Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo descreve como usar os recursos de segurança do Barramento de Serviço do Azure.
Etiquetas de serviço
Uma marca de serviço representa um grupo de prefixos de endereço IP de um serviço do Azure. A Microsoft gerencia os prefixos de endereço abrangidos pela marca de serviço e atualiza automaticamente a marca de serviço à medida que os endereços são alterados. Esse gerenciamento minimiza a complexidade das atualizações frequentes para as regras de segurança de rede. Para obter mais informações sobre tags de serviço, consulte a visão geral das marcas de serviço do Azure para segurança de redes virtuais.
Use marcas de serviço para definir controles de acesso à rede em grupos de segurança de rede ou no Firewall do Azure. Use marcas de serviço em vez de endereços IP específicos ao criar regras de segurança. Ao especificar o nome da marca de serviço (por exemplo, ServiceBus) no campo de origem ou destino apropriado de uma regra, você pode permitir ou negar o tráfego para o serviço correspondente.
No contexto de marcas de serviço, o termo tráfego de saída refere-se ao tráfego que está de saída de uma rede virtual do Azure. Esse tráfego representa o tráfego de entrada para o Service Bus. Em outras palavras, a marca de serviço contém os endereços IP usados para o tráfego que flui para o Barramento de Serviço a partir da sua rede virtual.
| Etiqueta de serviço | Propósito | É possível usar entrada ou saída? | Pode ser regional? | É possível usar com o Firewall do Azure? |
|---|---|---|---|---|
ServiceBus |
Tráfego do Barramento de Serviço do Azure | Saída | Sim | Sim |
Observação
Anteriormente, as tags de serviço do Barramento de Serviço incluíam apenas os endereços IP dos namespaces no nível Premium. Agora eles incluem os endereços IP de todos os namespaces, independentemente da camada.
Regras de firewall de IP
Por padrão, os usuários podem acessar namespaces do Service Bus na internet, desde que a solicitação venha com autenticação e autorização válidas. Usando o firewall de IP, você pode restringir o acesso a apenas um conjunto de endereços IPv4 ou intervalos de endereços IPv4 na notação CIDR (Roteamento de Inter-Domain sem classe).
Esse recurso é útil em cenários em que o Barramento de Serviço do Azure precisa ser acessível somente de determinados sites bem definidos. Você pode usar regras de firewall para configurar regras para aceitar o tráfego proveniente de endereços IPv4 específicos. Por exemplo, se você usar o Barramento de Serviço com o Azure ExpressRoute, poderá criar uma regra de firewall para permitir o tráfego apenas a partir dos endereços IP da sua infraestrutura local ou dos endereços de um gateway NAT corporativo.
O namespace do Barramento de Serviço aplica as regras de firewall de IP. As regras se aplicam a todas as conexões de clientes que usam qualquer protocolo com suporte. O namespace do Barramento de Serviço rejeita qualquer tentativa de conexão de um endereço IP que não corresponda a uma regra de IP permitida, tratando-a como não autorizada. A resposta não menciona a regra de IP. As regras de filtro IP são aplicadas em ordem e a primeira regra que corresponde ao endereço IP determina a aceitação ou rejeição.
Para obter mais informações, consulte Configurar um firewall de IP para um namespace existente.
Pontos de extremidade de serviço de rede
Ao integrar o Barramento de Serviço aos pontos de extremidade de serviços de rede virtual, você pode acessar com segurança os recursos de mensagens a partir de cargas de trabalho, como máquinas virtuais, que estão vinculadas a redes virtuais. O caminho de tráfego de rede é protegido em ambas as extremidades.
Quando você configura um namespace do Service Bus para ser associado a pelo menos um endpoint de serviço para uma sub-rede de rede virtual, o namespace do Service Bus não aceita mais tráfego de qualquer lugar, exceto redes virtuais autorizadas. Da perspectiva da rede virtual, associar um namespace do Service Bus a um endpoint de serviço configura um túnel de rede isolado da sub-rede da rede virtual para o serviço de mensagens.
O resultado é uma relação privada e isolada entre as cargas de trabalho vinculadas à sub-rede e o respectivo namespace do Barramento de Serviço, mesmo que o endereço de rede observável do ponto de extremidade do serviço de mensagens esteja em um intervalo de IP público.
Importante
As redes virtuais têm suporte apenas em namespaces do Service Bus de camada Premium.
Ao usar pontos de extremidade de serviços de rede virtual com o Barramento de Serviço, não habilite esses pontos de extremidade em aplicativos que combinem namespaces do Barramento de Serviço dos níveis Standard e Premium. Como a camada Standard não dá suporte a redes virtuais, os pontos de extremidade são restritos somente a namespaces da camada Premium.
Cenários de segurança avançados para integração de rede virtual
Soluções que exigem segurança apertada e compartimentalizada e onde as sub-redes de rede virtual fornecem a segmentação entre os serviços compartimentalizados, geralmente ainda precisam de caminhos de comunicação entre esses serviços.
Qualquer rota IP imediata entre os compartimentos, incluindo aqueles que transportam HTTPS por TCP/IP, carrega o risco de exploração de vulnerabilidades da camada de rede e camadas mais altas. Os serviços de mensagens fornecem caminhos de comunicação completamente isolados, em que as mensagens são até gravadas em disco à medida que fazem a transição entre as partes. As cargas de trabalho em duas redes virtuais distintas, ambas vinculadas à mesma instância do Barramento de Serviço, podem se comunicar de forma eficiente e confiável por meio de mensagens, preservando a integridade dos respectivos limites de isolamento de rede.
Essa mensagem é inerentemente mais segura do que o que é possível com qualquer modo de comunicação ponto a ponto, incluindo HTTPS e outros protocolos de soquete protegidos por TLS.
Associar o Barramento de Serviço a redes virtuais
As regras da rede virtual são o recurso de segurança do firewall que controla se o servidor de Barramento de Serviço do Azure aceita conexões de uma sub-rede de rede virtual específica.
Associar um namespace do Barramento de Serviço a uma rede virtual é um processo de duas etapas. Primeiro, crie um endpoint de serviço em uma sub-rede de rede virtual e habilite-o para Microsoft.ServiceBus, conforme explicado na visão geral do endpoint de serviço. Depois de adicionar o ponto de extremidade do serviço, vincule o namespace do Barramento de Serviço a ele usando uma regra de rede virtual.
A regra da rede virtual associa o namespace do Barramento de Serviço a uma sub-rede da rede virtual. Embora a regra exista, todas as cargas de trabalho associadas à sub-rede recebem acesso ao namespace do Barramento de Serviço. O próprio Barramento de Serviço nunca estabelece conexões de saída, não precisa obter acesso e nunca recebe permissão para acessar sua sub-rede quando você habilita essa regra.
Para obter mais informações, consulte Permitir acesso a um namespace do Barramento de Serviço do Azure a partir de redes virtuais específicas.
Pontos de extremidade privados
Usando o serviço de Link Privado do Azure, você pode acessar os serviços do Azure (por exemplo, Barramento de Serviço do Azure, Armazenamento do Azure e Azure Cosmos DB) e serviços de cliente ou parceiro hospedados no Azure em um ponto de extremidade privado em sua rede virtual.
Um ponto de extremidade privado é uma interface de rede que conecta você de forma privada a um serviço relacionado ao Azure Private Link. O ponto de extremidade privado usa um endereço IP privado da sua rede virtual para integrar efetivamente o serviço à sua rede virtual.
Você pode rotear todo o tráfego para o serviço por meio do ponto de extremidade privado, portanto, você não precisa de gateways, dispositivos NAT, conexões ExpressRoute ou VPN ou endereços IP públicos. O tráfego entre sua rede virtual e o serviço atravessa a rede de backbone da Microsoft para eliminar a exposição da Internet pública. Você pode se conectar a uma instância de um recurso do Azure para o nível mais alto de granularidade no controle de acesso.
Para obter mais informações, consulte O que é Azure Private Link?.
Observação
A camada Premium do Barramento de Serviço do Azure dá suporte a esse recurso. Para obter mais informações sobre a camada Premium, consulte o artigo sobre as camadas de mensagem Premium e Standard do Service Bus.
Para obter mais informações, consulte Permitir acesso aos namespaces do Barramento de Serviço do Azure por meio de pontos de extremidade privados.
Perímetro de segurança da rede
Outra maneira de ajudar a proteger o namespace do Service Bus é incluí-lo em um perímetro de segurança de rede. Um perímetro de segurança de rede estabelece um limite lógico para recursos paaS (plataforma como serviço). Esse limite restringe a comunicação com recursos dentro do perímetro e controla o acesso público por meio de regras explícitas. Essa técnica pode ser particularmente útil quando você deseja estabelecer um limite de segurança em torno do Barramento de Serviço e de outros recursos de PaaS, como o Azure Key Vault.
Para obter mais informações, consulte Network security perimeter for Azure Service Bus.