Spiegare gli endpoint servizio di rete virtuale
L'organizzazione esegue la migrazione di un'app ERP esistente con server di database alle macchine virtuali di Azure. Ora si considera la possibilità di usare alcuni servizi PaaS per ridurre i costi e i requisiti amministrativi. I servizi di archiviazione conterranno specificamente asset con file di grandi dimensioni, ad esempio i diagrammi di progettazione. Tali diagrammi contengono informazioni proprietarie e devono rimanere protetti dall'accesso non autorizzato. Questi file devono essere accessibili solo da sistemi specifici.
In questa unità si esplorerà la modalità di utilizzo degli endpoint servizio di rete virtuale per la protezione dei servizi di Azure.
Cos'è un endpoint servizio di rete virtuale?
L'endpoint servizio della rete virtuale fornisce connettività sicura e diretta ai servizi di Azure. Gli endpoint servizio consentono di associare le risorse critiche dei servizi di Azure solo alle proprie reti virtuali. Gli endpoint servizio consentono agli indirizzi IP privati nella rete virtuale di raggiungere l'endpoint di un servizio di Azure senza la necessità di un indirizzo IP pubblico.
Per impostazione predefinita, i servizi di Azure sono tutti progettati per l'accesso diretto a Internet. Tutte le risorse di Azure hanno indirizzi IP pubblici, inclusi i servizi PaaS, ad esempio il database SQL di Azure e Archiviazione di Azure. Poiché questi servizi sono esposti a Internet, chiunque può potenzialmente accedere ai servizi di Azure.
Gli endpoint servizio possono connettere determinati servizi PaaS direttamente allo spazio indirizzi privato in Azure. Gli endpoint servizio usano lo spazio di indirizzi privato per accedere direttamente ai servizi PaaS. L'aggiunta di endpoint servizio non rimuove l'endpoint pubblico. Fornisce semplicemente un reindirizzamento del traffico.
Preparazione dell'implementazione degli endpoint servizio
Per abilitare un endpoint servizio è necessario eseguire due operazioni.
- Disattivare l'accesso pubblico al servizio.
- Aggiungere l'endpoint servizio a una rete virtuale.
Quando si abilita un endpoint servizio, si limita il flusso del traffico e si consente alle macchine virtuali di Azure di accedere al servizio direttamente dallo spazio indirizzi privato. I dispositivi non possono accedere al servizio da una rete pubblica. Se si osservano le route valide in una scheda di interfaccia di rete virtuale delle macchine virtuali distribuita, si nota che l'endpoint servizio è il tipo hop successivo.
Di seguito è riportata una tabella di route di esempio prima dell'abilitazione di un endpoint servizio.
| ORIGINE | STATO | PREFISSI DEGLI INDIRIZZI | TIPO HOP SUCCESSIVO |
|---|---|---|---|
| Predefinito | Attive | 10.1.1.0/24 | VNet |
| Predefinito | Attive | 0.0.0.0./0 | Internet |
| Predefinito | Attive | 10.0.0.0/8 | None |
| Predefinito | Attive | 100.64.0.0/10 | None |
| Predefinito | Attive | 192.168.0.0/16 | None |
Ecco invece una tabella di route di esempio dopo l'aggiunta di due endpoint servizio alla rete virtuale.
| ORIGINE | STATO | PREFISSI DEGLI INDIRIZZI | TIPO HOP SUCCESSIVO |
|---|---|---|---|
| Predefinito | Attive | 10.1.1.0/24 | VNet |
| Predefinito | Attive | 0.0.0.0./0 | Internet |
| Predefinito | Attive | 10.0.0.0/8 | None |
| Predefinito | Attive | 100.64.0.0/10 | None |
| Predefinito | Attive | 192.168.0.0/16 | None |
| Predefinito | Attive | 20.38.106.0/23, più 10 | VirtualNetworkServiceEndpoint |
| Predefinito | Attive | 20.150.2.0/23, più 9 | VirtualNetworkServiceEndpoint |
Tutto il traffico per il servizio viene ora instradato all'endpoint servizio di rete virtuale e rimane all'interno di Azure.
Creare endpoint servizio
Come tecnico di rete, si intende spostare i file di schemi tecnici sensibili in Archiviazione di Azure. I file devono essere accessibili solo dai computer all'interno della rete aziendale. Si vuole creare un endpoint servizio di rete virtuale per Archiviazione di Azure per proteggere la connettività agli account di archiviazione.
Nell'esercitazione sull'endpoint servizio si apprende come:
- Abilitare un endpoint servizio per una subnet
- Usare le regole di rete per limitare l'accesso ad Archiviazione di Azure
- Creare un endpoint servizio di rete virtuale per Archiviazione di Azure
- Verificare che l'accesso sia stato negato correttamente
Configurare i tag del servizio
Un tag del servizio rappresenta un gruppo di prefissi di indirizzi IP di un determinato servizio di Azure. Microsoft gestisce i prefissi di indirizzo inclusi nel tag del servizio e aggiorna automaticamente il tag in base alla modifica degli indirizzi, riducendo la complessità degli aggiornamenti frequenti alle regole di sicurezza di rete.
È possibile usare i tag del servizio per definire i controlli di accesso alla rete nei gruppi di sicurezza di rete o in Firewall di Azure. Quando si creano regole di sicurezza, usare i tag del servizio anziché indirizzi IP specifici. Specificando il nome del tag del servizio, ad esempio ApiManagement, nel campo di origine o di destinazione appropriato di una regola, è possibile consentire o negare il traffico per il servizio corrispondente.
È possibile usare i tag del servizio per ottenere l'isolamento rete e proteggere le risorse di Azure da Internet in generale durante l'accesso ai servizi di Azure con endpoint pubblici. Creare regole del gruppo di sicurezza di rete in ingresso/uscita per negare il traffico da/verso Internet e consentire il traffico da/verso AzureCloud o altri tag del servizio disponibili dei servizi di Azure specifici.
Tag del servizio disponibili
Questa tabella include tutti i tag del servizio disponibili per l'uso nelle regole del gruppo di sicurezza di rete. Le colonne indicano se il tag:
- È adatto alle regole che coprono il traffico in ingresso o in uscita.
- Supporta l'ambito regionale.
- È utilizzabile nelle regole del Firewall di Azure.
Per impostazione predefinita, i tag del servizio sono per l'intero cloud. Alcuni tag del servizio consentono un controllo più granulare limitando gli intervalli IP corrispondenti a un'area specificata. Il tag del servizio Storage rappresenta ad esempio Archiviazione di Azure per l'intero cloud. West US restringe l'ambito agli intervalli di indirizzi IP di archiviazione dell'area Stati Uniti occidentali.
I tag di servizio per i servizi Azure identificano i prefissi di indirizzo dal cloud specifico in uso. Gli intervalli IP, che corrispondono al valore del tag SQL nel cloud pubblico di Azure, sono ad esempio diversi dagli intervalli nel cloud di Azure per enti pubblici.
Se si implementa un endpoint servizio di rete virtuale per un servizio, Azure aggiunge una route a una subnet di rete virtuale. I prefissi di indirizzo nella route sono gli stessi prefissi di indirizzo per il tag di servizio corrispondente.