Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo descreve como aproveitar os recursos de segurança específicos oferecidos pelo Barramento de Serviço do Azure.
- Etiquetas de serviço
- Regras de Firewall para IP
- Pontos de extremidade de serviço de rede
- Pontos de extremidade privados
Etiquetas de serviço
Uma marca de serviço representa um grupo de prefixos de endereço IP de um determinado serviço do Azure. A Microsoft gerencia os prefixos de endereço englobados pela marca de serviço e atualiza automaticamente a marca de serviço em caso de alteração de endereços, minimizando a complexidade de atualizações frequentes das regras de segurança de rede. Para saber mais sobre marcas de serviço, confira Visão geral das marcas de serviço.
Você pode usar marcas de serviço para definir os controles de acesso à rede em grupos de segurança de rede ou Firewall do Azure. Use marcas de serviço em vez de endereços IP específicos ao criar regras de segurança. Ao especificar o nome da marca de serviço (por exemplo, ServiceBus) no campo de origem ou destino apropriado de uma regra, você pode permitir ou negar o tráfego para o serviço correspondente.
| Etiqueta de serviço | Propósito | É possível usar entrada ou saída? | Pode ser regional? | É possível usar com o Firewall do Azure? |
|---|---|---|---|---|
| ServiceBus | Tráfego do Azure Service Bus. | Saída | Sim | Sim |
Observação
Anteriormente, as marcas de serviço do Barramento de Serviço incluíam apenas os endereços IP dos namespaces no SKU premium. Agora, isso foi atualizado para incluir os endereços IP de todos os namespaces, independentemente da SKU.
Firewall de IP
Por padrão, os namespaces do Barramento de Serviço são acessíveis da Internet, desde que a solicitação venha com autenticação e autorização válidas. Com o firewall de IP, você pode restringir ainda mais a um conjunto de endereços IPv4 ou intervalos de endereços IPv4 na notação CIDR (roteamento entre domínios sem classificação).
Esse recurso é útil em cenários nos quais o Barramento de Serviço do Azure deve ser acessível apenas através de determinados sites conhecidos. As regras de firewall permitem que você configure regras para aceitar o tráfego originado de endereços IPv4 específicos. Por exemplo, se usar o Barramento de Serviço com o Azure ExpressRoute, crie uma regra de firewall para permitir o tráfego apenas de seus endereços IP da infraestrutura local ou de endereços de um gateway da NAT corporativo.
As regras de firewall de IP são aplicadas no nível de namespace do Barramento de Serviço. Portanto, as regras se aplicam a todas as conexões de clientes que usam qualquer protocolo com suporte. Qualquer tentativa de conexão de um endereço IP que não corresponda a uma regra IP permitida no namespace do Barramento de Serviço será rejeitada como não autorizada. A resposta não menciona a regra de IP. As regras de filtro IP são aplicadas na ordem e a primeira regra que corresponde ao endereço IP determina a ação de aceitar ou rejeitar.
Para saber mais, confira Como configurar o firewall de IP para um namespace do Barramento de Serviço
Pontos de extremidade de serviço de rede
A integração de Barramento de Serviço com Pontos de extremidade de serviço de VNet (Rede Virtual do Microsoft Azure) permite acesso seguro a recursos de mensagens de cargas de trabalho, como máquinas virtuais associadas a redes virtuais, com o caminho de tráfego de rede sendo protegido em ambas as extremidades.
Após ser configurado para associar-se a pelo menos um ponto de extremidade de serviço de sub-rede da rede virtual, o respectivo namespace do Barramento de Serviço não aceitará mais tráfego de nenhum lugar, exceto das redes virtuais autorizadas. Da perspectiva da rede virtual, associar um namespace do Service Bus a um endpoint de serviço configura um túnel de rede isolado da sub-rede da rede virtual para o serviço de mensagens.
O resultado é um relacionamento privado e isolado entre as cargas de trabalho associadas à sub-rede e o respectivo namespace do Barramento de Serviço, apesar do endereço de rede observável do ponto de extremidade de serviço de mensagens estar em um intervalo de IP público.
Importante
As redes virtuais têm suporte apenas em namespaces do Barramento de Serviço camada Premium.
Ao usar pontos de extremidade de serviço de VNet com o Barramento de Serviço você não deve habilitar esses pontos de extremidade em aplicativos que combinam os namespaces do Barramento de Serviço de camada Standard e Premium. Como a camada Standard não dá suporte a VNets. O ponto de extremidade é restrito apenas aos namespaces da camada Premium.
Cenários de segurança avançados habilitados pela integração da VNet
Soluções que exigem segurança compartimentada e restrita, e onde as sub-redes da rede virtual fornecem a segmentação entre os serviços compartimentados, geralmente ainda precisam de caminhos de comunicação entre os serviços que residem nesses compartimentos.
Qualquer rota IP imediata entre os compartimentos, incluindo as que transportam HTTPS sobre TCP/IP, acarreta o risco de exploração de vulnerabilidades da camada de rede para cima. Os serviços de mensagens fornecem caminhos de comunicação completamente isolados, em que as mensagens são até gravadas em disco à medida que fazem a transição entre as partes. Cargas de trabalho em duas redes virtuais distintas que estão associadas à mesma instância do Barramento de Serviço podem comunicar-se de maneira eficiente e confiável por meio de mensagens, enquanto a integridade de limite de isolamento da respectiva rede é preservada.
Isso significa que as soluções na nuvem de segurança confidencial não apenas obtêm acesso aos recursos de mensagens assíncronas confiáveis e escalonáveis líderes do mercado do Azure, mas agora podem usar o sistema de mensagens para criar caminhos de comunicação entre compartimentos de solução protegidos que são inerentemente mais seguros que o modo de comunicação ponto a ponto, incluindo HTTPS e outros protocolos de socket protegidos por TLS.
Associar o Barramento de Serviço a redes virtuais
As regras da rede virtual são o recurso de segurança do firewall que controla se o servidor de Barramento de Serviço do Azure aceita conexões de uma sub-rede de rede virtual específica.
Associar um namespace do Barramento de Serviço a uma rede virtual é um processo de duas etapas. Primeiro é necessário criar um ponto de extremidade de serviço de Rede Virtual em uma sub-rede de Rede Virtual e habilitá-lo para Microsoft.ServiceBus, conforme explicado na visão geral do ponto de extremidade de serviço. Após adicionar o ponto de extremidade de serviço, associe o namespace do Barramento de Serviço ao ponto de extremidade com uma regra de rede virtual.
A regra de rede virtual é uma associação do Service Bus namespace com uma sub-rede de rede virtual. Embora a regra exista, todas as cargas de trabalho associadas à sub-rede recebem acesso ao namespace do Barramento de Serviço. Service Bus nunca estabelece conexões de saída, não precisa obter acesso e, portanto, nunca recebe acesso à sua sub-rede ao ativar esta regra.
Para saber mais, confira Como configurar pontos de extremidade do serviço de rede virtual para um namespace do Barramento de Serviço
Pontos de extremidade privados
O Serviço de Link Privado do Azure permite acessar os Serviços do Azure (por exemplo, o Barramento de Serviço do Azure, o Armazenamento do Azure e o Azure Cosmos DB) e serviços de parceiros/clientes hospedados no Azure em um ponto de extremidade privado da sua rede virtual.
O ponto de extremidade privado é uma interface de rede que conecta você de forma privada e segura a um serviço com tecnologia do Link Privado do Azure. O ponto de extremidade privado usa um endereço IP privado de sua VNet, colocando efetivamente em sua VNet. Todo o tráfego para o serviço pode ser roteado por meio do ponto de extremidade privado; assim, nenhum gateway, nenhum dispositivo NAT, nenhuma conexão ExpressRoute ou VPN e nenhum endereço IP público é necessário. O tráfego entre sua rede virtual e o serviço percorre a rede de backbone da Microsoft, eliminando a exposição da Internet pública. Você pode se conectar a uma instância de um recurso do Azure, fornecendo o nível mais alto de granularidade no controle de acesso.
Para obter mais informações, confira O que é o Link Privado do Azure?
Observação
Esse recurso é compatível com a camada Premium do Barramento de Serviço do Azure. Para saber mais sobre a camada Premium, confira Camadas de mensagens Premium e Standard do Barramento de Serviço.
Para saber mais, confira Como configurar pontos de extremidade privados para um namespace do Barramento de Serviço
Próximas etapas
Veja os artigos a seguir: