Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo descreve como usar os seguintes recursos de segurança com os Hubs de Eventos do Azure:
- Etiquetas de serviço
- Regras de Firewall para IP
- Pontos de extremidade de serviço de rede
- Pontos de extremidade privados
Etiquetas de serviço
Uma marca de serviço representa um grupo de prefixos de endereço IP de um determinado serviço do Azure. A Microsoft gerencia os prefixos de endereço englobados pela marca de serviço e atualiza automaticamente a marca de serviço em caso de alteração de endereços, minimizando a complexidade de atualizações frequentes das regras de segurança de rede. Para saber mais sobre marcas de serviço, confira Visão geral das marcas de serviço.
Você pode usar marcas de serviço para definir os controles de acesso à rede em grupos de segurança de rede ou Firewall do Azure. Use marcas de serviço em vez de endereços IP específicos ao criar regras de segurança. Ao especificar o nome da marca de serviço (por exemplo, EventHub) no campo de origem ou destino apropriado de uma regra, você pode permitir ou negar o tráfego para o serviço correspondente.
| Etiqueta de serviço | Propósito | É possível usar entrada ou saída? | Pode ser regional? | É possível usar com o Firewall do Azure? |
|---|---|---|---|---|
EventHub |
Hubs de Eventos do Azure. | Saída | Sim | Sim |
Firewall de IP
Por padrão, os namespaces dos Hubs de Eventos são acessíveis da Internet, desde que a solicitação acompanhe autenticação e autorização válidas. Com o firewall de IP, você pode restringi-lo ainda mais a apenas um conjunto de endereços ou intervalos de endereços IPv4 ou IPv6 na notação CIDR (Roteamento Entre Domínios Sem Classe).
Esse recurso é útil em cenários em que os Hubs de Eventos do Azure só devem ser acessíveis em determinados sites conhecidos. As regras de firewall permitem que você configure regras para aceitar o tráfego proveniente de endereços IPv4 ou IPv6 específicos. Por exemplo, se você usar Os Hubs de Eventos com a Rota Expressa do Azure, poderá criar uma regra de firewall para permitir o tráfego somente de seus endereços IP de infraestrutura local.
As regras de firewall de IP são aplicadas no nível do namespace dos Hubs de Eventos. Portanto, as regras se aplicam a todas as conexões de clientes que usam qualquer protocolo com suporte. Qualquer tentativa de conexão de um endereço IP que não corresponda a uma regra de IP permitida no namespace dos Hubs de Eventos será rejeitada como não autorizada. A resposta não menciona a regra de IP. As regras de filtro IP são aplicadas na ordem e a primeira regra que corresponde ao endereço IP determina a ação de aceitar ou rejeitar.
Para obter mais informações, consulte Como configurar o firewall de IP para um hub de eventos.
Pontos de extremidade de serviço de rede
A integração dos Event Hubs com pontos de extremidade do serviço de Rede Virtual (rede virtual) permite acesso seguro às funcionalidades de mensagens a partir de cargas de trabalho, como máquinas virtuais vinculadas a redes virtuais, com o trajeto do tráfego de rede protegido em ambas as extremidades.
Assim que configurado para associar-se a pelo menos um ponto de extremidade de serviço de sub-rede da rede virtual, o respectivo namespace de Hubs de Eventos não aceitará mais tráfego de nenhum lugar, exceto das sub-redes autorizadas em redes virtuais. Da perspectiva da rede virtual, a associação de um namespace de Hubs de Eventos a um ponto de extremidade de serviço configura um túnel de rede isolado da sub-rede da rede virtual para o serviço de sistema de mensagens.
O resultado é um relacionamento privado e isolado entre as cargas de trabalho associadas à sub-rede e o respectivo namespace de Hubs de Eventos, apesar do endereço de rede observável do ponto de extremidade de serviço de mensagens estar em um intervalo de IP público. Porém há uma exceção a esse comportamento. Quando você habilita um ponto de extremidade de serviço, por padrão, o serviço habilita a regra denyall no firewall de IP associado à rede virtual. Você pode adicionar endereços IP específicos no firewall de IP para habilitar o acesso ao ponto de extremidade público dos Hubs de Eventos.
Importante
Não há suporte para esse recurso na camada de serviço básica.
Cenários avançados de segurança habilitados pela integração de rede virtual
Soluções que exigem segurança apertada e compartimentalizada e onde as sub-redes de rede virtual fornecem a segmentação entre os serviços compartimentalizados, ainda precisam de caminhos de comunicação entre os serviços que residem nesses compartimentos.
Qualquer rota IP imediata entre os compartimentos, incluindo as que transportam HTTPS sobre TCP/IP, acarreta o risco de exploração de vulnerabilidades da camada de rede para cima. Os serviços de mensagem fornecem caminhos de comunicação isolados, nos quais as mensagens são gravadas no disco a medida em que fazem a transição entre as partes. Cargas de trabalho em duas redes virtuais distintas associadas à mesma instância dos Hubs de Eventos podem se comunicar de forma eficiente e confiável por meio de mensagens, enquanto a respectiva integridade de limite de isolamento de rede é preservada.
Isso significa que as soluções na nuvem de segurança confidencial não apenas obtêm acesso aos recursos de mensagens assíncronas confiáveis e escalonáveis líderes do mercado do Azure, mas agora podem usar o sistema de mensagens para criar caminhos de comunicação entre compartimentos de solução protegidos que são inerentemente mais seguros que o modo de comunicação ponto a ponto, incluindo HTTPS e outros protocolos de socket protegidos por TLS.
Associar hubs de eventos a redes virtuais
As regras de rede virtual são o recurso de segurança de firewall que controla se o namespace dos Hubs de Eventos do Azure aceita conexões de uma sub-rede de rede virtual específica.
Associar um namespace dos Hubs de Eventos a uma rede virtual é um processo de duas etapas. Primeiro é necessário criar um ponto de extremidade de serviço de Rede Virtual em uma sub-rede de Rede Virtual e habilitá-lo para Microsoft.EventHub, conforme explicado no artigo visão geral do ponto de extremidade de serviço. Depois de adicionar o ponto de extremidade de serviço, você associa o namespace dos Hubs de Eventos a ele usando uma regra de rede virtual.
A regra de rede virtual é uma associação do namespace dos Hubs de Eventos com uma sub-rede de rede virtual. Embora a regra exista, todas as cargas de trabalho associadas à sub-rede recebem acesso ao namespace dos Hubs de Eventos. Os Hubs de Eventos nunca estabelecem conexões de saída, não precisam obter acesso e, portanto, nunca recebem acesso à sub-rede habilitando essa regra.
Para obter mais informações, confira Como configurar pontos de extremidade de serviço de rede virtual para um hub de eventos.
Pontos de extremidade privados
O serviço de Link Privado do Azure permite que você acesse os Serviços do Azure (por exemplo, Hubs de Eventos do Azure, Armazenamento do Azure e Azure Cosmos DB) e serviços de cliente/parceiro hospedados no Azure em um ponto de extremidade privado em sua rede virtual.
O ponto de extremidade privado é uma interface de rede que conecta você de forma privada e segura a um serviço com tecnologia do Link Privado do Azure. O ponto de extremidade privado usa um endereço IP privado da rede virtual, colocando efetivamente o serviço na sua rede virtual. Todo o tráfego para o serviço pode ser roteado por meio do ponto de extremidade privado; assim, nenhum gateway, nenhum dispositivo NAT, nenhuma conexão ExpressRoute ou VPN e nenhum endereço IP público é necessário. O tráfego entre sua rede virtual e o serviço percorre a rede de backbone da Microsoft, eliminando a exposição da Internet pública. Você pode se conectar a uma instância de um recurso do Azure, fornecendo o nível mais alto de granularidade no controle de acesso.
Importante
Não há suporte para esse recurso na camada de serviço básica.
Para obter mais informações, consulte Como configurar pontos de extremidade privados para um hub de eventos.
Próximas etapas
Veja os artigos a seguir: