Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se describe cómo usar las siguientes características de seguridad con Azure Event Hubs:
- Etiquetas de servicio
- Reglas de firewall de IP
- Puntos de conexión de servicio de red
- Puntos de conexión privados
Etiquetas de servicio
Una etiqueta de servicio representa un grupo de prefijos de direcciones IP de un servicio de Azure determinado. Microsoft administra los prefijos de direcciones que la etiqueta de servicio incluye y actualiza automáticamente dicha etiqueta a medida que las direcciones cambian, lo que minimiza la complejidad de las actualizaciones frecuentes en las reglas de seguridad de red. Para más información sobre las etiquetas de servicio, consulte Introducción a las etiquetas de servicio.
Puede usar etiquetas de servicio para definir controles de acceso a la red en grupos de seguridad de red o Azure Firewall. Utilice etiquetas de servicio en lugar de direcciones IP específicas al crear reglas de seguridad. Al especificar el nombre de etiqueta de servicio (por ejemplo, EventHub) en el campo de origen o destino adecuado de una regla, puede permitir o denegar el tráfico para el servicio correspondiente.
| Etiqueta de servicio | Propósito | ¿Se puede usar para tráfico entrante o saliente? | ¿Puede ser regional? | ¿Se puede usar con Azure Firewall? |
|---|---|---|---|---|
EventHub |
Azure Event Hubs. | Salida | Sí | Sí |
Firewall de IP
De manera predeterminada, los espacios de nombres de Event Hubs son accesibles desde Internet siempre y cuando la solicitud llegue con autenticación y autorización válidas. Con el firewall de IP, puede restringirlo aún más a un conjunto de direcciones IPv4 o IPv6 o intervalos de direcciones en CIDR (enrutamiento entre dominios sin clases) notación.
Esta característica es útil en escenarios en los que Azure Event Hubs solo debe ser accesible desde determinados sitios conocidos. Las reglas de firewall permiten configurar reglas para aceptar el tráfico procedente de direcciones IPv4 o IPv6 específicas. Por ejemplo, si usa Event Hubs con Azure ExpressRoute, puede crear una regla de firewall para permitir el tráfico solo desde las direcciones IP de la infraestructura local.
Las reglas de firewall de IP se aplican en el nivel de espacio de nombres de Event Hubs. Por lo tanto, las reglas se aplican a todas las conexiones de clientes que usan cualquier protocolo admitido. Cualquier intento de conexión de una dirección IP que no coincida con una regla IP permitida en el espacio de nombres de Event Hubs se rechaza como no autorizado. La respuesta no menciona la regla IP. Las reglas de filtro IP se aplican en orden y la primera regla que coincida con la dirección IP determina la acción de aceptar o rechazar.
Para obtener más información, consulte Configuración del firewall de IP para un centro de eventos.
Puntos de conexión de servicio de red
La integración de Event Hubs con puntos de conexión de servicio de Virtual Network (red virtual) permite el acceso seguro a las funcionalidades de mensajería desde cargas de trabajo, como máquinas virtuales enlazadas a redes virtuales, con la ruta de acceso de tráfico de red que se protege en ambos extremos.
Una vez configurado para enlazar a al menos un punto de conexión de servicio de subred de red virtual, el espacio de nombres correspondiente de Event Hubs ya no acepta tráfico desde ningún lugar, sino subredes autorizadas en redes virtuales. Desde la perspectiva de una red virtual, asociar un espacio de nombres de Event Hubs a un punto de conexión de servicio configura un túnel de red aislado desde la subred de la red virtual hasta el servicio de mensajería.
El resultado es una relación privada y aislada entre las cargas de trabajo enlazadas a la subred y el espacio de nombres respectivo de Event Hubs, a pesar de que la dirección de red observable del punto de conexión del servicio de mensajería se encuentra en un intervalo IP público. Hay una excepción a este comportamiento. Cuando se habilita un punto de conexión de servicio de forma predeterminada, el servicio habilita la denyall regla en el firewall de IP asociado a la red virtual. Puede agregar direcciones IP específicas en el firewall de IP para habilitar el acceso al punto de conexión público de Event Hubs.
Importante
Esta característica no se admite en el nivel Básico.
Escenarios de seguridad avanzados habilitados por la integración de red virtual
Las soluciones que requieren una seguridad estrecha y compartimentada, y donde las subredes de red virtual proporcionan la segmentación entre los servicios compartimentados, todavía necesitan rutas de comunicación entre los servicios que residen en esos compartimientos.
Cualquier ruta IP inmediata entre los compartimientos, incluidos los que transportan HTTPS sobre TCP/IP, conlleva el riesgo de explotación de vulnerabilidades desde la capa de red hacia arriba. Los servicios de mensajería proporcionan rutas de comunicación aisladas, donde los mensajes se escriben incluso en el disco a medida que pasan entre partes. Las cargas de trabajo de dos redes virtuales distintas que están enlazadas a la misma instancia de Event Hubs pueden comunicarse de forma eficaz y confiable a través de mensajes, mientras que se conserva la integridad del límite de aislamiento de red correspondiente.
Esto significa que sus soluciones confidenciales en la nube no solo obtienen acceso a las funcionalidades de mensajería asíncrona de Azure (líderes del sector en fiabilidad y escalabilidad), sino que también pueden usar la mensajería para crear rutas de comunicación entre compartimentos seguros de la solución, que son intrínsecamente más seguros de lo que se puede lograr con cualquier otro modo de comunicación entre iguales, incluyendo en protocolo HTTPS y los protocolos de socket protegidos por TLS.
Enlace de centros de eventos a redes virtuales
Las reglas de red virtual son la característica de seguridad del firewall que controla si el espacio de nombres de Azure Event Hubs acepta conexiones de una subred de red virtual determinada.
Enlazar un espacio de nombres de Event Hubs a una red virtual es un proceso de dos pasos. En primer lugar, debe crear un extremo de servicio de red virtual en la subred de una red virtual y habilitarlo para Microsoft.EventHub, como se explica en el artículo de información general del extremo de servicio. Una vez que haya agregado el punto de conexión de servicio, enlazará el espacio de nombres de Event Hubs a él con una regla de red virtual.
La regla de red virtual es la asociación del espacio de nombres de Event Hubs con una subred de una red virtual. Mientras la regla esté vigente, se concede acceso a todas las cargas de trabajo enlazadas a la subred al espacio de nombres de Event Hubs. Event Hubs nunca establece conexiones salientes, no necesita obtener acceso y, por tanto, nunca se le concede acceso a la subred habilitando esta regla.
Para más información, consulte Configuración de puntos de conexión de servicio de red virtual para un centro de eventos.
Puntos de conexión privados
El servicio Azure Private Link permite acceder a los servicios de Azure (por ejemplo, Azure Event Hubs, Azure Storage y Azure Cosmos DB) y a los servicios hospedados por clientes o asociados de Azure a través de un punto de conexión privado en la red virtual.
Un punto de conexión privado es una interfaz de red que le conecta de forma privada y segura a un servicio con la tecnología de Azure Private Link. El punto de conexión privado usa una dirección IP privada de la red virtual, lo que aporta eficazmente el servicio a la red virtual. Todo el tráfico dirigido al servicio se puede enrutar mediante el punto de conexión privado, por lo que no se necesita ninguna puerta de enlace, dispositivos NAT, conexiones de ExpressRoute o VPN ni direcciones IP públicas. El tráfico entre la red virtual y el servicio atraviesa la red troncal de Microsoft, eliminando la exposición a la red pública de Internet. Puede conectarse a una instancia de un recurso de Azure, lo que le otorga el nivel más alto de granularidad en el control de acceso.
Importante
Esta característica no se admite en el nivel Básico.
Para más información, consulte Configuración de puntos de conexión privados para un centro de eventos.
Pasos siguientes
Vea los artículos siguientes: