Что собой представляет Приватный канал Azure?

  • 12 мин

Прежде чем вы узнаете о Приватном канале Azure, его возможностях и преимуществах, давайте рассмотрим проблему, которую можно решить с помощью Приватного канала.

Компания Contoso имеет виртуальную сеть Azure, и вы хотите подключиться к ресурсу PaaS, например к базе данных SQL Azure. При создании таких ресурсов в качестве метода подключения обычно указывается общедоступная конечная точка.

Наличие общедоступной конечной точки означает, что ресурсу назначается общедоступный IP-адрес. Таким образом, несмотря на то что виртуальная сеть и база данных SQL Azure находятся в облаке Azure, подключение между ними выполняется через Интернет.

Проблема заключается в том, что база данных SQL Azure доступна через Интернет посредством общедоступного IP-адреса. Эта доступность создает несколько угроз безопасности. Те же угрозы безопасности существуют при доступе к ресурсу Azure через общедоступный IP-адрес из следующих расположений:

  • одноранговая виртуальная сеть Azure;
  • локальная сеть, которая подключается к Azure с помощью ExpressRoute и пиринга Майкрософт;
  • виртуальная сеть Azure клиента, которая подключается к службе Azure вашей организации.

Сетевая схема виртуальной сети Azure, одноранговая виртуальная сеть Azure и локальная сеть с доступом к базе данных SQL Azure через Интернет.

Приватный канал предназначен для устранения этих угроз безопасности путем удаления общедоступного компонента подключения.

Приватный канал обеспечивает безопасный доступ к службам Azure. Приватный канал гарантирует безопасность, заменяя общедоступную конечную точку ресурса частным сетевым интерфейсом. В этой новой архитектуре следует обратить внимание на три основных аспекта:

  • ресурс Azure становится в некотором смысле частью виртуальной сети;
  • для подключения к ресурсу теперь используется магистральная сеть Microsoft Azure, а не общедоступный Интернет;
  • вы можете настроить ресурс Azure так, чтобы он больше не предоставлял общедоступный IP-адрес, что устранит потенциальную угрозу безопасности.

Что такое частная конечная точка Azure

Частная конечная точка — это ключевая технология, служащая основой для Приватного канала. Частная конечная точка — это сетевой интерфейс, обеспечивающий частное и безопасное подключение между вашей виртуальной сетью и службой Azure. Иными словами, частная конечная точка — это сетевой интерфейс, который заменяет общедоступную конечную точку ресурса.

Примечание.

Частная конечная точка — это платная служба. Вы платите фиксированную сумму за час, а также фиксированную сумму за гигабайт входящего и исходящего трафика, проходящего через частную конечную точку.

Приватный канал обеспечивает частный доступ из виртуальной сети Azure к службам PaaS и службам партнера Корпорации Майкрософт в Azure. Однако что делать, если ваша компания создала собственные службы Azure для клиентов вашей компании? Можно ли предоставить этим клиентам частное подключение к службам вашей компании?

Да, с помощью службы Приватного канала Azure. Эта служба позволяет обеспечивать подключения Приватного канала к пользовательским службам Azure. Пользователи настраиваемых служб могут получить доступ к этим службам в частном порядке (т. е. без использования Интернета) из собственных виртуальных сетей Azure.

Примечание.

Плата за использование службы Приватного канала не взимается.

Приватный канал, работающий с частной конечной точкой и службой Приватного канала, обеспечивает указанные ниже преимущества.

  • Частный доступ к службам PaaS и службам партнера корпорации Майкрософт в Azure. При использовании частной конечной точки службы Azure сопоставляются с виртуальной сетью Azure. Не имеет значения, что ресурс Azure находится в другой виртуальной сети и в другом клиенте Active Directory. Для пользователей в виртуальной сети Azure ресурс, как представляется, является частью этой сети.
  • Частный доступ к службам Azure в любом регионе. Приватный канал работает глобально. Частное подключение к службе Azure работает даже в том случае, если виртуальная сеть этой службы находится в регионе, отличном от региона вашей собственной виртуальной сети.
  • Неопубликованные маршруты к службам Azure. После того как служба Azure сопоставлена с виртуальной сетью, маршрут трафика изменится. Весь входящий и исходящий трафик между виртуальной сетью и службой Azure проходит через магистральную сеть Microsoft Azure. Общедоступный Интернет никогда не используется для трафика службы.
  • Общедоступные конечные точки больше не требуются. Так как весь входящий и исходящий трафик сопоставленной службы Azure теперь проходит через магистраль Microsoft Azure, общедоступная конечная точка для службы больше не требуется. Вы можете отключить эту общедоступную конечную точку и, следовательно, устранить возможную угрозу безопасности.
  • Одноранговые виртуальные сети Azure также получают доступ к ресурсам Приватного канала. Если вы используете одну или несколько одноранговых виртуальных сетей Azure, для доступа к частному ресурсу Azure не требуется дополнительная конфигурация. Клиенты в любой одноранговой сети могут получить доступ к любой частной конечной точке, сопоставленной со службой Azure.
  • Локальная сеть также получает доступ к ресурсам Приватного канала. Подключается ли ваша локальная сеть к виртуальной сети Azure с помощью частного пиринга ExpressRoute или VPN-туннеля? Если да, дополнительная настройка для клиентов в локальной сети для доступа к частному ресурсу Azure не требуется.
  • Защита от кражи данных. При сопоставлении частной конечной точки со службой Azure сопоставляется конкретный экземпляр этой службы. Например, если вы настраиваете частный доступ к службе хранилища Azure, вы сопоставляете доступ к большому двоичному объекту, таблице или другому экземпляру хранилища. Если виртуальная машина в сети скомпрометирована, злоумышленник не сможет переместить или скопировать данные в другой экземпляр ресурса.
  • Частный доступ к собственным службам Azure. Вы можете использовать службу Приватного канала и предоставить клиентам частный доступ к вашим пользовательским службам Azure.

Приватный канал и частная конечная точка могут работать со многими службами Azure. Дополнительные сведения о службах и регионах, поддерживающих Приватный канал, см. на странице обновлений Azure.