Wat is Azure Private Link?

  • 12 minuten

Voordat u meer te weten komt over Azure Private Link en de bijbehorende functies en voordelen, gaan we kijken naar het probleem dat Private Link is ontworpen om op te lossen.

Contoso heeft een virtueel Azure-netwerk en u wilt verbinding maken met een PaaS-resource, zoals een Azure SQL-database. Wanneer u dergelijke resources maakt, geeft u normaal gesproken een openbaar eindpunt op als de connectiviteitsmethode.

Als u een openbaar eindpunt hebt, betekent dit dat aan de resource een openbaar IP-adres is toegewezen. Hoewel zowel uw virtuele netwerk als de Azure SQL-database zich in de Azure-cloud bevinden, vindt de verbinding ertussen plaats via internet.

Het probleem is dat uw Azure SQL-database wordt blootgesteld aan internet via het openbare IP-adres. Deze blootstelling creëert meerdere beveiligingsrisico's. Dezelfde beveiligingsrisico's zijn aanwezig wanneer een Azure-resource wordt geopend via een openbaar IP-adres vanaf de volgende locaties:

  • Een virtueel Azure-netwerk met peering
  • Een on-premises netwerk dat verbinding maakt met Azure met behulp van ExpressRoute en Microsoft-peering
  • Een virtueel Azure-netwerk van een klant dat verbinding maakt met een Azure-service die wordt aangeboden door uw bedrijf

Netwerkdiagram van een virtueel Azure-netwerk, een virtueel Azure-netwerk en een on-premises netwerk dat toegang heeft tot een Azure SQL-database via internet.

Private Link is ontworpen om deze beveiligingsrisico's te elimineren door het openbare deel van de verbinding te verwijderen.

Private Link biedt beveiligde toegang tot Azure-services. Private Link bereikt deze beveiliging door het openbare eindpunt van een resource te vervangen door een privénetwerkinterface. Er zijn drie belangrijke punten waarmee u rekening moet houden met deze nieuwe architectuur:

  • De Azure-resource wordt in zekere zin een onderdeel van uw virtuele netwerk.
  • De verbinding met de resource maakt nu gebruik van het Microsoft Azure backbone-netwerk in plaats van het openbare internet.
  • U kunt de Azure-resource zo configureren dat het openbare IP-adres niet meer beschikbaar wordt gemaakt, waardoor dit potentiële beveiligingsrisico wordt geëlimineerd.

Wat is een privé-eindpunt van Azure?

Privé-eindpunt is de belangrijkste technologie achter Private Link. Privé-eindpunt is een netwerkinterface die een privé- en beveiligde verbinding tussen uw virtuele netwerk en een Azure-service mogelijk maakt. Met andere woorden, Privé-eindpunt is de netwerkinterface die het openbare eindpunt van de resource vervangt.

Notitie

Privé-eindpunt is geen gratis service. U betaalt een vaste vergoeding per uur, evenals een vaste vergoeding per gigabyte voor zowel inkomend als uitgaand verkeer dat via het privé-eindpunt verloopt.

Private Link biedt u privétoegang vanuit uw virtuele Azure-netwerk naar PaaS-services en Microsoft Partner-services in Azure. Wat gebeurt er echter als uw bedrijf zijn eigen Azure-services heeft gemaakt die de klanten van uw bedrijf kunnen gebruiken? Is het mogelijk om deze klanten een privéverbinding aan te bieden met de services van uw bedrijf?

Ja, met behulp van de Azure Private Link-service. Met deze service kunt u Private Link-verbindingen aanbieden met uw aangepaste Azure-services. Consumenten van uw aangepaste services hebben vervolgens privé toegang tot deze services, dat wil zeggen, zonder internet te gebruiken, vanuit hun eigen virtuele Azure-netwerken.

Notitie

Er worden geen kosten in rekening gebracht voor het gebruik van de Private Link-service.

Private Link die samenwerkt met Private Endpoint en Private Link Service biedt de volgende voordelen:

  • Privétoegang tot PaaS-services en Microsoft Partner-services in Azure. Wanneer u een privé-eindpunt gebruikt, worden Azure-services toegewezen aan uw virtuele Azure-netwerk. Het maakt niet uit of de Azure-resource zich in een ander virtueel netwerk bevindt en zich in een andere Active Directory-tenant bevindt. Voor gebruikers in uw virtuele Azure-netwerk lijkt de resource deel uit te maken van dat netwerk.
  • Privétoegang tot Azure-services in elke regio. Private Link werkt wereldwijd. De privéverbinding met een Azure-service werkt zelfs als het virtuele netwerk van die service zich in een andere regio bevindt dan uw eigen virtuele netwerk.
  • Niet-openbare routes naar Azure-services. Zodra een Azure-service is toegewezen aan uw virtuele netwerk, verandert de verkeersroute. Al het binnenkomende en uitgaande verkeer tussen uw virtuele netwerk en de Azure-service gaat via het Microsoft Azure-backbonenetwerk. Het openbare internet wordt nooit gebruikt voor serviceverkeer.
  • Openbare eindpunten zijn niet meer vereist. Omdat al het verkeer van en naar een toegewezen Azure-service nu via de Microsoft Azure-backbone stroomt, is het openbare eindpunt voor de service niet meer vereist. U kunt dat openbare eindpunt uitschakelen en daarom een mogelijke beveiligingsrisico elimineren.
  • Uw gekoppelde virtuele Azure-netwerken krijgen ook toegang tot door Private Link aangedreven resources. Als u een of meer gekoppelde virtuele Azure-netwerken gebruikt, is er geen extra configuratie nodig voor die gekoppelde netwerken om toegang te krijgen tot een privé-Azure-resource. Clients binnen elk gekoppeld netwerk hebben toegang tot elk privé-eindpunt dat u hebt toegewezen aan een Azure-service.
  • Uw on-premises netwerk krijgt ook toegang tot door Private Link aangedreven resources. Maakt uw on-premises netwerk verbinding met uw virtuele Azure-netwerk met behulp van expressRoute-privépeering of een VPN-tunnel? Zo ja, dan is er geen extra configuratie nodig voor clients binnen het on-premises netwerk om toegang te krijgen tot een privé-Azure-resource.
  • Bescherming tegen gegevensexfiltratie. Wanneer u een privé-eindpunt toe wijst aan een Azure-service, wijst u toe aan een specifiek exemplaar van die service. Als u bijvoorbeeld privétoegang tot Azure Storage instelt, wijst u de toegang toe aan een blob, tabel of een ander opslagexemplaren. Als een virtuele machine in uw netwerk wordt aangetast, kan de aanvaller geen gegevens verplaatsen of kopiëren naar een ander resource-exemplaar.
  • Persoonlijke toegang tot uw eigen Azure-services. U kunt Private Link Service implementeren en klanten privétoegang bieden tot uw aangepaste Azure-services.

Private Link en Privé-eindpunt werken met veel Azure-services. Als u op de hoogte wilt blijven van de nieuwste services en regio's die Ondersteuning bieden voor Private Link, raadpleegt u Azure-updates.