Netwerktoegang tot PaaS-services beveiligen met service-eindpunten voor virtuele netwerken
U hebt uw bestaande app- en databaseservers voor uw ERP-systeem als VM's gemigreerd naar Azure. U overweegt sommige Azure PaaS-services (platform as a service) te gebruiken om uw kosten en administratieve vereisten te verlagen. Opslagservices bevatten bepaalde assets voor grote bestanden, zoals technische diagrammen. Deze technische diagrammen hebben eigendomsinformatie en moeten beveiligd blijven tegen onbevoegde toegang. Deze bestanden moeten alleen toegankelijk zijn vanaf specifieke systemen.
In dit onderdeel ziet u hoe u service-eindpunten voor virtueel netwerk kunt gebruiken voor het beveiligen van ondersteunde Azure-services.
Service-eindpunten voor virtueel netwerk
Gebruik service-eindpunten voor virtueel netwerk voor het uitbreiden van uw privé-adresruimte in Azure door te voorzien in een directe verbinding met uw Azure-services. Met service-eindpunten kunt u uw Azure-resources alleen beveiligen voor uw virtuele netwerk. Serviceverkeer blijft op de Azure-backbone en gaat niet naar internet.
Standaard zijn Azure-services ontworpen voor directe toegang tot internet. Alle Azure-resources hebben openbare IP-adressen, met inbegrip van PaaS-services zoals Azure SQL Database en Azure Storage. Omdat deze services beschikbaar worden gemaakt voor internet, kan iedereen mogelijk toegang krijgen tot uw Azure-services.
Service-eindpunten kunnen bepaalde PaaS-services rechtstreeks verbinden met uw privéadresruimte in Azure, zodat ze werken alsof ze zich in hetzelfde virtuele netwerk bevinden. Gebruik uw privé-adresruimte om rechtstreeks toegang te krijgen tot de PaaS-services. Als u service-eindpunten toevoegt, wordt het openbare eindpunt hierdoor niet verwijderd. Het biedt simpelweg een omleiding van het verkeer.
Azure service-eindpunten zijn beschikbaar voor veel services, zoals:
- Azure Storage.
- Azure SQL-database.
- Azure Cosmos DB.
- Azure Key Vault.
- Azure Service Bus.
- Azure Data Lake.
Voor een service zoals SQL Database, waartoe u pas toegang hebt als u IP-adressen aan de firewall toevoegt, moet u nog steeds service-eindpunten overwegen. Als u een service-eindpunt voor SQL Database gebruikt, wordt de toegang tot specifieke virtuele netwerken beperkt, waardoor een grotere isolatie wordt geboden en het aanvalsoppervlak wordt verkleind.
Werking van service-eindpunten
Als u een service-eindpunt wilt inschakelen, moet u het volgende doen:
- Openbare toegang tot de service uitschakelen.
- Het service-eindpunt aan een virtueel netwerk toevoegen.
Wanneer u een service-eindpunt inschakelt, beperkt u de verkeersstroom en stelt u uw Azure-VM's in staat om rechtstreeks vanuit uw privéadresruimte toegang te krijgen tot de service. Apparaten hebben geen toegang tot de service vanuit een openbaar netwerk. Als u effectieve routes bekijkt op een geïmplementeerde VM vNIC, ziet u het service-eindpunt als het volgende hoptype.
Dit is een voorbeeld van een routetabel voordat u een service-eindpunt inschakelt:
| BRON | STATE | ADRESVOORVOEGSELS | VOLGEND HOPTYPE |
|---|---|---|---|
| Standaardinstelling | Actief | 10.1.1.0/24 | VNet |
| Standaardinstelling | Actief | 0.0.0.0./0 | Internet |
| Standaardinstelling | Actief | 10.0.0.0/8 | Geen |
| Standaardinstelling | Actief | 100.64.0.0./10 | Geen |
| Standaardinstelling | Actief | 192.168.0.0/16 | Geen |
En hier ziet u een voorbeeld van een routetabel nadat u twee service-eindpunten aan het virtuele netwerk hebt toegevoegd:
| BRON | STATE | ADRESVOORVOEGSELS | VOLGEND HOPTYPE |
|---|---|---|---|
| Standaardinstelling | Actief | 10.1.1.0/24 | VNet |
| Standaardinstelling | Actief | 0.0.0.0./0 | Internet |
| Standaardinstelling | Actief | 10.0.0.0/8 | Geen |
| Standaardinstelling | Actief | 100.64.0.0./10 | Geen |
| Standaardinstelling | Actief | 192.168.0.0/16 | Geen |
| Standaardinstelling | Actief | 20.38.106.0/23, 10 meer | VirtualNetworkServiceEndpoint |
| Standaardinstelling | Actief | 20.150.2.0/23, 9 meer | VirtualNetworkServiceEndpoint |
Al het verkeer voor de service wordt nu doorgestuurd naar het VirtualNetworkServiceEndpoint en blijft intern naar Azure.
Service-eindpunten en hybride netwerken
Servicebronnen die u hebt beveiligd met behulp van service-eindpunten voor virtuele netwerken, zijn standaard niet toegankelijk vanuit on-premises netwerken. Voor toegang tot resources vanuit een on-premises netwerk moet u NAT IP-adressen gebruiken. Als u ExpressRoute gebruikt voor connectiviteit van on-premises naar Azure, moet u de NAT IP-adressen identificeren die ExpressRoute gebruikt. Standaard gebruikt elk circuit twee NAT-IP-adressen om verbinding te maken met het Azure backbone-netwerk. Vervolgens moet u deze IP-adressen toevoegen aan de IP-firewallconfiguratie van de Azure-serviceresource (bijvoorbeeld Azure Storage).
In het volgende diagram ziet u hoe u een service-eindpunt en firewallconfiguratie kunt gebruiken om on-premises apparaten toegang te geven tot Azure Storage-resources:
