Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
O Azure Service Bus suporta integração com um perímetro de segurança de rede.
Um perímetro de segurança de rede ajuda a proteger o tráfego de rede entre o Azure Service Bus e outras plataformas como serviço (PaaS) como o Azure Key Vault. Ao confinar a comunicação apenas aos recursos Azure dentro dos seus limites, um perímetro de segurança de rede bloqueia tentativas não autorizadas de aceder a outros recursos.
Com um perímetro de segurança de rede:
- Os recursos PaaS associados a um perímetro específico podem, por defeito, comunicar apenas com outros recursos PaaS dentro do mesmo perímetro.
- Pode permitir ativamente comunicações externas de entrada e saída definindo regras de acesso explícitas.
- Registos de diagnóstico estão ativados para recursos PaaS dentro do perímetro para auditoria e conformidade.
Integrar o Service Bus neste quadro reforça as capacidades de mensagens, ao mesmo tempo que proporciona medidas de segurança robustas. Esta integração melhora a escalabilidade e fiabilidade da plataforma. Também reforça as estratégias de proteção de dados para mitigar riscos associados a acessos não autorizados ou violações de dados.
Ao operar como um serviço sob Azure Private Link, um perímetro de segurança de rede facilita a comunicação segura para serviços PaaS implementados fora da rede virtual. Ele permite a interação perfeita entre os serviços PaaS dentro do perímetro e facilita a comunicação com recursos externos por meio de regras de acesso cuidadosamente configuradas. Também suporta recursos de saída, como o Azure Key Vault, para chaves geridas pelo cliente (CMKs). Este suporte reforça ainda mais a sua versatilidade e utilidade em ambientes cloud diversificados.
Cenários para perímetros de segurança de rede no Service Bus
O Azure Service Bus suporta cenários que requerem acesso a outros recursos PaaS. Os CMKs requerem comunicação com o Azure Key Vault. Para mais informações, consulte Configurar chaves geridas pelo cliente para a cifragem de dados em repouso do Azure Service Bus.
Para recuperação de desastres geográficos legados (emparelhamento baseado em alias), tanto o namespace primário como o secundário devem estar associados ao mesmo perímetro de segurança de rede. Se apenas o principal estiver associado, o emparelhamento falha.
As regras de perímetro de segurança de rede não regem o tráfego de links privados através de endpoints privados.
Criar um perímetro de segurança de rede
Crie o seu próprio recurso perimetral de segurança de rede usando o portal Azure, Azure PowerShell ou a CLI do Azure.
Associe o Service Bus com um perímetro de segurança de rede no portal Azure
Pode associar o seu namespace Service Bus a um perímetro de segurança de rede diretamente a partir do namespace Service Bus no portal Azure:
Na página do seu namespace do Service Bus, em Definições, selecione Rede.
Selecione o separador de acesso público .
Na secção do perímetro de segurança de rede , selecione Associado.
No diálogo Selecionar perímetro de segurança de rede , procure e selecione o perímetro de segurança de rede que pretende associar ao namespace.
Selecione um perfil para associar ao namespace.
Selecione Associado para completar a associação.
Verifique a associação usando o CLI do Azure
Para verificar se o seu espaço de nomes está associado a um perímetro de segurança de rede:
az servicebus namespace network-rule-set show \
--name <namespace-name> \
--resource-group <resource-group>
Quando a associação existe, o publicNetworkAccess campo mostra SecuredByPerimeter.
Troubleshoot
Disponibilidade de funcionalidades
Algumas funcionalidades dos perímetros de segurança de rede exigem que as feature flags sejam registadas na sua subscrição. Se encontrar um erro "Esta funcionalidade não está disponível para a subscrição fornecida" ao configurar regras de acesso ou ligações perimetrais, ou se o seu espaço de nomes não aparecer na lista de recursos associáveis ao configurar um perímetro de segurança de rede, registe a flag da funcionalidade necessária e volte a registar o fornecedor de rede.
| Capacidade | Flag de funcionalidade | Comando de registo |
|---|---|---|
| Associação de recursos NSP | AllowNetworkSecurityPerimeter |
az feature register --namespace Microsoft.Network --name AllowNetworkSecurityPerimeter |
| Ligações de perímetro cruzado | AllowNspLink |
az feature register --namespace Microsoft.Network --name AllowNspLink |
| Regras de entrada da etiqueta de serviço | EnableServiceTagsInNsp |
az feature register --namespace Microsoft.Network --name EnableServiceTagsInNsp |
Após o registo, propague a alteração:
az provider register -n Microsoft.Network
A propagação da feature flag pode demorar até 15 minutos.
Associação de espaço de nomes com um perímetro de segurança de rede
Quando está a criar um emparelhamento de recuperação de desastres geográfica legada, os namespaces primário e secundário devem estar associados ao mesmo perímetro de segurança de rede. Se encontrar um erro "DisasterRecoveryConfigSecondaryMustHaveAssociationsUnderSameNSP", associe o namespace secundário ao mesmo perímetro e tente novamente o emparelhamento.