Netwerkbeveiliging voor Azure Relay

In dit artikel wordt beschreven hoe u de volgende beveiligingsfuncties gebruikt met Azure Relay:

• IP-firewallregels
• Privé-eindpunten

Notitie

Azure Relay biedt geen ondersteuning voor netwerkservice-eindpunten.

IP-firewall

Relay-naamruimten zijn standaard toegankelijk vanaf internet zolang de aanvraag wordt geleverd met geldige verificatie en autorisatie. Met IP-firewall kunt u deze verder beperken tot alleen een set IPv4-adressen of IPv4-adresbereiken in CIDR-notatie (Classless Inter-Domain Routing).

Deze functie is handig in scenario's waarin Azure Relay alleen toegankelijk moet zijn vanaf bepaalde bekende sites. Met firewallregels kunt u regels configureren voor het accepteren van verkeer dat afkomstig is van specifieke IPv4-adressen. Als u Bijvoorbeeld Relay met Azure Express Route gebruikt, kunt u een firewallregel maken om alleen verkeer van uw on-premises INFRASTRUCTUUR-IP-adressen toe te staan.

De IP-firewallregels worden toegepast op het niveau van de Relay-naamruimte. Daarom zijn de regels van toepassing op alle verbindingen van clients die elk ondersteund protocol gebruiken. Een verbindingspoging van een IP-adres dat niet overeenkomt met een toegestane IP-regel in de Relay-naamruimte, wordt geweigerd als onbevoegd. Het antwoord vermeldt de IP-regel niet. IP-filterregels worden op volgorde toegepast en de eerste regel die overeenkomt met het IP-adres bepaalt de actie Accepteren of Weigeren.

Zie IP-firewall configureren voor een Relay-naamruimte voor meer informatie

Privé-eindpunten

Met azure Private Link Service hebt u toegang tot Azure-services (bijvoorbeeld Azure Relay, Azure Service Bus, Azure Event Hubs, Azure Storage en Azure Cosmos DB) en door Azure gehoste klant-/partnerservices via een privé-eindpunt in uw virtuele netwerk. Zie Wat is een Azure Private Link? voor meer informatie.

Een privé-eindpunt is een netwerkinterface waarmee uw workloads die in een virtueel netwerk worden uitgevoerd, privé en veilig verbinding kunnen maken met een service met een private link-resource (bijvoorbeeld een Relay-naamruimte). Het privé-eindpunt maakt gebruik van een privé IP-adres van uw virtuele netwerk waardoor de service feitelijk in uw virtuele netwerk wordt geplaatst. Al het verkeer naar de service kan worden gerouteerd via het privé-eindpunt, zodat er geen gateways, NAT-apparaten, ExpressRoute-, VPN-verbindingen of openbare IP-adressen nodig zijn. Verkeer tussen uw virtuele netwerk en de service loopt via het Microsoft backbone-netwerk, waardoor blootstelling van het openbare internet wordt geëlimineerd. U kunt een granulariteit in toegangsbeheer opgeven door verbindingen met specifieke Azure Relay-naamruimten toe te staan.

Zie Privé-eindpunten configureren voor meer informatie

Gerelateerde inhoud

Zie de volgende artikelen:

• IP-firewall configureren
• Privé-eindpunten configureren