Zabezpieczanie dostępu sieciowego do usług PaaS za pomocą punktów końcowych usługi dla sieci wirtualnej
Przeprowadzono migrację istniejących aplikacji i serwerów baz danych dla systemu ERP na platformę Azure jako maszyn wirtualnych. Teraz rozważasz korzystanie z pewnych usług typu platforma jako usługa (PaaS) na platformie Azure, aby zmniejszyć koszty i wymagania administracyjne. W usługach magazynu będą przechowywane niektóre zasoby dużych plików, takie jak schematy techniczne. Te diagramy inżynieryjne mają zastrzeżone informacje i muszą pozostać bezpieczne przed nieautoryzowanym dostępem. Te pliki tylko muszą być dostępne tylko z określonych systemów.
Podczas tej lekcji zobaczysz, jak używać punktów końcowych usługi dla sieci wirtualnej do zabezpieczania obsługiwanych usług platformy Azure.
Punkty końcowe usługi dla sieci wirtualnej
Punkty końcowe usługi dla sieci wirtualnej umożliwiają rozszerzenie prywatnej przestrzeni adresowej na platformie Azure, zapewniając bezpośrednie połączenie z usługami platformy Azure. Za pomocą punktów końcowych usługi możesz ograniczyć zasoby platformy Azure tylko do własnej sieci wirtualnej. Ruch usługi pozostanie w sieci szkieletowej platformy Azure i nie wychodzi do Internetu.
Domyślnie wszystkie usługi platformy Azure są zaprojektowane z myślą o bezpośrednim dostępie do Internetu. Wszystkie zasoby platformy Azure mają publiczne adresy IP. Dotyczy to również usług PaaS, takich jak usługa Azure SQL Database i usługa Azure Storage. Ponieważ te usługi są połączone z Internetem, każda osoba może potencjalnie uzyskać dostęp do Twoich usług platformy Azure.
Punkty końcowe usługi mogą łączyć niektóre usługi PaaS bezpośrednio z prywatną przestrzenią adresową na platformie Azure, więc działają tak, jakby były w tej samej sieci wirtualnej. Przy użyciu swojej prywatnej przestrzeni adresowej uzyskujesz bezpośredni dostęp do usług PaaS. Dodanie punktów końcowych usługi nie powoduje usunięcia publicznego punktu końcowego. Skutkuje po prostu przekierowaniem ruchu.
Punkty końcowe platformy Azure są dostępne dla wielu usług, takich jak:
- Azure Storage.
- Usługa Azure SQL Database.
- Azure Cosmos DB.
- Azure Key Vault.
- Azure Service Bus.
- Azure Data Lake.
W przypadku usługi takiej jak SQL Database, do której nie można uzyskać dostępu, dopóki nie dodasz adresów IP do zapory, nadal należy rozważyć punkty końcowe usługi. Korzystanie z punktu końcowego usługi dla usługi SQL Database ogranicza dostęp do określonych sieci wirtualnych, zapewniając większą izolację i zmniejszając obszar narażony na ataki.
Jak działają punkty końcowe usługi
Aby włączyć punkt końcowy usługi, musisz:
- Wyłączyć dostęp publiczny do usługi.
- Dodać punkt końcowy usługi do sieci wirtualnej.
Po włączeniu punktu końcowego usługi ograniczasz przepływ ruchu i umożliwiasz maszynom wirtualnym platformy Azure dostęp do usługi bezpośrednio z prywatnej przestrzeni adresowej. Urządzenia nie mogą uzyskać dostępu do usługi z sieci publicznej. Jeśli spojrzysz na pozycję Skuteczne trasy na wirtualnej karcie sieciowej wdrożonej maszyny wirtualnej, zauważysz punkt końcowy usługi jako Typ następnego przeskoku.
Jest to przykładowa tabela tras przed włączeniem punktu końcowego usługi:
| ŹRÓDŁO | STATE | PREFIKSY ADRESÓW | TYP NASTĘPNEGO PRZESKOKU |
|---|---|---|---|
| Domyślne | Aktywne | 10.1.1.0/24 | Sieć wirtualna |
| Domyślne | Aktywne | 0.0.0.0./0 | Internet |
| Domyślne | Aktywne | 10.0.0.0/8 | Brak |
| Domyślne | Aktywne | 100.64.0.0./10 | Brak |
| Domyślne | Aktywne | 192.168.0.0/16 | Brak |
Oto przykład tabeli tras po dodaniu dwóch punktów końcowych usługi do sieci wirtualnej:
| ŹRÓDŁO | STATE | PREFIKSY ADRESÓW | TYP NASTĘPNEGO PRZESKOKU |
|---|---|---|---|
| Domyślne | Aktywne | 10.1.1.0/24 | Sieć wirtualna |
| Domyślne | Aktywne | 0.0.0.0./0 | Internet |
| Domyślne | Aktywne | 10.0.0.0/8 | Brak |
| Domyślne | Aktywne | 100.64.0.0./10 | Brak |
| Domyślne | Aktywne | 192.168.0.0/16 | Brak |
| Domyślne | Aktywne | 20.38.106.0/23, 10 kolejnych | VirtualNetworkServiceEndpoint |
| Domyślne | Aktywne | 20.150.2.0/23, 9 kolejnych | VirtualNetworkServiceEndpoint |
Cały ruch dla usługi jest teraz kierowany do punktu końcowego VirtualNetworkServiceEndpoint i pozostaje wewnętrzny na platformie Azure.
Punkty końcowe usługi i sieci hybrydowe
Zasoby usługi, które zostały zabezpieczone przy użyciu punktów końcowych usługi sieci wirtualnej, nie są domyślnie dostępne z sieci lokalnych. Aby uzyskać dostęp do tych zasobów z sieci lokalnej, należy użyć adresów IP translatora adresów sieciowych. Jeśli używasz usługi ExpressRoute na potrzeby łączności ze środowiska lokalnego do platformy Azure, musisz zidentyfikować adresy IP translatora adresów sieciowych używane przez usługę ExpressRoute. Domyślnie każdy obwód używa dwóch adresów IP translatora adresów sieciowych do nawiązania połączenia z siecią szkieletową platformy Azure. Następnie należy dodać te adresy IP do konfiguracji zapory adresów IP zasobu usługi platformy Azure (na przykład usługi Azure Storage).
Na poniższym diagramie przedstawiono sposób użycia punktu końcowego usługi i konfiguracji zapory w celu umożliwienia urządzeniom lokalnym uzyskiwania dostępu do zasobów usługi Azure Storage:
