Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Azure Service Bus prend en charge l’intégration à un périmètre de sécurité réseau.
Un périmètre de sécurité réseau permet de protéger le trafic réseau entre Azure Service Bus et d’autres offres PaaS (Platform as a Service Service) telles qu’Azure Key Vault. En confinant la communication uniquement aux ressources Azure dans ses limites, un périmètre de sécurité réseau bloque les tentatives non autorisées d’accéder à d’autres ressources.
Avec un périmètre de sécurité réseau :
- Les ressources PaaS associées à un périmètre spécifique peuvent, par défaut, communiquer avec uniquement d’autres ressources PaaS au sein du même périmètre.
- Vous pouvez autoriser activement les communications entrantes et sortantes externes en définissant des règles d’accès explicites.
- Les journaux de diagnostic sont activés pour les ressources PaaS dans le périmètre pour l’audit et la conformité.
L’intégration de Service Bus dans ce framework améliore les fonctionnalités de messagerie tout en fournissant des mesures de sécurité robustes. Cette intégration améliore la scalabilité et la fiabilité de la plateforme. Il renforce également les stratégies de protection des données pour atténuer les risques associés à un accès non autorisé ou à des violations de données.
En fonctionnant en tant que service sous Azure Private Link, un périmètre de sécurité réseau facilite la communication sécurisée pour les services PaaS déployés en dehors du réseau virtuel. Il permet une interaction transparente entre les services PaaS au sein du périmètre et facilite la communication avec les ressources externes par le biais de règles d’accès soigneusement configurées. Il prend également en charge les ressources sortantes telles qu’Azure Key Vault pour les clés gérées par le client (CMK). Cette prise en charge améliore davantage sa polyvalence et son utilité dans divers environnements cloud.
Scénarios pour les périmètres de sécurité réseau dans Service Bus
Azure Service Bus prend en charge les scénarios qui nécessitent l’accès à d’autres ressources PaaS. Les clés CMK nécessitent une communication avec Azure Key Vault. Pour plus d’informations, consultez Configurer les clés gérées par le client pour chiffrer les données Azure Service Bus au repos.
Dans le cadre de la reprise après sinistre géographique héritée (appairage basé sur des alias), les espaces de noms principal et secondaire doivent être tous deux associés au même périmètre de sécurité réseau. Si seul le serveur principal est associé, le jumelage échoue.
Les règles de périmètre de sécurité réseau ne régissent pas le trafic de liaison privée via des points de terminaison privés.
Créez un périmètre de sécurité réseau
Créez votre propre ressource de périmètre de sécurité réseau à l’aide du portail Azure, d’Azure PowerShell ou d’Azure CLI.
Associer Service Bus à un périmètre de sécurité réseau dans le portail Azure
Vous pouvez associer votre espace de noms Service Bus à un périmètre de sécurité réseau directement à partir de l’espace de noms Service Bus dans le portail Azure :
Dans la page de votre espace de noms Service Bus, sous Paramètres, sélectionnez Mise en réseau.
Sélectionnez l’onglet Accès public .
Dans la section Périmètre de sécurité réseau , sélectionnez Associer.
Dans la boîte de dialogue Sélectionner un périmètre de sécurité réseau, recherchez et sélectionnez le périmètre de sécurité réseau que vous souhaitez associer à l’espace de noms.
Sélectionnez un profil à associer à l’espace de noms.
Sélectionnez Associer pour terminer l’association.
Vérifier l’association à l’aide d’Azure CLI
Pour vérifier que votre espace de noms est associé à un périmètre de sécurité réseau :
az servicebus namespace network-rule-set show \
--name <namespace-name> \
--resource-group <resource-group>
Quand l’association existe, le publicNetworkAccess champ s’affiche SecuredByPerimeter.
Résoudre les problèmes
Disponibilité des fonctionnalités
Certaines fonctionnalités des périmètres de sécurité réseau nécessitent l’inscription d’indicateurs de fonctionnalités sur votre abonnement. Si vous rencontrez une erreur « Cette fonctionnalité n’est pas disponible pour un abonnement donné » lors de la configuration des règles d’accès ou des liens de périmètre, ou si votre espace de noms n’apparaît pas dans la liste des ressources associables lors de la configuration d’un périmètre de sécurité réseau, inscrivez l’indicateur de fonctionnalité requis et réinscrivez le fournisseur de réseau :
| Capacité | Indicateur de fonctionnalité | Commande d’inscription |
|---|---|---|
| Association des ressources NSP | AllowNetworkSecurityPerimeter |
az feature register --namespace Microsoft.Network --name AllowNetworkSecurityPerimeter |
| Liaisons inter-périmètre | AllowNspLink |
az feature register --namespace Microsoft.Network --name AllowNspLink |
| Règles d’entrée d’étiquette de service | EnableServiceTagsInNsp |
az feature register --namespace Microsoft.Network --name EnableServiceTagsInNsp |
Après l’inscription, propagez la modification :
az provider register -n Microsoft.Network
La propagation de l’indicateur de fonctionnalité peut prendre jusqu’à 15 minutes.
Association d’un espace de noms avec un périmètre de sécurité réseau
Lors de la création d’un appairage de reprise après sinistre géographique hérité, les espaces de noms principal et secondaire doivent être rattachés au même périmètre de sécurité réseau. Si vous rencontrez une erreur « DisasterRecoveryConfigSecondaryMustHaveAssociationsUnderSameNSP », associez l’espace de noms secondaire au même périmètre, puis réessayez le jumelage.
Contenu connexe
- Qu’est-ce qu’un périmètre de sécurité réseau ?
- Journaux de diagnostic pour les périmètres de sécurité réseau
- Sécurité réseau pour Azure Service Bus
- Permettre l'accès aux espaces de noms Azure Service Bus par des points de terminaison privés
- Configurer les clés gérées par le client pour Azure Service Bus