Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit artikel wordt beschreven hoe u beveiligingsfuncties gebruikt met Azure Service Bus.
Service-tags
Een servicetag vertegenwoordigt een groep IP-adresvoorvoegsels van een Azure-service. Microsoft beheert de adresvoorvoegsels die worden omvat door de servicetag en werkt de servicetag automatisch bij wanneer adressen worden gewijzigd. Dit beheer minimaliseert de complexiteit van frequente updates voor netwerkbeveiligingsregels. Voor meer informatie over servicetags, zie Azure service tags overview for virtual network security.
Gebruik servicetags om netwerktoegangsbeheer te definiëren voor netwerkbeveiligingsgroepen of Azure Firewall. Gebruik servicetags in plaats van specifieke IP-adressen wanneer je beveiligingsregels maakt. Door de naam van de servicetag (bijvoorbeeld ServiceBus) op te geven in het juiste bron - of doelveld van een regel, kunt u het verkeer voor de bijbehorende service toestaan of weigeren.
In de context van servicetags verwijst de term uitgaand naar verkeer dat afkomstig is van een virtueel Azure-netwerk. Dit verkeer vertegenwoordigt binnenkomend verkeer naar Service Bus. Met andere woorden: de servicetag bevat de IP-adressen die worden gebruikt voor verkeer dat vanuit uw virtuele netwerk naar Service Bus stroomt.
| Service-tag | Doel | Kun je binnenkomend of uitgaand gebruiken? | Kan het regionaal zijn? | Kan dit worden gebruikt met Azure Firewall? |
|---|---|---|---|---|
ServiceBus |
Azure Service Bus-verkeer | Uitgaand | Ja | Ja |
Opmerking
Voorheen bevatten Service Bus-servicetags alleen de IP-adressen van naamruimten in de Premium-laag. Ze bevatten nu de IP-adressen van alle naamruimten, ongeacht de laag.
IP-firewall-regels
Standaard hebben gebruikers toegang tot Service Bus-naamruimten vanaf internet zolang de aanvraag wordt geleverd met geldige verificatie en autorisatie. Met behulp van de IP-firewall kunt u de toegang beperken tot alleen een set IPv4-adressen of IPv4-adresbereiken in CIDR-notatie (classless Inter-Domain routing).
Deze functie is handig in scenario's waarin Azure Service Bus alleen toegankelijk moet zijn vanaf bepaalde bekende sites. U kunt firewallregels gebruiken om regels te configureren om verkeer te accepteren dat afkomstig is van specifieke IPv4-adressen. Als u bijvoorbeeld Service Bus met Azure ExpressRoute gebruikt, kunt u een firewallregel maken om alleen verkeer van uw on-premises infrastructuur-IP-adressen of adressen van een bedrijfs-NAT-gateway toe te staan.
De Service Bus-naamruimte past de IP-firewallregels toe. De regels zijn van toepassing op alle verbindingen van clients die elk ondersteund protocol gebruiken. De Service Bus-naamruimte weigert een verbindingspoging van een IP-adres dat niet overeenkomt met een toegestane IP-regel als onbevoegd. Het antwoord vermeldt de IP-regel niet. IP-filterregels worden op volgorde toegepast en de eerste regel die overeenkomt met het IP-adres bepaalt de acceptatie of afwijzing.
Zie Een IP-firewall configureren voor een bestaande naamruimte voor meer informatie.
Netwerkservice-eindpunten
Door Service Bus te integreren met service-eindpunten voor virtuele netwerken, hebt u veilig toegang tot berichtenmogelijkheden van workloads zoals virtuele machines die zijn gebonden aan virtuele netwerken. Het netwerkverkeerspad wordt aan beide uiteinden beveiligd.
Wanneer u een Service Bus-naamruimte zo configureert dat deze is gebonden aan ten minste één service-eindpunt voor een subnet van een virtueel netwerk, accepteert de Service Bus-naamruimte geen verkeer meer vanaf elke locatie maar van geautoriseerde virtuele netwerken. Vanuit het perspectief van het virtuele netwerk configureert het binden van een Service Bus-naamruimte aan een service-eindpunt een geïsoleerde netwerktunnel van het subnet van het virtuele netwerk naar de berichtenservice.
Het resultaat is een privé- en geïsoleerde relatie tussen de workloads die zijn gebonden aan het subnet en de respectieve Service Bus-naamruimte, ook al bevindt het waarneembare netwerkadres van het berichtenservice-eindpunt zich in een openbaar IP-bereik.
Belangrijk
Virtuele netwerken worden alleen ondersteund in Premium-laag Servicebus-naamruimten.
Wanneer u service-eindpunten voor virtuele netwerken met Service Bus gebruikt, schakelt u deze eindpunten niet in in toepassingen die de Service Bus-naamruimten van de Standard-laag en de Premium-laag combineren. Omdat de Standard-laag geen ondersteuning biedt voor virtuele netwerken, zijn de eindpunten alleen beperkt tot naamruimten in de Premium-laag.
Geavanceerde beveiligingsscenario's voor integratie van virtuele netwerken
Oplossingen die een strakke en gecompartimentaliseerde beveiliging vereisen, en waarbij subnetten van virtuele netwerken de segmentatie tussen de gecompartimenteerde services bieden, hebben over het algemeen nog steeds communicatiepaden tussen deze services nodig.
Elke directe IP-route tussen de compartimenten, met inbegrip van die met HTTPS via TCP/IP, draagt het risico op misbruik van beveiligingsproblemen van de netwerklaag en hogere lagen. Berichtenservices bieden volledig geïsoleerde communicatiepaden, waarbij berichten zelfs naar schijf worden geschreven wanneer ze tussen partijen worden overgezet. Workloads in twee afzonderlijke virtuele netwerken die beide aan hetzelfde Service Bus-exemplaar zijn gebonden, kunnen efficiënt en betrouwbaar communiceren via berichten, terwijl de integriteit van de respectieve netwerkisolatiegrens behouden blijft.
Deze berichten zijn inherent veiliger dan wat mogelijk is met elke peer-to-peer-communicatiemodus, waaronder HTTPS en andere met TLS beveiligde socketprotocollen.
Service Bus binden aan virtuele netwerken
Regels voor virtuele netwerken zijn de firewallbeveiligingsfunctie waarmee wordt bepaald of uw Azure Service Bus-server verbindingen van een bepaald subnet van een virtueel netwerk accepteert.
Het binden van een Service Bus-naamruimte aan een virtueel netwerk is een proces in twee stappen. Maak eerst een service-eindpunt voor een virtueel netwerk op een subnet van een virtueel netwerk en schakel dit Microsoft.ServiceBusin, zoals wordt uitgelegd in het overzicht van het service-eindpunt. Nadat u het service-eindpunt hebt toegevoegd, verbindt u de Service Bus-naamruimte met behulp van een regel voor een virtueel netwerk.
De regel voor het virtuele netwerk koppelt de Service Bus-naamruimte aan een subnet van een virtueel netwerk. Hoewel de regel bestaat, krijgen alle workloads die zijn gebonden aan het subnet toegang tot de Service Bus-naamruimte. Service Bus zelf brengt nooit uitgaande verbindingen tot stand, hoeft geen toegang te krijgen en krijgt nooit toegang tot uw subnet wanneer u deze regel inschakelt.
Zie Toegang tot een Azure Service Bus-naamruimte vanuit specifieke virtuele netwerken toestaan voor meer informatie.
Privé-eindpunten
Met behulp van de Azure Private Link-service hebt u toegang tot Azure-services (bijvoorbeeld Azure Service Bus, Azure Storage en Azure Cosmos DB) en door Azure gehoste klant- of partnerservices via een privé-eindpunt in uw virtuele netwerk.
Een privé-eindpunt is een netwerkinterface die u privé verbindt met een service die is gerelateerd aan Azure Private Link. Het privé-eindpunt maakt gebruik van een privé-IP-adres van uw virtuele netwerk om de service effectief in uw virtuele netwerk te brengen.
U kunt al het verkeer naar de service routeren via het privé-eindpunt, zodat u geen gateways, NAT-apparaten, ExpressRoute- of VPN-verbindingen of openbare IP-adressen nodig hebt. Verkeer tussen uw virtuele netwerk en de service doorkruist het Backbone-netwerk van Microsoft om blootstelling van het openbare internet te elimineren. U kunt verbinding maken met een exemplaar van een Azure-resource voor het hoogste granulariteitsniveau in toegangsbeheer.
Zie Wat is Azure Private Link? voor meer informatie.
Opmerking
De Premium-laag van Azure Service Bus ondersteunt deze functie. Zie het artikel over Service Bus Premium- en Standard-berichtenlagen voor meer informatie over de Premium-laag.
Zie Toegang tot Azure Service Bus-naamruimten via privé-eindpunten toestaan voor meer informatie.
Netwerkbeveiligingsperimeter
Een andere manier om uw Service Bus-naamruimte te beveiligen, is door deze op te nemen in een netwerkbeveiligingsperimeter. Een netwerkbeveiligingsperimeter brengt een logische grens tot stand voor PaaS-resources (Platform as a Service). Deze grens beperkt de communicatie met resources binnen de perimeter en beheert openbare toegang via expliciete regels. Deze techniek kan met name handig zijn als u een beveiligingsgrens wilt vaststellen rond Service Bus en andere PaaS-resources, zoals Azure Key Vault.
Zie Netwerkbeveiligingsperimeter voor Azure Service Bus voor meer informatie.