Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Azure Service Bus admite la integración con un perímetro de seguridad de red.
Un perímetro de seguridad de red ayuda a proteger el tráfico de red entre Azure Service Bus y otras ofertas de plataforma como servicio (PaaS), como Azure Key Vault. Al limitar la comunicación únicamente a los recursos de Azure dentro de sus límites, un perímetro de seguridad de red bloquea los intentos no autorizados de acceder a otros recursos.
Con un perímetro de seguridad de red:
- Los recursos de PaaS asociados a un perímetro específico pueden, de forma predeterminada, comunicarse con solo otros recursos de PaaS dentro del mismo perímetro.
- Puede permitir activamente la comunicación externa entrante y saliente estableciendo reglas de acceso explícitas.
- Los registros de diagnóstico están habilitados para los recursos de PaaS dentro del perímetro para la auditoría y el cumplimiento.
La integración de Service Bus en este marco mejora las funcionalidades de mensajería al tiempo que proporciona medidas de seguridad sólidas. Esta integración mejora la escalabilidad y la confiabilidad de la plataforma. También refuerza las estrategias de protección de datos para mitigar los riesgos asociados a infracciones de acceso o de datos no autorizadas.
Al operar como servicio en Azure Private Link, un perímetro de seguridad de red facilita la comunicación segura para los servicios PaaS implementados fuera de la red virtual. Permite una interacción perfecta entre los servicios PaaS dentro del perímetro y facilita la comunicación con los recursos externos mediante reglas de acceso cuidadosamente configuradas. También admite recursos salientes como Azure Key Vault para claves administradas por el cliente (CMK). Este soporte mejora aún más su versatilidad y utilidad en diversos entornos de nube.
Escenarios de perímetros de seguridad de red en Service Bus
Azure Service Bus admite escenarios que requieren acceso a otros recursos de PaaS. Las CMK requieren comunicación con Azure Key Vault. Para obtener más información, consulte Configurar claves administradas por el cliente para cifrar datos en reposo de Azure Service Bus.
Para la recuperación de desastres geo heredada (emparejamiento basado en alias), tanto el espacio de nombres primario como el secundario deben estar asociados al mismo perímetro de seguridad de red. Si solo el primario está asociado, el emparejamiento falla.
Las reglas perimetrales de seguridad de red no rigen el tráfico de vínculo privado a través de puntos de conexión privados.
Creación de un perímetro de seguridad de red
Cree su propio recurso perimetral de seguridad de red mediante Azure Portal, Azure PowerShell o la CLI de Azure.
Asociar Service Bus con un perímetro de seguridad de red en el portal de Azure
Puede asociar el espacio de nombres de Service Bus a un perímetro de seguridad de red directamente desde el espacio de nombres de Service Bus en Azure Portal:
En la página del espacio de nombres de Service Bus, en Configuración, seleccione Redes.
Seleccione la pestaña Acceso público .
En la sección Perímetro de seguridad de red , seleccione Asociar.
En el cuadro de diálogo Seleccionar perímetro de seguridad de red , busque y seleccione el perímetro de seguridad de red que desea asociar al espacio de nombres.
Seleccione un perfil para asociarlo al espacio de nombres.
Seleccione Asociar para completar la asociación.
Comprobación de la asociación mediante la CLI de Azure
Para comprobar que el espacio de nombres está asociado a un perímetro de seguridad de red:
az servicebus namespace network-rule-set show \
--name <namespace-name> \
--resource-group <resource-group>
Cuando existe la asociación, el publicNetworkAccess campo muestra SecuredByPerimeter.
Solución de problemas
Disponibilidad de funcionalidades
Algunas capacidades de los perímetros de seguridad de red requieren que se registren indicadores de características en su suscripción. Si encuentra un error "Esta característica no está disponible para una suscripción determinada" al configurar reglas de acceso o vínculos perimetrales, o si el espacio de nombres no aparece en la lista de recursos asociables al configurar un perímetro de seguridad de red, registre la marca de característica necesaria y vuelva a registrar el proveedor de red:
| Capacidad | Marca de características | Comando de Registro |
|---|---|---|
| Asociación de recursos de NSP | AllowNetworkSecurityPerimeter |
az feature register --namespace Microsoft.Network --name AllowNetworkSecurityPerimeter |
| Vínculos entre perímetros | AllowNspLink |
az feature register --namespace Microsoft.Network --name AllowNspLink |
| Reglas de entrada para etiquetas de servicio | EnableServiceTagsInNsp |
az feature register --namespace Microsoft.Network --name EnableServiceTagsInNsp |
Después del registro, propague el cambio:
az provider register -n Microsoft.Network
La propagación de la bandera de característica puede tardar hasta 15 minutos.
Asociación de espacio de nombres con un perímetro de seguridad de red
Al crear un emparejamiento de recuperación ante desastres geográficos heredado, los espacios de nombres primario y secundario deben estar asociados al mismo perímetro de seguridad de red. Si encuentra un error "DisasterRecoveryConfigSecondaryMustHaveAssociationsUnderSameNSP", asocie el espacio de nombres secundario con el mismo perímetro y vuelva a intentar el emparejamiento.
Contenido relacionado
- ¿Qué es un perímetro de seguridad de red?
- Registros de diagnóstico para perímetros de seguridad de red
- Seguridad de la red para Azure Service Bus
- Permitir acceso a los espacios de nombres de Azure Service Bus a través de puntos finales privados
- Configure claves administradas por el cliente para Azure Service Bus