azure. È possibile consentire o negare il traffico per il servizio. Per consentire o negare il traffico, specificare il tag di servizio nel campo di origine o di destinazione di una regola.
Ottenere l'isolamento della rete e proteggere le risorse di Azure da Internet durante l'accesso ai servizi di Azure con endpoint pubblici. Creare regole del gruppo di sicurezza di rete in ingresso/in uscita per negare il traffico da e verso Internet e consentire il traffico da/verso AzureCloud. Per altri tag di servizio, vedere tag di servizio disponibili per servizi di Azure specifici.
Per altre informazioni sui tag di servizio e sui servizi di Azure che li supportano, vedere Panoramica dei tag del servizio
Confrontare gli endpoint privati e gli endpoint di servizio
Nota
Microsoft consiglia di usare collegamento privato di Azure. collegamento privato offre funzionalità migliori in termini di accesso privato a PaaS dall'ambiente locale, nella protezione dell'esfiltrazione dei dati predefinita e il mapping del servizio all'indirizzo IP privato nella propria rete. Per altre informazioni, vedere collegamento privato di Azure
Invece di esaminare solo le differenze, vale la pena sottolineare che sia gli endpoint di servizio che gli endpoint privati hanno caratteristiche comuni.
Entrambe le funzionalità vengono usate per un controllo più granulare sul firewall nel servizio di destinazione. Ad esempio, limitare l'accesso ai database di SQL Server o agli account di archiviazione. L'operazione è diversa per entrambi, tuttavia, come illustrato in modo più dettagliato nelle sezioni precedenti.
Entrambi gli approcci superano il problema dell'esaurimento delle porte SNAT (Source Network Address Translation). Quando si esegue il tunneling del traffico attraverso un'appliance virtuale di rete (NVA) o un servizio con limitazioni delle porte SNAT, è possibile che si verifichi un esaurimento. Quando si usano endpoint di servizio o endpoint privati, il traffico accetta un percorso ottimizzato direttamente al servizio di destinazione. Entrambi gli approcci possono trarre vantaggio dalle applicazioni a elevato utilizzo della larghezza di banda, poiché la latenza e i costi sono ridotti.
In entrambi i casi, è comunque possibile assicurarsi che il traffico nel servizio di destinazione passi attraverso un firewall di rete o un'appliance virtuale di rete. Questa procedura è diversa per entrambi gli approcci. Quando si usano gli endpoint di servizio, è necessario configurare l'endpoint servizio nella subnet del firewall , anziché la subnet in cui viene distribuito il servizio di origine. Quando si usano endpoint privati, si inserisce una route definita dall'utente per l'indirizzo IP dell'endpoint privato nella subnet di origine . Non nella subnet dell'endpoint privato.
Esaminare la tabella seguente per confrontare e comprendere le differenze.
| Considerazioni | Endpoint di servizio | Endpoint privati |
|---|---|---|
| Ambito del servizio a cui si applica la configurazione | Intero servizio (ad esempio, tutti gli account di archiviazione o DI SQL Server di tutti i clienti) | Istanza singola ( ad esempio, un'istanza specifica di SQL Server o un account di archiviazione di cui si è proprietari) |
| Protezione dell'esfiltrazione dei dati predefinita: possibilità di spostare/copiare dati dalla risorsa PaaS protetta ad altre risorse PaaS non protette da utenti interni malintenzionati | No | Sì |
| Accesso privato alla risorsa PaaS da locale | No | Sì |
| Configurazione del gruppo di sicurezza di rete necessaria per l'accesso al servizio | Sì (con tag di servizio) | No |
| È possibile raggiungere il servizio senza usare alcun indirizzo IP pubblico | No | Sì |
| Il traffico da Azure ad Azure rimane nella rete backbone di Azure | Sì | Sì |
| Il servizio può disabilitare l'indirizzo IP pubblico | No | Sì |
| È possibile limitare facilmente il traffico proveniente da un Rete virtuale di Azure | Sì (consentire l'accesso da subnet specifiche e usare gruppi di sicurezza di rete) | Sì |
| È possibile limitare facilmente il traffico proveniente dall'ambiente locale (VPN/ExpressRoute) | N/A** | Sì |
| Richiede modifiche DNS | No | Sì (vedere Configurazione DNS) |
| Influisce sul costo della soluzione | No | Sì (vedere Prezzi dei collegamenti privati) |
| Influisce sul contratto di servizio composito della soluzione | No | Sì (il servizio collegamento privato ha un contratto di servizio del 99,99%) |
| Configurazione e manutenzione | Semplice configurazione con un minore sovraccarico di gestione | È necessario un impegno aggiuntivo |
| Limiti | Nessun limite per il numero totale di endpoint di servizio in una rete virtuale. I servizi di Azure possono applicare limiti al numero di subnet usate per proteggere la risorsa. (vedere domande frequenti sulla rete virtuale) | Sì (vedere limiti collegamento privato) |
**Le risorse del servizio di Azure protette nelle reti virtuali non sono raggiungibili dalle reti locali. Se si vuole consentire il traffico dall'ambiente locale, consentire indirizzi IP pubblici (in genere NAT) dall'ambiente locale o Da ExpressRoute. Questi indirizzi IP possono essere aggiunti tramite la configurazione del firewall IP per le risorse dei servizi di Azure. Per altre informazioni, vedere domande frequenti sulla rete virtuale.
Passaggi successivi
Informazioni su come integrare l'app con una rete di Azure.
Informazioni su come limitare l'accesso alle risorse usando i tag di servizio.
Informazioni su come connettersi privatamente a un account Azure Cosmos DB tramite collegamento privato di Azure.