Integrar serviços do Azure com redes virtuais para isolamento de rede
A integração da Rede Virtual para um serviço do Azure permite-lhe bloquear o acesso ao serviço apenas à sua infraestrutura de rede virtual. A infraestrutura de rede virtual também inclui redes virtuais emparelhadas e redes locais.
A integração de rede virtual fornece aos serviços do Azure os benefícios do isolamento de rede com um ou mais dos seguintes métodos:
Implantação de instâncias dedicadas do serviço em uma rede virtual. Os serviços podem então ser acedidos de forma privada dentro da rede virtual e a partir de redes locais.
Usando o Ponto de Extremidade Privado que conecta você de forma privada e segura a um serviço desenvolvido pelo Azure Private Link. O Ponto Final Privado utiliza um endereço IP privado a partir da rede virtual, o que leva de forma eficaz o serviço até à sua rede virtual.
Acesso ao serviço usando pontos de extremidade públicos, estendendo uma rede virtual para o serviço, por meio de pontos de extremidade de serviço. Os pontos de extremidade de serviço permitem que os recursos de serviço sejam protegidos na rede virtual.
Usando marcas de serviço para permitir ou negar tráfego para seus recursos do Azure de e para pontos de extremidade IP públicos.
Implantar serviços dedicados do Azure em redes virtuais
Ao implantar serviços dedicados do Azure em uma rede virtual, você pode se comunicar com os recursos de serviço de forma privada, por meio de endereços IP privados.
A implantação de um serviço dedicado do Azure em sua rede virtual fornece os seguintes recursos:
Os recursos dentro da rede virtual podem comunicar entre si de forma privada, através de endereços IP privados. Exemplo, transferir dados diretamente entre o HDInsight e o SQL Server em execução em uma máquina virtual, na rede virtual.
Os recursos locais podem acessar recursos em uma rede virtual usando endereços IP privados em uma VPN Site a Site (Gateway VPN) ou Rota Expressa.
As redes virtuais podem ser emparelhadas para permitir que os recursos nas redes virtuais se comuniquem entre si, usando endereços IP privados.
O serviço do Azure gerencia totalmente instâncias de serviço em uma rede virtual. Esse gerenciamento inclui o monitoramento da integridade dos recursos e o dimensionamento com carga.
As instâncias de serviço são implantadas em uma sub-rede em uma rede virtual. O acesso à rede de entrada e saída para a sub-rede deve ser aberto por meio de grupos de segurança de rede, de acordo com as orientações fornecidas pelo serviço.
Alguns serviços impõem restrições à sub-rede em que são implantados. Essas restrições limitam a aplicação de políticas, rotas ou a combinação de VMs e recursos de serviço dentro da mesma sub-rede. Verifique com cada serviço as restrições específicas, pois elas podem mudar ao longo do tempo. Exemplos de tais serviços são Arquivos NetApp do Azure, HSM Dedicado, Instâncias de Contêiner do Azure, Serviço de Aplicativo.
Opcionalmente, os serviços podem exigir uma sub-rede delegada como um identificador explícito de que uma sub-rede pode hospedar um determinado serviço. Os serviços do Azure têm permissão explícita para criar recursos específicos do serviço na sub-rede delegada com delegação.
Veja um exemplo de uma resposta de API REST em uma rede virtual com uma sub-rede delegada. Uma lista abrangente de serviços que estão usando o modelo de sub-rede delegada pode ser obtida por meio da API de delegações disponíveis.
Para obter uma lista de serviços que podem ser implantados em uma rede virtual, consulte Implantar serviços dedicados do Azure em redes virtuais.
Link Privado e Pontos de Extremidade Privados
Os pontos de extremidade privados permitem a entrada de tráfego de sua rede virtual para um recurso do Azure com segurança. Este link privado é estabelecido sem a necessidade de endereços IP públicos. Um ponto de extremidade privado é uma interface de rede especial para um serviço do Azure em sua rede virtual. Quando você cria um ponto de extremidade privado para seu recurso, ele fornece conectividade segura entre clientes em sua rede virtual e seu recurso do Azure. O ponto de extremidade privado recebe um endereço IP do intervalo de endereços IP da sua rede virtual. A conexão entre o ponto de extremidade privado e o serviço do Azure é um link privado.
No diagrama, a direita mostra um Banco de Dados SQL do Azure como o serviço PaaS de destino. O destino pode ser qualquer serviço que ofereça suporte a pontos de extremidade privados. Há várias instâncias do SQL Server lógico para vários clientes, que podem ser acessadas por endereços IP públicos.
Nesse caso, uma instância de um SQL Server lógico é exposta com um ponto de extremidade privado. O ponto de extremidade torna o SQL Server acessível por meio de um endereço IP privado na rede virtual do cliente. Devido à alteração na configuração do DNS, o aplicativo cliente agora envia seu tráfego diretamente para esse ponto de extremidade privado. O serviço de destino vê o tráfego originado de um endereço IP privado da rede virtual.
A seta verde representa o link privado. Um endereço IP público ainda pode existir para o recurso de destino junto com o ponto de extremidade privado. O IP público não é mais usado pelo aplicativo cliente. O firewall agora pode não permitir qualquer acesso para esse endereço IP público, tornando-o acessível apenas em pontos de extremidade privados. As conexões com um servidor SQL sem um ponto de extremidade privado da rede virtual são originadas de um endereço IP público. A seta azul representa esse fluxo.
O aplicativo cliente normalmente usa um nome de host DNS para alcançar o serviço de destino. Não são necessárias alterações à aplicação. A resolução DNS na rede virtual deve ser configurada para resolver esse mesmo nome de host para o endereço IP privado do recurso de destino em vez do endereço IP público original. Com um caminho privado entre o cliente e o serviço de destino, o cliente não depende do endereço IP público. O serviço de destino pode desativar o acesso público.
Essa exposição de instâncias individuais permite evitar o roubo de dados. Um agente mal-intencionado não consegue coletar informações do banco de dados e carregá-las para outro banco de dados público ou conta de armazenamento. Você pode impedir o acesso aos endereços IP públicos de todos os serviços PaaS. Você ainda pode permitir o acesso a instâncias PaaS por meio de seus pontos de extremidade privados.
Para obter mais informações sobre Link privado e a lista de serviços do Azure com suporte, consulte O que é link privado?.
Pontos finais de serviço
Os pontos de extremidade de serviço fornecem conectividade segura e direta aos serviços do Azure através da rede de backbone do Azure. Os pontos de extremidade permitem que você proteja seus recursos do Azure apenas em suas redes virtuais. Os pontos de extremidade de serviço permitem que endereços IP privados na rede virtual alcancem um serviço do Azure sem a necessidade de um IP público de saída.
Sem pontos de extremidade de serviço, restringir o acesso apenas à sua rede virtual pode ser um desafio. O endereço IP de origem pode ser alterado ou partilhado com outros clientes. Por exemplo, serviços PaaS com endereços IP de saída compartilhados. Com os pontos de extremidade de serviço, o endereço IP de origem que o serviço de destino vê torna-se um endereço IP privado da sua rede virtual. Essa alteração de tráfego de entrada permite identificar facilmente a origem e usá-la para configurar regras de firewall apropriadas. Por exemplo, permitir apenas o tráfego de uma sub-rede específica dentro dessa rede virtual.
Com os pontos de extremidade de serviço, as entradas DNS para serviços do Azure permanecem como estão e continuam a ser resolvidas para endereços IP públicos atribuídos ao serviço do Azure.
No diagrama a seguir, o lado direito é o mesmo serviço PaaS de destino. À esquerda, há uma rede virtual do cliente com duas sub-redes: a Sub-rede A, que tem um Ponto de Extremidade de Serviço para Microsoft.Sql, e a Sub-rede B, que não tem Pontos de Extremidade de Serviço definidos.
Quando um recurso na Sub-rede B tenta alcançar qualquer SQL Server, ele usa um endereço IP público para comunicação de saída. A seta azul representa esse tráfego. O firewall do SQL Server deve usar esse endereço IP público para permitir ou bloquear o tráfego de rede.
Quando um recurso na Sub-rede A tenta alcançar um servidor de banco de dados, ele é visto como um endereço IP privado de dentro da rede virtual. As setas verdes representam esse tráfego. O firewall do SQL Server agora pode permitir ou bloquear especificamente a Sub-rede A. O conhecimento do endereço IP público do serviço de origem é desnecessário.
Os pontos de extremidade de serviço aplicam-se a todas as instâncias do serviço de destino. Por exemplo, todas as instâncias do SQL Server de clientes do Azure, não apenas a instância do cliente.
Para obter mais informações, consulte Pontos de extremidade de serviço de rede virtual
Etiquetas de serviço
Uma marca de serviço representa um grupo de prefixos de endereço IP de um determinado serviço do Azure. Com tags de serviço, você pode definir controles de acesso à rede em grupos de segurança de rede ou no Firewall do Azure. Você pode permitir ou negar o tráfego para o serviço. Para permitir ou negar o tráfego, especifique a etiqueta de serviço no campo de origem ou destino de uma regra.
Obtenha isolamento de rede e proteja seus recursos do Azure da Internet enquanto acessa os serviços do Azure que têm pontos de extremidade públicos. Crie regras de grupo de segurança de rede de entrada/saída para negar tráfego de e para a Internet e permitir tráfego de /para o AzureCloud. Para obter mais tags de serviço, consulte tags de serviço disponíveis de serviços específicos do Azure.
Para obter mais informações sobre Tags de Serviço e serviços do Azure que oferecem suporte a elas, consulte Visão geral de Tags de Serviço
Compare pontos de extremidade privados e pontos de extremidade de serviço
Nota
A Microsoft recomenda o uso do Azure Private Link. O Private Link oferece melhores recursos em termos de acesso privado a PaaS a partir do local, em proteção de exfiltração de dados construída e serviço de mapeamento para IP privado em sua própria rede. Para obter mais informações, consulte Azure Private Link
Em vez de olhar apenas para suas diferenças, vale a pena ressaltar que tanto os pontos de extremidade de serviço quanto os pontos de extremidade privados têm características em comum.
Ambos os recursos são usados para um controle mais granular sobre o firewall no serviço de destino. Por exemplo, restringir o acesso a bancos de dados ou contas de armazenamento do SQL Server. A operação é diferente para ambos, porém, como discutido em mais detalhes nas seções anteriores.
Ambas as abordagens superam o problema do esgotamento da porta SNAT (Source Network Address Translation). Você pode encontrar exaustão quando estiver encapsulando o tráfego por meio de um Network Virtual Appliance (NVA) ou serviço com limitações de porta SNAT. Quando você usa pontos de extremidade de serviço ou pontos de extremidade privados, o tráfego toma um caminho otimizado diretamente para o serviço de destino. Ambas as abordagens podem beneficiar aplicativos com uso intensivo de largura de banda, uma vez que a latência e o custo são reduzidos.
Em ambos os casos, você ainda pode garantir que o tráfego para o serviço de destino passe por um firewall de rede ou NVA. Este procedimento é diferente para ambas as abordagens. Ao usar pontos de extremidade de serviço, você deve configurar o ponto de extremidade de serviço na sub-rede do firewall , em vez da sub-rede onde o serviço de origem é implantado. Ao usar pontos de extremidade privados, você coloca uma UDR (Rota Definida pelo Usuário) para o endereço IP do ponto de extremidade privado na sub-rede de origem . Não na sub-rede do ponto de extremidade privado.
Para comparar e compreender as diferenças, veja a tabela seguinte.
| Consideração | Pontos Finais de Serviço | Pontos Finais Privados |
|---|---|---|
| Escopo do serviço em que nível a configuração se aplica | Serviço completo (por exemplo, todos os SQL Servers ou contas de armazenamento de todos os clientes) | Instância individual (por exemplo, uma instância específica do SQL Server ou uma conta de armazenamento de sua propriedade) |
| Proteção de exfiltração de dados integrada - capacidade de mover/copiar dados de recurso PaaS protegido para outro recurso PaaS desprotegido por insider mal-intencionado | Não | Sim |
| Acesso privado ao recurso PaaS a partir do local | Não | Sim |
| Configuração NSG necessária para acesso ao serviço | Sim (usando tags de serviço) | Não |
| O serviço pode ser acessado sem usar nenhum endereço IP público | Não | Sim |
| O tráfego do Azure para o Azure permanece na rede de backbone do Azure | Sim | Sim |
| O serviço pode desativar seu endereço IP público | Não | Sim |
| Você pode restringir facilmente o tráfego proveniente de uma Rede Virtual do Azure | Sim (permitir o acesso a partir de sub-redes específicas e/ou utilizar NSGs) | Sim |
| Você pode restringir facilmente o tráfego proveniente do local (VPN/Rota Expressa) | N/A** | Sim |
| Requer alterações de DNS | Não | Sim (consulte Configuração de DNS) |
| Impacta o custo da sua solução | Não | Sim (consulte Preços de links privados) |
| Afeta o SLA composto da sua solução | Não | Sim (o próprio serviço de link privado tem um SLA de 99,99%) |
| Configuração e manutenção | Simples de configurar com menos overhead de gestão | É necessário um esforço extra |
| Limites | Sem limite para o número total de pontos de extremidade de serviço em uma rede virtual. Os serviços do Azure podem impor limites ao número de sub-redes usadas para proteger o recurso. (ver FAQ de rede virtual) | Sim (consulte Limites de Link Privado) |
**Os recursos de serviço do Azure protegidos para redes virtuais não podem ser acessados a partir de redes locais. Se você quiser permitir o tráfego local, permita endereços IP públicos (normalmente, NAT) de sua Rota Expressa ou local. Esses endereços IP podem ser adicionados por meio da configuração do firewall IP para os recursos de serviço do Azure. Para obter mais informações, consulte as Perguntas frequentes sobre a rede virtual.
Próximos passos
Saiba como integrar seu aplicativo a uma rede do Azure.
Saiba como restringir o acesso a recursos usando Tags de Serviço.
Saiba como se conectar de forma privada a uma conta do Azure Cosmos DB por meio do Azure Private Link.