Gerenciar o controle de acesso à rede

O Azure Web PubSub permite que você proteja e gerencie o acesso ao seu ponto de extremidade de serviço com base em tipos de solicitação e subconjuntos de rede. Ao configurar regras de controle de acesso à rede, somente aplicativos que fazem solicitações das redes especificadas podem acessar sua instância do Azure Web PubSub.

Você pode configurar o Azure Web PubSub para proteger e controlar o nível de acesso ao seu ponto de extremidade de serviço com base no tipo de solicitação e no subconjunto de redes usadas. Quando as regras de rede são configuradas, somente os aplicativos que solicitam dados pelo conjunto especificado de redes podem acessar seu recurso do Web PubSub.

Acesso à rede pública

Oferecemos uma única opção unificada para simplificar a configuração do acesso à rede pública. A opção tem as seguintes opções:

• Desabilitado: bloqueia completamente o acesso à rede pública. Todas as outras regras de controle de acesso à rede são ignoradas para redes públicas.
• Habilitado: permite o acesso à rede pública, que é ainda mais regulamentado por regras adicionais de controle de acesso à rede.

Configurar acesso à rede pública via portal

1. Acesse a instância do Azure Web PubSub que você deseja proteger.
2. Selecione Rede no menu do lado esquerdo. Selecione a guia Acesso público:

1. Selecione Desabilitado ou Habilitado.

2. Selecione Salvar para salvar suas alterações.

Configurar acesso à rede pública via bicep

O modelo a seguir desabilita o acesso à rede pública:

resource webpubsub 'Microsoft.SignalRService/WebPubSub@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    publicNetworkAccess: 'Disabled'
  }
}

Ação padrão

A ação padrão é aplicada quando nenhuma outra regra corresponde.

Configurar ação padrão via portal

1. Acesse a instância do Azure Web PubSub que você deseja proteger.
2. Selecione o Controle de acesso de rede no menu do lado esquerdo.

1. Para editar a ação padrão, alterne o botão Permitir/Negar.
2. Selecione Salvar para salvar suas alterações.

Configurar ação padrão via bíceps

O modelo a seguir define a ação padrão como Deny.

resource webpubsub 'Microsoft.SignalRService/WebPubSub@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    networkACLs: {
        defaultAction: 'Deny'
    }
}

Regras de tipo de solicitação

Você pode configurar regras para permitir ou negar tipos de solicitação especificados para a rede pública e cada ponto de extremidade privado.

Por exemplo, chamadas de API REST geralmente têm privilégios altos. Para aprimorar a segurança, talvez você queira restringir a origem deles. Você pode configurar regras para bloquear todas as chamadas de API REST da rede pública e permitir que elas sejam originadas somente de uma rede virtual específica.

Se nenhuma regra corresponder, a ação padrão será aplicada.

Configurar regras de tipo de solicitação via portal

1. Acesse a instância do Azure Web PubSub que você deseja proteger.
2. Selecione o Controle de acesso de rede no menu do lado esquerdo.

1. Para editar a regra de rede pública, selecione os tipos de solicitações permitidos em Rede pública.

1. Para editar regras de rede de ponto de extremidade privado, selecione os tipos de solicitações permitidos em cada linha em Conexões de ponto de extremidade privado.

1. Selecione Salvar para salvar suas alterações.

Configurar regras de tipo de solicitação via bicep

O modelo a seguir nega todas as solicitações da rede pública, exceto Conexões de Cliente. Além disso, ele permite apenas chamadas de API REST e chamadas de rastreamento de um ponto de extremidade privado específico.

O nome da conexão de ponto de extremidade privado pode ser inspecionado no sub-recurso privateEndpointConnections. Ele é gerado automaticamente pelo sistema.

resource webpubsub 'Microsoft.SignalRService/WebPubSub@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    networkACLs: {
        defaultAction: 'Deny'
        publicNetwork: {
            allow: ['ClientConnection']
        }
        privateEndpoints: [
            {
                name: 'foo.0000aaaa-11bb-cccc-dd22-eeeeee333333'
                allow: ['RESTAPI', 'Trace']
            }
        ]
    }
}

Regras de IP

As regras de IP permitem que você conceda ou negue acesso a intervalos de endereços IP públicos específicos da Internet. Essas regras podem ser usadas para permitir o acesso a determinados serviços baseados na Internet e redes locais ou para bloquear o tráfego geral da Internet.

As restrições a seguir se aplicam:

• Você pode configurar até 30 regras.
• Os intervalos de endereços devem ser especificados usando a notação CIDR, como 16.17.18.0/24. Há suporte para endereços IPv4 e IPv6.
• As regras de IP são avaliadas na ordem em que são definidas. Se nenhuma regra corresponder, a ação padrão será aplicada.
• As regras de IP se aplicam apenas ao tráfego público e não podem bloquear o tráfego de pontos de extremidade privados.

Configurar regras de IP via portal

1. Acesse a instância do Azure Web PubSub que você deseja proteger.

2. Selecione Rede no menu do lado esquerdo. Selecione a guia Regras de controle de acesso:

   

3. Edite a lista na seção Regras de IP.

4. Selecione Salvar para salvar suas alterações.

Configurar regras de IP via bicep

O modelo a seguir tem estes efeitos:

• Solicitações de 123.0.0.0/8 e 2603::/8 são permitidas.
• Solicitações de todos os outros intervalos de IP são negadas.

resource webpubsub 'Microsoft.SignalRService/WebPubSub@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    networkACLs: {
      defaultAction: 'Deny'
      ipRules: [
        {
          value: '123.0.0.0/8'
          action: 'Allow'
        }
        {
          value: '2603::/8'
          action: 'Allow'
        }
        {
          value: '0.0.0.0/0'
          action: 'Deny'
        }
        {
          value: '::/0'
          action: 'Deny'
        }
      ]
    }
  }
}

Próximas etapas

Saiba mais sobre o Link Privado do Azure.