Сетевая безопасность для Azure Relay
В этой статье описывается, как использовать следующие функции безопасности с Azure Relay:
- Правила брандмауэра для IP-адресов
- Частные конечные точки
Примечание.
Azure Relay не поддерживает конечные точки сетевой службы.
IP-брандмауэр
По умолчанию пространства имен Azure Relay доступны из Интернета при условии, что запрос поступает с действительными данными для аутентификации и авторизации. С помощью брандмауэра для IP-адресов такой доступ можно дополнительно ограничить набором или диапазоном IPv4-адресов в нотации CIDR.
Эта возможность полезна в сценариях, в которых служба Azure Relay должна быть доступна только из определенных хорошо известных сайтов. Правила брандмауэра позволяют настроить правила приема трафика, поступающего с определенных IPv4-адресов. Например, при использовании Azure Relay в сочетании Azure Express Route можно создать правило брандмауэра, разрешающее трафик только с IP-адресов в локальной инфраструктуре.
Правила брандмауэра для IP-адресов применяются на уровне пространства имен Relay. Поэтому они действуют для всех клиентских подключений по любым поддерживаемым протоколам. Любая попытка подключения с IP-адреса, не соответствующего разрешенной правиле IP-адресов в пространстве имен Ретранслятора, отклоняется как несанкционированная. В ответе клиенту не упоминается правило для IP-адресов. Правила фильтрации IP-адресов применяются по порядку, поэтому первое правило, которое соответствует IP-адресу, определяет действие (принять или отклонить).
Дополнительные сведения см. в статье Как настроить брандмауэр IP-адресов для пространства имен Relay.
Частные конечные точки
Приватный канал Azure обеспечивает доступ к службам Azure (например, к Azure Relay, Служебной шине Azure, Центрам событий Azure, службе хранилища Azure и Azure Cosmos DB), а также размещенным в Azure службам клиентов или партнеров через частную конечную точку в виртуальной сети. Дополнительные сведения см. в статье Что такое Приватный канал Azure.
Частная конечная точка — это сетевой интерфейс, который позволяет выполняемым в виртуальной сети рабочим нагрузкам приватно и безопасно подключаться к службе, которая имеет ресурс приватного канала (например, пространство имен ретранслятора). Частная конечная точка использует частный IP-адрес из виртуальной сети, по сути перемещая службу в виртуальную сеть. Весь трафик к службе может маршрутизироваться через частную конечную точку, поэтому шлюзы, устройства преобразования сетевых адресов (NAT), подключения ExpressRoute, VPN или общедоступные IP-адреса не требуются. Трафик между виртуальной сетью и службой проходит через магистральную сеть Майкрософт, что позволяет избежать рисков общедоступного Интернета. Обеспечить степень детализации для управления доступом позволяет подключение к конкретным пространствам имен Azure Relay.
Дополнительные сведения см. в статье Как настроить частные конечные точки.
Дальнейшие действия
См. следующие статьи: