Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este artigo descreve como utilizar funcionalidades de segurança com o Azure Service Bus.
Etiquetas de serviço
Uma etiqueta de serviço representa um grupo de prefixos de endereço IP de um serviço Azure. A Microsoft gerencia os prefixos de endereço incluídos pela etiqueta de serviço e atualiza automaticamente a etiqueta de serviço à medida que os endereços mudam. Esta gestão minimiza a complexidade das atualizações frequentes das regras de segurança de rede. Para obter mais informações sobre tags de serviço, consulte a descrição geral das marcas de serviço do Azure para segurança de redes virtuais.
Use etiquetas de serviço para definir controlos de acesso à rede em grupos de segurança de rede ou no Azure Firewall. Utilize etiquetas de serviço em vez de endereços IP específicos quando criar regras de segurança. Ao especificar o nome da etiqueta de serviço (por exemplo, ServiceBus) no campo de origem ou destino apropriado de uma regra, você pode permitir ou negar o tráfego para o serviço correspondente.
No contexto das etiquetas de serviço, o termo saída refere-se ao tráfego de saída proveniente de uma rede virtual Azure. Este tráfego representa o tráfego de entrada para o Service Bus. Por outras palavras, a etiqueta de serviço contém os endereços IP que são usados para o tráfego que flui para o Service Bus a partir da sua rede virtual.
| Etiqueta de serviço | Propósito | Pode usar inbound ou outbound? | Pode ser regional? | Pode usar com o Firewall do Azure? |
|---|---|---|---|---|
ServiceBus |
Azure Service Bus tráfego | Direção exterior | Sim | Sim |
Observação
Anteriormente, as etiquetas de serviço do Service Bus incluíam apenas os endereços IP dos namespaces no nível Premium. Agora incluem os endereços IP de todos os namespaces, independentemente do nível.
Regras de firewall IP
Por defeito, os utilizadores podem aceder aos namespaces do Service Bus a partir da internet, desde que o pedido venha com autenticação e autorização válidas. Ao usar o firewall IP, pode restringir o acesso apenas a um conjunto de endereços IPv4 ou intervalos de endereços IPv4 na notação CIDR (Classless Inter-Domain Routing).
Esta funcionalidade é útil em cenários em que o Azure Service Bus só deve ser acessível a partir de certos sites conhecidos. Pode usar regras de firewall para configurar regras que aceitem tráfego que se origina de endereços IPv4 específicos. Por exemplo, se usar Service Bus com Azure ExpressRoute, pode criar uma regra de firewall para permitir tráfego apenas dos seus endereços IP de infraestrutura local ou de endereços de um gateway NAT corporativo.
O namespace Service Bus aplica as regras do firewall IP. As regras aplicam-se a todas as ligações de clientes que utilizam qualquer protocolo suportado. O namespace Service Bus rejeita qualquer tentativa de ligação de um endereço IP que não corresponda a uma regra de IP permitida como não autorizada. A resposta não menciona a regra de IP. As regras de filtro IP são aplicadas por ordem, e a primeira regra que corresponde ao endereço IP determina a aceitação ou rejeição.
Para mais informações, veja Configurar um firewall IP para um namespace existente.
Pontos finais de serviço de rede
Ao integrar o Service Bus com endpoints de serviço de rede virtual, pode aceder às capacidades de mensagens de forma segura a partir de cargas de trabalho, como máquinas virtuais ligadas a redes virtuais. O caminho do tráfego de rede é protegido em ambas as extremidades.
Quando configura um namespace Service Bus para estar ligado a pelo menos um endpoint de serviço para uma sub-rede virtual de rede, o namespace Service Bus já não aceita tráfego de qualquer lugar que não seja de redes virtuais autorizadas. Do ponto de vista da rede virtual, vincular um namespace do Service Bus a um ponto de extremidade de serviço configura um túnel de rede isolado da sub-rede da rede virtual para o serviço de mensagens.
O resultado é uma relação privada e isolada entre as cargas de trabalho ligadas à sub-rede e ao respetivo espaço de nomes do Service Bus, mesmo que o endereço de rede observável do endpoint do serviço de mensagens esteja numa faixa pública de IP.
Importante
Apenas as redes virtuais são suportadas em espaços de nomes de nível Premium do Service Bus.
Quando usar endpoints de serviço de rede virtual com Service Bus, não ative estes endpoints em aplicações que misturem namespaces de Service Bus de nível Standard e Premium. Como o nível Standard não suporta redes virtuais, os endpoints estão restritos apenas a namespaces de nível Premium.
Cenários avançados de segurança para integração de redes virtuais
Soluções que exigem segurança apertada e compartimentada, e onde subredes virtuais de rede fornecem a segmentação entre os serviços compartimentados, geralmente ainda necessitam de caminhos de comunicação entre esses serviços.
Qualquer rota IP imediata entre os compartimentos, incluindo aquelas que transportam HTTPS sobre TCP/IP, acarreta o risco de exploração de vulnerabilidades da camada de rede e camadas superiores. Os serviços de mensagens fornecem caminhos de comunicação completamente isolados, onde as mensagens são até mesmo gravadas em disco à medida que transitam entre as partes. Cargas de trabalho em duas redes virtuais distintas, ambas ligadas à mesma instância de Service Bus, podem comunicar de forma eficiente e fiável via mensagens, preservando a integridade do respetivo limite de isolamento da rede.
Esta mensagem é inerentemente mais segura do que aquilo que é possível com qualquer modo de comunicação peer-to-peer, incluindo HTTPS e outros protocolos socket protegidos por TLS.
Vinculando o Service Bus a redes virtuais
As regras de rede virtual são o recurso de segurança de firewall que controla se o servidor do Barramento de Serviço do Azure aceita conexões de uma sub-rede de rede virtual específica.
Vincular um namespace do Service Bus a uma rede virtual é um processo de duas etapas. Primeiro, crie um endpoint de serviço de rede virtual numa sub-rede de rede virtual e ative-o para Microsoft.ServiceBus, conforme explicado na visão geral do endpoint de serviço. Depois de adicionar o endpoint de serviço, vincule o namespace do Service Bus a ele usando uma regra de rede virtual.
A regra de rede virtual associa o namespace do Barramento de Serviço a uma sub-rede virtual. Enquanto a regra existir, todas as cargas de trabalho vinculadas à sub-rede recebem acesso ao namespace do Service Bus. O próprio Service Bus nunca estabelece ligações de saída, não precisa de obter acesso e nunca recebe acesso à sua sub-rede quando ativa esta regra.
Para mais informações, consulte Permitir acesso a um namespace Azure Service Bus a partir de redes virtuais específicas.
Terminais privados
Ao usar o serviço Azure Private Link, pode aceder a serviços Azure (por exemplo, Azure Service Bus, Azure Storage e Azure Cosmos DB) e serviços de clientes ou parceiros alojados em Azure através de um endpoint privado na sua rede virtual.
Um endpoint privado é uma interface de rede que o liga privadamente a um serviço relacionado com o Azure Private Link. O endpoint privado utiliza um endereço IP privado da sua rede virtual para trazer eficazmente o serviço para a sua rede virtual.
Podes encaminhar todo o tráfego para o serviço através do endpoint privado, por isso não precisas de gateways, dispositivos NAT, conexões ExpressRoute ou VPN, ou endereços IP públicos. O tráfego entre a sua rede virtual e o serviço atravessa a rede principal da Microsoft para eliminar a exposição da Internet pública. Pode ligar-se a uma instância de um recurso Azure para obter o mais alto nível de granularidade no controlo de acesso.
Para obter mais informações, consulte O que é o Azure Private Link?.
Observação
O nível Premium do Azure Service Bus suporta esta funcionalidade. Para mais informações sobre o nível Premium, consulte o artigo sobre os níveis de mensagens Service Bus Premium e Standard.
Para obter mais informações, consulte Permitir acesso a espaços de nomes do Azure Service Bus por meio de endpoints privados.
Perímetro de segurança da rede
Outra forma de ajudar a proteger o namespace do seu Service Bus é incluí-lo num perímetro de segurança de rede. Um perímetro de segurança de rede estabelece um limite lógico para os recursos de plataforma como serviço (PaaS). Esta fronteira restringe a comunicação aos recursos dentro do perímetro e controla o acesso público através de regras explícitas. Esta técnica pode ser particularmente útil quando se pretende estabelecer um limite de segurança em torno do Service Bus e de outros recursos PaaS como o Azure Key Vault.
Para mais informações, consulte perímetro de segurança de rede para o Azure Service Bus.