Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Barramento de Serviço do Azure dá suporte à integração com um perímetro de segurança de rede.
Um perímetro de segurança de rede ajuda a proteger o tráfego de rede entre o Barramento de Serviço do Azure e outras ofertas de PaaS (plataforma como serviço), como o Azure Key Vault. Ao limitar a comunicação exclusivamente aos recursos do Azure dentro de seus limites, um perímetro de segurança de rede bloqueia tentativas não autorizadas de acessar outros recursos.
Com um perímetro de segurança da rede:
- Os recursos de PaaS associados a um perímetro específico podem, por padrão, comunicar-se apenas com outros recursos de PaaS dentro do mesmo perímetro.
- Você pode permitir ativamente a comunicação externa de entrada e saída definindo regras de acesso explícitas.
- Os logs de diagnóstico estão habilitados para os recursos de PaaS presentes no perímetro para auditoria e conformidade.
A integração do Barramento de Serviço nessa estrutura aprimora os recursos de mensagens e, ao mesmo tempo, oferece medidas de segurança robustas. Essa integração melhora a escalabilidade e a confiabilidade da plataforma. Ele também fortalece as estratégias de proteção de dados para reduzir os riscos associados a acesso não autorizado ou violações de dados.
Ao operar como um serviço no Link Privado do Azure, um perímetro de segurança de rede facilita a comunicação segura para os serviços de PaaS implantados fora da rede virtual. Ele permite a interação perfeita entre os serviços de PaaS dentro do perímetro e facilita a comunicação com os recursos externos por meio de regras de acesso cuidadosamente configuradas. Ele também dá suporte a recursos de saída, como o Azure Key Vault para CMKs (chaves gerenciadas pelo cliente). Esse suporte aprimora ainda mais sua versatilidade e utilitário em diversos ambientes de nuvem.
Cenários para perímetros de segurança de rede no Barramento de Serviço
O Barramento de Serviço do Azure dá suporte a cenários que exigem acesso a outros recursos de PaaS. Os CMKs exigem comunicação com o Azure Key Vault. Para obter mais informações, consulte Configurar chaves gerenciadas pelo cliente para criptografar dados Barramento de Serviço do Azure em repouso.
Para a recuperação de desastres geográficos em sistemas legados (emparelhamento baseado em aliases), tanto o namespace primário quanto o secundário devem estar associados ao mesmo perímetro de segurança de rede. Se apenas o primário estiver associado, o emparelhamento falhará.
As regras de perímetro de segurança de rede não regem o tráfego de link privado por meio de pontos de extremidade privados.
Criar um perímetro de segurança da rede
Crie seu próprio recurso de perímetro de segurança de rede usando o portal do Azure, o Azure PowerShell ou a CLI do Azure.
Associar Barramento de Serviço a um perímetro de segurança de rede no portal Azure
Você pode associar seu namespace do Barramento de Serviço a um perímetro de segurança de rede diretamente do namespace do Barramento de Serviço no portal do Azure:
Na página do seu namespace do Barramento de Serviço, em Configurações, selecione Rede.
Selecione a guia Acesso público .
Na seção Perímetro de segurança de rede, selecione Associar.
Na caixa de diálogo Selecionar perímetro de segurança de rede , pesquise e selecione o perímetro de segurança de rede que você deseja associar ao namespace.
Selecione um perfil para associar ao namespace.
Selecione Associar para concluir a associação.
Verificar a associação usando a CLI do Azure
Para verificar se o namespace está associado a um perímetro de segurança de rede:
az servicebus namespace network-rule-set show \
--name <namespace-name> \
--resource-group <resource-group>
Quando a associação existe, o publicNetworkAccess campo mostra SecuredByPerimeter.
Troubleshoot
Disponibilidade de funcionalidades
Algumas funcionalidades dos perímetros de segurança de rede exigem que os sinalizadores de recursos sejam registrados na sua assinatura. Se você encontrar um erro "Esse recurso não está disponível para determinada assinatura" ao configurar regras de acesso ou links de perímetro ou se o namespace não aparecer na lista de recursos associados ao configurar um perímetro de segurança de rede, registre o sinalizador de recurso necessário e registre novamente o provedor de rede:
| Capacidade | Sinalizador de recurso | Comando registro |
|---|---|---|
| Associação de recurso NSP | AllowNetworkSecurityPerimeter |
az feature register --namespace Microsoft.Network --name AllowNetworkSecurityPerimeter |
| Links entre perímetros | AllowNspLink |
az feature register --namespace Microsoft.Network --name AllowNspLink |
| Regras de entrada de marca de serviço | EnableServiceTagsInNsp |
az feature register --namespace Microsoft.Network --name EnableServiceTagsInNsp |
Após o registro, propague a alteração:
az provider register -n Microsoft.Network
A propagação do sinalizador de recurso pode levar até 15 minutos.
A associação de namespace com o perímetro de segurança de rede
Ao criar um par de recuperação de desastres geográficos de legado, os namespaces primário e secundário devem estar associados ao mesmo perímetro de segurança de rede. Se você receber o erro "DisasterRecoveryConfigSecondaryMustHaveAssociationsUnderSameNSP", associe o namespace secundário ao mesmo perímetro e, em seguida, tente novamente o emparelhamento.
Conteúdo relacionado
- O que é um perímetro de segurança de rede?
- Logs de diagnóstico para perímetros de segurança de rede
- Segurança de rede para Barramento de Serviço do Azure
- Conceda o acesso a namespaces do Barramento de Serviço do Azure por meio de pontos de extremidade privados
- Configurar chaves gerenciadas pelo cliente para Barramento de Serviço do Azure