Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird beschrieben, wie Sie die folgenden Sicherheitsfeatures mit Azure Event Hubs verwenden:
- Diensttags
- IP-Firewallregeln
- Netzwerkdienstendpunkte
- Private Endpunkte
Diensttags
Ein Diensttag steht für eine Gruppe von IP-Adresspräfixen aus einem bestimmten Azure-Dienst. Microsoft verwaltet die Adresspräfixe, die vom Dienst-Tag umfasst werden, und aktualisiert das Dienst-Tag automatisch, sobald sich die Adressen ändern, wodurch die Komplexität häufigerer Aktualisierungen der Netzwerksicherheitsregeln minimiert wird. Weitere Informationen zu Diensttags finden Sie unter Diensttags: Übersicht.
Sie können Diensttags verwenden, um Netzwerkzugriffssteuerungen in Netzwerksicherheitsgruppen oder in der Azure Firewall zu definieren. Verwenden Sie Diensttags anstelle von spezifischen IP-Adressen, wenn Sie Sicherheitsregeln erstellen. Durch Angabe des Dienst-Tag-Namens (z. B. EventHub) im entsprechenden Quellfeld oder Zielfeld einer Regel können Sie den Datenverkehr für den entsprechenden Dienst zulassen oder verweigern.
| Diensttag | Zweck | Eingehend oder ausgehend möglich? | Kann es regional sein? | Einsatz mit Azure Firewall möglich? |
|---|---|---|---|---|
EventHub |
Azure Event Hubs: | Ausgehend | Ja | Ja |
IP-Firewall
Standardmäßig kann über das Internet auf Event Hubs-Namespaces zugegriffen werden, solange die Anforderung eine gültige Authentifizierung und Autorisierung aufweist. Mit der IP-Firewall können Sie den Zugriff auf eine Gruppe von IPv4- oder IPv6-Adressen oder -Adressbereichen in der CIDR-Notation (Classless Inter-Domain Routing, klassenloses domänenübergreifendes Routing) weiter einschränken.
Dieses Feature ist in Szenarien hilfreich, in denen Azure Event Hubs nur von bestimmten bekannten Websites aus zugänglich sein sollten. Mithilfe von Firewallregeln können Sie Regeln konfigurieren, um Datenverkehr von bestimmten IPv4- oder IPv6-Adressen zu akzeptieren. Wenn Sie beispielsweise Event Hubs mit Azure Express Route verwenden, können Sie eine Firewallregel erstellen, um Datenverkehr nur von Ihren lokalen Infrastruktur-IP-Adressen zuzulassen.
Die IP-Firewallregeln werden auf der Event Hubs-Namespaceebene angewendet. Daher gelten die Regeln für alle Clientverbindungen mit einem beliebigen unterstützten Protokoll. Jeder Verbindungsversuch von einer IP-Adresse, die nicht mit einer zulässigen IP-Regel im Event Hubs-Namespace übereinstimmt, wird als nicht autorisiert abgelehnt. In der Antwort wird die IP-Regel nicht erwähnt. IP-Filterregeln werden der Reihe nach angewendet, und die erste Regel, die eine Übereinstimmung mit der IP-Adresse ergibt, bestimmt die Aktion (Zulassen oder Ablehnen).
Weitere Informationen finden Sie unter Konfigurieren der IP-Firewall für einen Event Hub.
Netzwerkdienstendpunkte
Die Integration von Event Hubs mit Virtual Network (virtual network)-Dienstendpunkten ermöglicht sicheren Zugriff auf Messagingfunktionen von Workloads wie virtuellen Computern, die an virtuelle Netzwerke gebunden sind, wobei der Netzwerkdatenverkehrpfad auf beiden Enden gesichert wird.
Nach der Konfiguration, dass sie an mindestens einen Subnetzendpunkt eines virtuellen Netzwerks gebunden ist, akzeptiert der jeweilige Event Hubs-Namespace keinen Datenverkehr mehr von überall aus, sondern autorisierte Subnetze in virtuellen Netzwerken. Aus sicht des virtuellen Netzwerks konfiguriert das Binden eines Event Hubs-Namespaces an einen Dienstendpunkt einen isolierten Netzwerktunnel vom Subnetz des virtuellen Netzwerks an den Messagingdienst.
Das Ergebnis ist eine private und isolierte Beziehung zwischen den Workloads, die an das Subnetz und den jeweiligen Event Hubs-Namespace gebunden sind, obwohl sich die observierbare Netzwerkadresse des Messagingdienstendpunkts in einem öffentlichen IP-Bereich befindet. Es gibt eine Ausnahme für dieses Verhalten. Wenn Sie einen Dienstendpunkt aktivieren, aktiviert der Dienst standardmäßig die denyall Regel in der IP-Firewall , die dem virtuellen Netzwerk zugeordnet ist. Sie können bestimmte IP-Adressen in der IP-Firewall hinzufügen, um den Zugriff auf den öffentlichen Endpunkt "Event Hubs" zu ermöglichen.
Von Bedeutung
Dieses Funktion wird in der Basic-Ebene nicht unterstützt.
Erweiterte Sicherheitsszenarien basierend auf der Integration des virtuellen Netzwerks
Lösungen, die eine enge und unterteilte Sicherheit erfordern und in denen virtuelle Netzwerk-Subnetze die Segmentierung zwischen den abteilten Diensten bereitstellen, benötigen dennoch Kommunikationspfade zwischen Diensten, die sich in diesen Abteilungen befinden.
Bei allen direkten IP-Routen zwischen den Bereichen, einschließlich derer, die HTTPS über TCP/IP übertragen, besteht das Risiko, dass Sicherheitslücken von der Netzwerkschicht aufwärts ausgenutzt werden. Bei Messagingdiensten werden isolierte Kommunikationspfade bereitgestellt, wobei die Nachrichten während des Übergangs zwischen Parteien sogar auf Datenträger geschrieben werden. Workloads in zwei unterschiedlichen virtuellen Netzwerken, die beide an dieselbe Event Hubs-Instanz gebunden sind, können effizient und zuverlässig über Nachrichten kommunizieren, während die jeweilige Netzwerkisolationsgrenze beibehalten wird.
Dies bedeutet, dass Ihre sicherheitsrelevanten Cloudlösungen nicht nur Zugriff auf zuverlässige und skalierbare Azure-Funktionen für asynchrones Messaging eines Branchenführers haben, sondern dass das Messaging jetzt auch genutzt werden kann, um Kommunikationspfade zwischen sicheren Lösungsbereichen zu erstellen. Diese sind deutlich sicherer als alle Optionen des Peer-to-Peer-Kommunikationsmodus, einschließlich HTTPS und andere per TLS geschützte Socketprotokolle.
Binden von Event Hubs an virtuelle Netzwerke
Virtuelle Netzwerkregeln sind das Firewallsicherheitsfeature, das steuert, ob Ihr Azure Event Hubs-Namespace Verbindungen von einem bestimmten virtuellen Netzwerk-Subnetz akzeptiert.
Das Binden eines Event Hubs-Namespaces an ein virtuelles Netzwerk ist ein zweistufiger Prozess. Sie müssen zuerst einen virtuellen Netzwerkdienstendpunkt im Subnetz eines virtuellen Netzwerks erstellen und ihn für Microsoft.EventHub aktivieren, wie im Übersichtsartikel zum Dienstendpunkt erläutert. Nachdem Sie den Dienstendpunkt hinzugefügt haben, binden Sie den Event Hubs-Namespace mit einer virtuellen Netzwerkregel an ihn.
Die Virtuelle Netzwerkregel ist eine Zuordnung des Event Hubs-Namespace mit einem virtuellen Netzwerk-Subnetz. Während die Regel vorhanden ist, erhalten alle arbeitslasten, die an das Subnetz gebunden sind, Zugriff auf den Event Hubs-Namespace. Event Hubs selbst baut niemals ausgehende Verbindungen auf, benötigt keinen Zugriff und erhält folglich auch keinen Zugriff auf Ihr Subnetz durch das Aktivieren dieser Regel.
Weitere Informationen finden Sie unter Konfigurieren von Endpunkten des virtuellen Netzwerks für einen Event Hub.
Private Endpunkte
Mit dem Azure Private Link-Dienst können Sie auf Azure Services (z. B. Azure Event Hubs, Azure Storage und Azure Cosmos DB) und azure gehostete Kunden-/Partnerdienste über einen privaten Endpunkt in Ihrem virtuellen Netzwerk zugreifen.
Ein privater Endpunkt ist eine Netzwerkschnittstelle, die Sie privat und sicher mit einem von Azure Private Link betriebenen Dienst verbindet. Der private Endpunkt verwendet eine private IP-Adresse aus Ihrem virtuellen Netzwerk und bindet den Dienst dadurch in Ihr virtuelles Netzwerk ein. Der gesamte für den Dienst bestimmte Datenverkehr kann über den privaten Endpunkt geleitet werden. Es sind also keine Gateways, NAT-Geräte, ExpressRoute-/VPN-Verbindungen oder öffentlichen IP-Adressen erforderlich. Datenverkehr zwischen Ihrem virtuellen Netzwerk und dem Dienst durchläuft über das Microsoft-Backbone-Netzwerk, wodurch die Gefährdung durch das öffentliche Internet eliminiert wird. Sie können eine Verbindung mit einer Instanz einer Azure-Ressource herstellen, sodass Sie die höchste Granularität bei der Zugriffssteuerung erhalten.
Von Bedeutung
Dieses Funktion wird in der Basic-Ebene nicht unterstützt.
Weitere Informationen finden Sie unter Konfigurieren privater Endpunkte für einen Event Hub.
Nächste Schritte
Weitere Informationen finden Sie in folgenden Artikeln: