Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird beschrieben, wie Sicherheitsfeatures mit Azure Service Bus verwendet werden.
Diensttags
Eine Dienstkennung stellt eine Gruppe von IP-Adresspräfixen aus einem Azure-Dienst dar. Microsoft verwaltet die von dem Service-Tag erfassten Adresspräfixe und aktualisiert den Service-Tag automatisch, wenn sich Adressen ändern. Diese Verwaltung minimiert die Komplexität häufiger Updates für Netzwerksicherheitsregeln. Weitere Informationen zu Diensttags finden Sie in der Azure-Diensttag-Übersicht für virtuelle Netzwerksicherheit.
Verwenden Sie Diensttags, um Netzwerkzugriffssteuerungen für Netzwerksicherheitsgruppen oder Azure Firewall zu definieren. Verwenden Sie Diensttags anstelle von spezifischen IP-Adressen, wenn Sie Sicherheitsregeln erstellen. Durch Angabe des Dienst-Tag-Namens (z. B. ServiceBus) im entsprechenden Quellfeld oder Zielfeld einer Regel können Sie den Datenverkehr für den entsprechenden Dienst zulassen oder verweigern.
Im Kontext von Diensttags bezieht sich der Begriff ausgehend auf Datenverkehr, der von einem virtuellen Azure-Netzwerk ausgehend ist. Dieser Datenverkehr stellt eingehenden Datenverkehr zu Service Bus dar. Das Diensttag enthält also die IP-Adressen, die für den Datenverkehr verwendet werden, der aus Ihrem virtuellen Netzwerk in Service Bus fließt.
| Diensttag | Zweck | Eingehend oder ausgehend möglich? | Kann es regional sein? | Einsatz mit Azure Firewall möglich? |
|---|---|---|---|---|
ServiceBus |
Azure Service Bus-Datenverkehr | Ausgehend | Ja | Ja |
Hinweis
Zuvor enthielten ServiceBus-Diensttags nur die IP-Adressen von Namespaces auf der Premium-Ebene. Sie enthalten nun die IP-Adressen aller Namespaces, unabhängig von der Ebene.
IP-Firewallregeln
Standardmäßig können Benutzer über das Internet auf Service Bus-Namespaces zugreifen, solange die Anforderung mit gültiger Authentifizierung und Autorisierung enthalten ist. Mithilfe der IP-Firewall können Sie den Zugriff nur auf eine Reihe von IPv4-Adressen oder IPv4-Adressbereichen in DER CIDR-Schreibweise (Classless Inter-Domain Routing) einschränken.
Dieses Feature ist in Szenarien hilfreich, in denen Azure Service Bus nur von bestimmten bekannten Websites aus zugänglich sein sollte. Sie können Firewallregeln verwenden, um Regeln zu konfigurieren, um Datenverkehr zu akzeptieren, der von bestimmten IPv4-Adressen stammt. Wenn Sie z. B. Service Bus mit Azure ExpressRoute verwenden, können Sie eine Firewallregel erstellen, um den Datenverkehr nur von Ihren lokalen Infrastruktur-IP-Adressen oder -Adressen eines NAT-Gateways eines Unternehmens zuzulassen.
Der Service Bus-Namespace wendet die IP-Firewallregeln an. Die Regeln gelten für alle Verbindungen von Clients, die ein unterstütztes Protokoll verwenden. Der Service Bus-Namespace lehnt alle Verbindungsversuche von einer IP-Adresse ab, die keiner zulässigen IP-Regel entspricht, als nicht autorisiert. In der Antwort wird die IP-Regel nicht erwähnt. IP-Filterregeln werden in der Reihenfolge angewendet, und die erste Regel, die der IP-Adresse entspricht, bestimmt die Annahme oder Ablehnung.
Weitere Informationen finden Sie unter Konfigurieren einer IP-Firewall für einen vorhandenen Namespace.
Netzwerkdienstendpunkte
Durch die Integration von Service Bus in Endpunkte für virtuelle Netzwerke können Sie sicher auf Messagingfunktionen von Workloads wie virtuellen Computern zugreifen, die an virtuelle Netzwerke gebunden sind. Der Netzwerkdatenverkehr wird an beiden Enden gesichert.
Wenn Sie einen Service Bus-Namespace so konfigurieren, dass er an mindestens einen Dienstendpunkt für ein virtuelles Netzwerk-Subnetz gebunden wird, akzeptiert der ServiceBus-Namespace keinen Datenverkehr mehr von überall aus, sondern autorisierte virtuelle Netzwerke. Aus Sicht des virtuellen Netzwerks wird durch die Bindung eines Service Bus-Namespace an einen Dienstendpunkt ein isolierter Netzwerktunnel vom Subnetz des virtuellen Netzwerks zum Messagingdienst konfiguriert.
Das Ergebnis ist eine private und isolierte Beziehung zwischen den Workloads, die an das Subnetz und den entsprechenden ServiceBus-Namespace gebunden sind, auch wenn sich die feststellbare Netzwerkadresse des Messagingdienstendpunkts in einem öffentlichen IP-Bereich befindet.
Wichtig
Virtuelle Netzwerke werden nur in Premium-Dienstbus-Namespaces unterstützt.
Wenn Sie virtuelle Netzwerkdienstendpunkte mit Service Bus verwenden, aktivieren Sie diese Endpunkte nicht in Anwendungen, die Standardebenen- und Premium-Dienstbus-Namespaces kombinieren. Da die Standardebene keine virtuellen Netzwerke unterstützt, sind die Endpunkte nur auf Namespaces der Premiumebene beschränkt.
Erweiterte Sicherheitsszenarien für die Integration virtueller Netzwerke
Lösungen, die eine enge und unterteilte Sicherheit erfordern und in denen virtuelle Netzwerk-Subnetze die Segmentierung zwischen den abteilten Diensten bereitstellen, benötigen in der Regel immer noch Kommunikationspfade zwischen diesen Diensten.
Jede sofortige IP-Route zwischen den Abteilen, einschließlich derjenigen, die HTTPS über TCP/IP tragen, birgt das Risiko, dass Sicherheitsrisiken von der Netzwerkschicht und höheren Ebenen ausgenutzt werden. Messaging-Dienste bieten vollständig isolierte Kommunikationspfade, bei denen Nachrichten während des Übergangs zwischen Parteien sogar auf den Datenträger geschrieben werden. Workloads in zwei unterschiedlichen virtuellen Netzwerken, die beide an dieselbe ServiceBus-Instanz gebunden sind, können effizient und zuverlässig über Nachrichten kommunizieren und gleichzeitig die Integrität der jeweiligen Netzwerkisolationsgrenze beibehalten.
Dieses Messaging ist inhärent sicherer als das, was mit jedem Peer-to-Peer-Kommunikationsmodus erreichbar ist, einschließlich HTTPS und anderen TLS-gesicherten Socketprotokollen.
Binden von Service Bus an virtuelle Netzwerke
VNET-Regeln sind das Feature für die Firewallsicherheit, mit dem gesteuert wird, ob Ihr Azure Service Bus-Server Verbindungen eines bestimmten VNET-Subnetzes akzeptiert.
Das Binden eines Service Bus-Namespace an ein virtuelles Netzwerk ist ein Prozess mit zwei Schritten. Erstellen Sie zunächst einen virtuellen Netzwerkdienstendpunkt in einem virtuellen Netzwerk-Subnetz, und aktivieren Sie ihn für Microsoft.ServiceBus, wie in der Übersicht über den Dienstendpunkt erläutert. Nachdem Sie den Dienstendpunkt hinzugefügt haben, binden Sie den ServiceBus-Namespace mithilfe einer virtuellen Netzwerkregel an ihn.
Die Virtuelle Netzwerkregel ordnet den ServiceBus-Namespace einem virtuellen Netzwerksubnetz zu. Während die Regel vorhanden ist, wird allen Workloads, die an das Subnetz gebunden sind, Zugriff auf den Service Bus-Namespace gewährt. Der Service Bus selbst stellt niemals ausgehende Verbindungen her, benötigt keinen Zugriff auf Ihr Subnetz und wird auch nie Zugriff darauf erhalten, wenn Sie diese Regel aktivieren.
** Weitere Informationen finden Sie unter Zugriff auf einen Azure Service Bus-Namespace von bestimmten virtuellen Netzwerken zulassen.
Private Endpunkte
Mithilfe des Azure Private Link-Diensts können Sie auf Azure-Dienste (z. B. Azure Service Bus, Azure Storage und Azure Cosmos DB) und azure-gehostete Kunden- oder Partnerdienste über einen privaten Endpunkt in Ihrem virtuellen Netzwerk zugreifen.
Ein privater Endpunkt ist eine Netzwerkschnittstelle, die Sie privat mit einem Dienst verbindet, der mit Azure Private Link verknüpft ist. Der private Endpunkt verwendet eine private IP-Adresse aus Ihrem virtuellen Netzwerk, um den Dienst effektiv in Ihr virtuelles Netzwerk zu bringen.
Sie können den gesamten Datenverkehr über den privaten Endpunkt an den Dienst weiterleiten, daher benötigen Sie keine Gateways, NAT-Geräte, ExpressRoute- oder VPN-Verbindungen oder öffentliche IP-Adressen. Der Datenverkehr zwischen Ihrem virtuellen Netzwerk und dem Dienst durchläuft das Microsoft-Backbone-Netzwerk, um die Gefährdung durch das öffentliche Internet zu beseitigen. Sie können eine Verbindung mit einer Instanz einer Azure-Ressource herstellen, um die höchste Granularität bei der Zugriffssteuerung zu erreichen.
Weitere Informationen finden Sie unter Was ist Azure Private Link?.
Hinweis
Die Premium-Stufe von Azure Service Bus unterstützt dieses Feature. Weitere Informationen zur Premium-Stufe finden Sie im Artikel zu Service Bus Premium- und Standardnachrichtenstufen.
Weitere Informationen finden Sie unter Zulassen des Zugriffs auf Azure Service Bus-Namespaces über private Endpunkte.
Netzwerksicherheitsperimeter
Eine weitere Möglichkeit, den Service Bus-Namespace zu schützen, besteht darin, ihn in einen Netzwerksicherheitsperimeter einzuschließen. Ein Netzwerksicherheitsperimeter stellt eine logische Grenze für Plattform-as-a-Service-Ressourcen (PaaS) her. Diese Grenze schränkt die Kommunikation mit Ressourcen innerhalb des Umkreises ein und steuert den öffentlichen Zugriff über explizite Regeln. Diese Technik kann besonders nützlich sein, wenn Sie eine Sicherheitsgrenze rund um Service Bus und andere PaaS-Ressourcen wie Azure Key Vault einrichten möchten.
Weitere Informationen finden Sie unter Netzwerksicherheitsperimeter für Azure Service Bus.