Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article explique comment utiliser des fonctionnalités de sécurité avec Azure Service Bus.
Balises de service
Une balise de service représente un groupe de préfixes d’adresse IP d’un service Azure. Microsoft gère les préfixes d’adresse englobés par la balise de service et met à jour automatiquement la balise de service quand les adresses changent. Cette gestion réduit la complexité des mises à jour fréquentes des règles de sécurité réseau. Pour plus d’informations sur les balises de service, consultez l’aperçu des balises de service Azure pour la sécurité des réseaux virtuels.
Utilisez des balises de service pour définir des contrôles d’accès réseau sur des groupes de sécurité réseau ou pare-feu Azure. Utilisez des étiquettes de service à la place des adresses IP spécifiques lors de la création de règles de sécurité. En spécifiant le nom de l’étiquette de service (par exemple) ServiceBusdans le champ source ou de destination approprié d’une règle, vous pouvez autoriser ou refuser le trafic pour le service correspondant.
Dans le contexte des balises de service, le terme sortant fait référence au trafic sortant provenant d’un réseau virtuel Azure. Ce trafic représente le trafic entrant vers Service Bus. En d’autres termes, la balise de service contient les adresses IP utilisées pour le trafic entrant dans Service Bus à partir de votre réseau virtuel.
| Étiquette de service | Objectif | Peut-elle utiliser le trafic entrant ou sortant ? | Peut-elle être étendue à une zone régionale ? | Peut-elle être utilisée avec le Pare-feu Azure ? |
|---|---|---|---|---|
ServiceBus |
Trafic du Service Bus Azure | Règle de trafic sortant | Oui | Oui |
Remarque
Auparavant, les étiquettes de service Service Bus incluaient uniquement les adresses IP des espaces de noms du niveau Premium. Ils incluent désormais les adresses IP de tous les espaces de noms, quel que soit le niveau.
Règles de pare-feu IP
Par défaut, les utilisateurs peuvent accéder aux espaces de noms Service Bus à partir d’Internet tant que la demande est fournie avec une authentification et une autorisation valides. En utilisant le pare-feu IP, vous pouvez restreindre l’accès à un ensemble d’adresses IPv4 ou de plages d’adresses IPv4 dans la notation CIDR (routage sans classe Inter-Domain).
Cette fonctionnalité est utile dans les scénarios où Azure Service Bus ne doit être accessible qu’à partir de certains sites connus. Vous pouvez utiliser des règles de pare-feu pour configurer des règles pour accepter le trafic provenant d’adresses IPv4 spécifiques. Par exemple, si vous utilisez Service Bus avec Azure ExpressRoute, vous pouvez créer une règle de pare-feu pour autoriser le trafic à partir uniquement de vos adresses IP ou adresses IP d’infrastructure locale d’une passerelle NAT d’entreprise.
L’espace de noms Service Bus applique les règles de pare-feu IP. Les règles s’appliquent à toutes les connexions des clients qui utilisent n’importe quel protocole pris en charge. L’espace de noms Service Bus rejette toute tentative de connexion à partir d’une adresse IP qui ne correspond pas à une règle IP autorisée comme non autorisée. La réponse ne mentionne pas la règle IP. Les règles de filtre IP sont appliquées dans l’ordre et la première règle qui correspond à l’adresse IP détermine l’acceptation ou le rejet.
Pour plus d’informations, consultez Configurer un pare-feu IP pour un espace de noms existant.
Points de terminaison de service réseau
En intégrant Service Bus à des points de terminaison de service de réseau virtuel, vous pouvez accéder en toute sécurité aux fonctionnalités de messagerie à partir de charges de travail telles que des machines virtuelles liées à des réseaux virtuels. Le chemin du trafic réseau est sécurisé aux deux extrémités.
Lorsque vous configurez un espace de noms Service Bus pour qu’il soit lié à au moins un point de terminaison de service pour un sous-réseau de réseau virtuel, l’espace de noms Service Bus n’accepte plus le trafic n’importe où, mais des réseaux virtuels autorisés. Du point de vue du réseau virtuel, la liaison d’un espace de noms Service Bus à un point de terminaison de service configure un tunnel de mise en réseau isolé allant du sous-réseau de réseau virtuel au service de messagerie.
Le résultat est une relation privée et isolée entre les charges de travail liées au sous-réseau et l’espace de noms Service Bus respectif, même si l’adresse réseau observable du point de terminaison de service de messagerie se trouve dans une plage d’adresses IP publiques.
Important
Les réseaux virtuels sont pris en charge uniquement dans les espaces de noms Service Bus de niveau Premium .
Lorsque vous utilisez des points de terminaison de service de réseau virtuel avec Service Bus, n’activez pas ces points de terminaison dans les applications qui combinent des espaces de noms Service Bus de niveau Standard et De niveau Premium. Étant donné que le niveau Standard ne prend pas en charge les réseaux virtuels, les points de terminaison sont limités aux espaces de noms de niveau Premium uniquement.
Scénarios de sécurité avancés pour l’intégration de réseau virtuel
Les solutions qui nécessitent une sécurité étroite et compartimentée et où les sous-réseaux de réseau virtuel fournissent la segmentation entre les services compartimentés, ont généralement besoin de chemins de communication entre ces services.
Tout itinéraire IP immédiat entre les compartiments, y compris ceux qui transportent HTTPS via TCP/IP, entraîne le risque d’exploitation des vulnérabilités de la couche réseau et des couches supérieures. Les services de messagerie fournissent des chemins de communication complètement isolés, où les messages sont même écrits sur le disque lors de la transition entre les parties. Les charges de travail dans deux réseaux virtuels distincts qui sont tous deux liés à la même instance Service Bus peuvent communiquer efficacement et de manière fiable via des messages, tout en préservant l’intégrité de la limite d’isolation réseau respective.
Cette messagerie est intrinsèquement plus sécurisée que ce qui est réalisable avec n’importe quel mode de communication peer-to-peer, y compris HTTPS et d’autres protocoles de socket sécurisés PAR TLS.
Lier Service Bus à des réseaux virtuels
Les règles de réseau virtuel sont une fonctionnalité de sécurité de pare-feu. Elles permettent de contrôler si votre serveur Azure Service Bus doit accepter ou non les connexions d’un sous-réseau de réseau virtuel particulier.
La liaison d’un espace de noms Service Bus à un réseau virtuel est un processus en deux étapes. Tout d’abord, créez un point de terminaison de service de réseau virtuel sur un sous-réseau de réseau virtuel et activez-le Microsoft.ServiceBus, comme expliqué dans la vue d’ensemble du point de terminaison de service. Après avoir ajouté le point de terminaison de service, liez l’espace de noms Service Bus à celui-ci à l’aide d’une règle de réseau virtuel.
La règle de réseau virtuel associe l’espace de noms Service Bus à un sous-réseau de réseau virtuel. Une fois la règle en place, toutes les charges de travail liées au sous-réseau sont autorisées à accéder à l’espace de noms Service Bus. Service Bus lui-même n’établit jamais de connexions sortantes, n’a pas besoin d’accéder et n’est jamais autorisé à accéder à votre sous-réseau lorsque vous activez cette règle.
Pour plus d’informations, consultez Autoriser l’accès à un espace de noms Azure Service Bus à partir de réseaux virtuels spécifiques.
Points de terminaison privés
En utilisant le service Azure Private Link, vous pouvez accéder aux services Azure (par exemple, Azure Service Bus, Stockage Azure et Azure Cosmos DB) et aux services clients ou partenaires hébergés par Azure sur un point de terminaison privé dans votre réseau virtuel.
Un point de terminaison privé est une interface réseau qui vous connecte en privé à un service lié à Azure Private Link. Le point de terminaison privé utilise une adresse IP privée de votre réseau virtuel pour intégrer efficacement le service dans votre réseau virtuel.
Vous pouvez router tout le trafic vers le service via le point de terminaison privé. Vous n’avez donc pas besoin de passerelles, d’appareils NAT, de connexions ExpressRoute ou VPN ou d’adresses IP publiques. Le trafic entre votre réseau virtuel et le service traverse le réseau principal Microsoft pour éliminer l’exposition de l’Internet public. Vous pouvez vous connecter à une instance d’une ressource Azure pour le niveau de granularité le plus élevé dans le contrôle d’accès.
Pour plus d’informations, consultez Qu’est-ce qu’Azure Private Link ?.
Remarque
Le niveau Premium d’Azure Service Bus prend en charge cette fonctionnalité. Pour plus d’informations sur le niveau Premium, consultez l’article sur les niveaux de messagerie Service Bus Premium et Standard.
Pour plus d’informations, consultez Autoriser l’accès aux espaces de noms Azure Service Bus via des points de terminaison privés.
Périmètre de sécurité réseau
Une autre façon de sécuriser votre espace de noms Service Bus consiste à l’inclure dans un périmètre de sécurité réseau. Un périmètre de sécurité réseau établit une limite logique pour les ressources PaaS (Platform as a Service). Cette limite limite limite la communication aux ressources au sein du périmètre et contrôle l’accès public par le biais de règles explicites. Cette technique peut être particulièrement utile lorsque vous souhaitez établir une limite de sécurité autour de Service Bus et d’autres ressources PaaS telles qu’Azure Key Vault.
Pour plus d’informations, consultez Le périmètre de sécurité réseau pour Azure Service Bus.