White paper do suporte à Rede Virtual

Sua organização pode usar a Rede Virtual do Azure para garantir que seus serviços do Power Platform operem em um ambiente de rede seguro e controlado, reduzindo o risco de violações de dados e acesso não autorizado. Este white paper fornece uma análise aprofundada do suporte à Rede Virtual do Azure no Power Platform. Ele destaca os principais benefícios, descreve o processo de implementação e a arquitetura técnica, discute casos de uso do mundo real e oferece insights práticos de um estudo de caso bem-sucedido, tornando-se um recurso valioso para profissionais de TI e tomadores de decisão que buscam aprimorar a segurança de sua rede e os benefícios da eficiência operacional.

Principais benefícios

• Segurança aprimorada: hospede serviços do Power Platform em uma rede segura, protegendo dados confidenciais contra acesso não autorizado e possíveis violações.

• Conectividade aprimorada: estabeleça conexões seguras e confiáveis entre serviços do Power Platform e outros recursos do Azure, melhorando a conectividade geral.

• Gerenciamento de rede simplificado: simplifique o gerenciamento de rede com uma abordagem centralizada e consistente para configurar e gerenciar configurações de rede para serviços do Power Platform.

• Escalabilidade: dimensione serviços do Power Platform de forma eficiente, garantindo que os recursos de rede possam crescer de acordo com as necessidades do negócio.

• Conformidade: atenda aos requisitos normativos e de conformidade para segurança de rede e proteção de dados.

Tela de fundo

Microsoft Power Platform é uma plataforma líder de baixo código/sem código que capacita as pessoas a criar aplicativos, automatizar fluxos de trabalho e analisar dados, mesmo que não sejam desenvolvedores profissionais, para criar soluções personalizadas adaptadas às necessidades específicas do negócio, promovendo a inovação e aumentando a produtividade. O Power Platform abrange os seguintes serviços da Microsoft:

• O Dataverse serve como a plataforma de dados subjacente, fornecendo um ambiente seguro e escalável para armazenar e gerenciar dados.
• O Power Apps oferece uma interface amigável para a criação de aplicativos personalizados.
• O Power Automate oferece uma interface de arrastar e soltar para automatizar tarefas e fluxos de trabalho repetitivos.
• O Power BI oferece recursos avançados de visualização e análise de dados.
• O Power Pages oferece uma interface amigável para a criação de sites de nível profissional.
• O Copilot Studio facilita a criação de bots e agentes inteligentes sem conhecimento profundo de engenharia de IA.

A integração desses componentes com recursos do Azure usando redes virtuais aprimora a funcionalidade geral e a segurança do Power Platform. As redes virtuais fornecem um ambiente de rede seguro e isolado no qual os serviços do Power Platform podem operar, permitindo que sua organização controle e gerencie o tráfego de rede, garantindo que os dados sejam protegidos em conformidade com os requisitos regulatórios.

Segurança de rede e integração de rede virtual

A segurança da rede é um aspecto crítico de qualquer infraestrutura digital. Proteger o tráfego de saída dos serviços do Power Platform é essencial para evitar acesso não autorizado, violações de dados e outras ameaças à segurança. A integração de rede virtual desempenha um papel vital. Ao fornecer um caminho seguro para transmissão de dados, garantindo que todo o tráfego dos serviços do Power Platform seja roteado por meio de um ambiente de rede controlado e monitorado, ele reduz o risco de exposição a ameaças potenciais.

Ao implementar o suporte à Rede Virtual, sua organização pode aplicar políticas de segurança rígidas, monitorar o tráfego de rede e detectar quaisquer anomalias em tempo real. Esse nível de controle é crucial para manter a integridade e a confidencialidade dos dados sensíveis. Ao mesmo tempo, a integração da Rede Virtual simplifica a arquitetura geral da rede e melhora a confiabilidade ao permitir que os serviços do Power Platform se conectem perfeitamente com outros recursos do Azure.

Visão geral do suporte à Rede Virtual no Power Platform

O suporte à rede virtual é um aprimoramento significativo que traz segurança avançada e conectividade aprimorada para o Power Platform. As redes virtuais são um componente fundamental dos recursos de rede do Azure, permitindo que sua organização conecte serviços do Power Platform a recursos em suas redes privadas corporativas. Eles estabelecem comunicação segura entre serviços do Power Platform, outros recursos do Azure e redes, como serviços locais, bancos de dados, contas de armazenamento e um cofre de chaves.

Ao rotear todo o tráfego de saída dos serviços do Power Platform por meio de uma rede virtual, sua organização pode garantir que os dados sejam transmitidos com segurança e permaneçam protegidos contra acesso não autorizado. Uma rede virtual também melhora a conectividade ao fornecer um ambiente de rede confiável e consistente. Estabelecer conexões seguras entre serviços do Power Platform e outros recursos do Azure garante um fluxo de dados contínuo e um uso mais eficiente dos recursos de rede.

Nos bastidores

A infraestrutura do Power Platform consiste em uma camada de orquestração de contêineres sem servidor que executa cargas de trabalho com um limite de segurança rigoroso e garante disponibilidade e escalabilidade individuais no nível da carga de trabalho. A camada de orquestração de contêineres é usada para todas as cargas de trabalho que precisam de isolamento, incluindo conectores internos, como cargas de trabalho da Microsoft, e cargas de trabalho do cliente, como plug-ins.

A carga de trabalho em contêiner permite ao Power Platform dar suporte ao isolamento em nível de rede usando uma combinação de delegação de sub-rede do Azure e recursos de injeção de Rede Virtual. Com a injeção de Rede Virtual, um contêiner pode ser injetado em uma rede virtual anexando uma placa de interface de rede. Qualquer carga de trabalho em execução nesse contêiner é executada na rede do cliente e pode usar endereços IP privados dentro da rede. Cargas de trabalho de plug-in podem acessar serviços de usuário, recursos ou recursos do Azure com um link privado exposto à mesma rede virtual. Da mesma forma, uma carga de trabalho do conector pode acessar o recurso ou ponto de extremidade de destino dentro da mesma rede virtual.

Delegação de sub-rede Azure

O suporte à Rede Virtual para o Power Platform depende da delegação de sub-rede do Azure. As empresas delegam uma sub-rede para uso por serviços do Power Platform, como plug-ins e conectores do Dataverse, para processar solicitações no runtime. Os contêineres usam o endereço IP da sub-rede delegada para lidar com essas solicitações.

Como o contêiner opera dentro dos limites da sub-rede delegada e usa seu endereço IP, qualquer chamada de saída do contêiner permanece dentro dos limites da rede corporativa, ou seja, a chamada permanece na rede virtual que faz parte dessa sub-rede. Essa configuração permite que sua organização tenha controle total sobre as políticas, regras e pacotes de rede para contêineres. Você pode aplicar os mesmos controles à sub-rede delegada que aplica à sua própria rede.

O Power Platform não gerencia a configuração da sub-rede delegada. O único requisito é que a sub-rede delegada não possa ser usada para nenhum outro recurso ou delegada a outros serviços. Depois que uma sub-rede é delegada, os endereços IP dentro dessa sub-rede são reservados para o Power Platform.

O acesso à Internet a partir de contêineres é desativado por padrão. Se o código em execução em contêineres exigir acesso à Internet, você deverá configurar o Gateway da NAT do Azure na sub-rede delegada para permitir que os contêineres se conectem a recursos na Internet.

A tabela a seguir resume a propriedade da sub-rede delegada e os controles que estão disponíveis para clientes e para a Microsoft.

Arquitetura técnica

O diagrama a seguir da arquitetura técnica de uma solução do Power Platform mostra como componentes como fontes de dados, conectores, serviços e aplicativos interagem e se integram à solução. O diagrama destaca o uso de redes virtuais para aumentar a segurança e a conectividade, permitindo que os serviços do Power Platform se conectem a recursos privados e protegidos sem expô-los à Internet. A arquitetura demonstra como as solicitações de execução são roteadas para contêineres na rede virtual, mantendo os limites de isolamento dos contêineres.

Em uma configuração de Rede Virtual, o contêiner que executa o plug-in ou conector faz parte da rede virtual da organização. A comunicação com os pontos finais na rede virtual permanece dentro dos limites da rede virtual. Você pode estender o limite para outras redes virtuais ou locais usando o emparelhamento de rede virtual e o ExpressRoute ou Gateway de VPN.

Os componentes do Power Platform em uma carga de trabalho em contêiner de uma rede virtual devem ser capazes de se comunicar com outros componentes na carga de trabalho. Por exemplo, o Power Platform pode precisar acionar um plug-in ou chamar um conector na carga de trabalho.

Como o contêiner não está diretamente conectado à infraestrutura de rede principal, um caminho de comunicação especial, ou canal, é estabelecido entre o contêiner e a camada de orquestração. O canal usa um endereço IP local especial, chamado endereço APIPA, para enviar instruções ou sinais específicos para a carga de trabalho em execução dentro do contêiner. Somente certos tipos de mensagens podem chegar à carga de trabalho, garantindo que o contêiner e sua carga de trabalho permaneçam seguros e isolados.

O diagrama a seguir ilustra como os contêineres são isolados uns dos outros e do sistema host usando redes virtuais que roteiam solicitações de execução para os contêineres, mantendo os limites de isolamento.

Ativa o suporte à Rede Virtual para o Power Platform

Siga as instruções em Configurar suporte de Rede Virtual para o Power Platform.

Casos de uso comuns e exemplos do mundo real

Nesta seção, você aprenderá sobre casos de uso comuns para redes virtuais com soluções do Power Platform. Você também explora exemplos reais de como vários setores se beneficiaram ao usá-los.

Casos de uso

Integração segura de dados: sua organização pode usar o suporte da Rede Virtual para conectar-se com segurança a serviços do Power Platform para suas fontes de dados privadas, como Banco de Dados SQL do Azure, Armazenamento do Azure e recursos locais. Uma rede virtual garante que os dados permaneçam dentro dos limites da rede da organização e não sejam expostos à internet pública.

Pontos de extremidade privados para conectores: os conectores do Power Platform podem usar o suporte de rede virtual para estabelecer pontos de extremidade privados para comunicações seguras. A rede privada elimina a necessidade de endereços IP públicos e reduz o risco de violações de dados.

Integrações do Copilot Studio seguras: você pode usar o suporte de Rede Virtual com os conectores do Power Platform no Copilot Studio para estabelecer conectividade segura com fontes de dados. A rede privada elimina os riscos associados à exposição das fontes de dados à internet pública e atenua os riscos de exfiltração de dados.

Exemplos do mundo real

Organizações de todos os setores podem se beneficiar do suporte da Rede Virtual para o Power Platform. Ao conectar com segurança com serviços do Power Platform a fontes de dados privadas, as organizações podem aprimorar sua postura de segurança, melhorar a conectividade e garantir a conformidade com os requisitos regulatórios.

Instituições financeiras: um grande banco pode usar uma rede virtual para conectar com segurança as soluções do Power Platform e aplicativos do Dynamics 365 aos seus bancos de dados e serviços protegidos. Essa configuração permite que o banco crie fluxos de trabalho seguros e automatize processos sem expor informações confidenciais à internet pública, garantindo que os dados do cliente estejam protegidos e em conformidade com os requisitos regulatórios.

Prestadores de serviços de saúde: uma organização de saúde pode usar uma rede virtual para conectar soluções do Power Platform e aplicativos do Dynamics 365 aos seus sistemas de registros eletrônicos de saúde. A rede privada pode ser usada para acesso seguro aos dados do paciente e para criar canais de comunicação seguros entre departamentos e entre o provedor e parceiros externos.

Empresas de varejo: uma empresa de varejo pode usar uma rede virtual para conectar com segurança soluções do Power Platform e aplicativos do Dynamics 365 aos seus sistemas de gerenciamento de estoque e bancos de dados de clientes. As conexões privadas permitem que a empresa simplifique as operações, melhore o rastreamento de estoque e aprimore o atendimento ao cliente, garantindo que os dados confidenciais permaneçam protegidos.

Agências governamentais: agências governamentais podem usar uma rede virtual para conectar com segurança soluções do Power Platform e aplicativos do Dynamics 365 aos seus sistemas e bancos de dados internos. Conexões privadas permitem que agências automatizem processos, melhorem o compartilhamento de dados e aprimorem a colaboração, mantendo padrões rígidos de segurança e conformidade.

Padrões de integração

Os tipos de cargas de trabalho que você deseja executar em um ambiente determinam o padrão de integração para o Power Platform. Você pode usar o suporte à Rede Virtual para o Power Platform como um padrão de integração em seu ambiente com algumas exceções.

Cargas de trabalho de API: se você pretende executar cargas de trabalho de API, como plug-ins, conectores ou pontos de extremidade de serviço, uma rede virtual é a única maneira suportada de integrá-los com segurança às fontes de dados dentro da sua rede. As redes virtuais não oferecem suporte a um subconjunto de conectores que têm requisitos de driver que não são da Microsoft ou que usam autenticação do Windows. Esses conectores não são amplamente utilizados e devem usar um gateway de dados local em vez de uma rede virtual. Os seguintes plug-ins e conectores estão disponíveis ao público geral para uso em uma rede virtual:

• Plug-ins do Dataverse
• Conectores personalizados
• Armazenamento de Blobs do Azure
• Armazenamento de Arquivos do Azure
• Azure Key Vault
• Filas do Azure
• SQL Data Warehouse do Azure
• HTTP com o Microsoft Entra ID (pré-autorizado)
• SQL Server

Cargas de trabalho ETL: extraia, transforme, carregue (ETL) cargas de trabalho no Power BI e em Fluxos de dados do Power Platform usando gateways de dados de rede virtual.

O diagrama a seguir ilustra os padrões de integração para cargas de trabalho de API e ETL.

Considerações de configuração

Tenha as seguintes considerações em mente ao configurar o suporte de Rede Virtual para o Power Platform.

Regiões e locais

Sub-redes delegadas em regiões do Azure devem corresponder ao local do ambiente do Power Platform. Por exemplo, se o seu ambiente do Power Platform estiver nos Estados Unidos, cada uma das duas redes virtuais e sub-redes deverá estar nas regiões eastus e westus do Azure. Confira a lista de regiões com suporte e mapeamentos de localização para obter as informações mais recentes sobre regiões e locais do Azure.

Se os seus recursos do Azure estiverem em regiões diferentes do Azure, você ainda deverá implantar suas redes virtuais para ambientes do Power Platform no local apropriado do Azure para cada ambiente. Use o emparelhamento de rede virtual ou uma opção de conectividade semelhante com alta velocidade e baixa latência para conectar os recursos às suas redes virtuais. A rede global da Microsoft oferece várias opções para estabelecer conectividade entre a rede virtual do Power Platform e sua rede virtual corporativa.

Tamanho da sub-rede

O tamanho da sub-rede delegada em uma rede virtual deve acomodar o crescimento futuro no uso e a adição de novos serviços. O dimensionamento adequado da sub-rede garante que as solicitações não sejam limitadas. Para obter mais informações sobre o dimensionamento da sua sub-rede, acesse Estimativa do tamanho da sub-rede para ambientes do Power Platform.

Gateway da NAT do Azure

O Gateway da NAT do Azure usa a tradução de endereços de rede (NAT) para permitir que contêineres em uma sub-rede delegada se conectem com segurança aos recursos da Internet, traduzindo os endereços IP privados de instâncias de contêiner para um endereço IP público estático. Endereços IP estáticos permitem conexões de saída consistentes e seguras.

Se sua organização implementar o suporte à Rede Virtual em um ambiente sem migrar todas as fontes de dados para a rede privada, você deve configurar o Gateway da NAT do Azure. É necessário evitar interrupções em integrações existentes que exigem acesso a recursos da Internet, permitindo que você faça a transição de suas integrações para a Rede Virtual sem afetar as cargas de trabalho atuais.

Monitoramento de rede

O monitoramento de rede rastreia e analisa o fluxo de tráfego na sub-rede delegada, o que é essencial para identificar e resolver possíveis problemas. Ao fornecer insights sobre o desempenho e a integridade dos componentes da rede, o monitoramento ajuda a garantir que a rede esteja operando de forma eficiente e segura. As ferramentas de monitoramento podem detectar anomalias, como padrões de tráfego incomuns ou tentativas de acesso não autorizado, permitindo intervenção e mitigação oportunas.

Grupos de segurança de rede

Os grupos de segurança de rede (NSGs) permitem que você defina regras de segurança que controlam o tráfego de entrada e saída dos seus recursos do Azure. Ao delegar uma sub-rede, você pode configurar NSGs para garantir que somente tráfego autorizado seja permitido, ajudando a manter a segurança e a integridade da sua rede. Os NSGs podem ser aplicados a sub-redes e interfaces de rede individuais, fornecendo flexibilidade no gerenciamento de tráfego em diferentes níveis.

Melhores práticas para proteger conexões de saída de serviços do Power Platform

As melhores práticas a seguir ajudam a proteger conexões de saída de serviços do Power Platform, o que é crucial para mitigar riscos de exfiltração de dados e garantir a conformidade com as políticas de segurança.

• Restringir o tráfego de saída: limite o tráfego de saída de recursos do Power Platform para pontos de extremidade específicos. Use grupos de segurança de rede e o Firewall do Azure para impor regras de tráfego e controlar o acesso.

• Usar pontos de extremidade privados: use pontos de extremidade privados para comunicação segura entre serviços do Power Platform e recursos do Azure. Os pontos de extremidade privados garantem que o tráfego permaneça dentro da rede do Azure e não atravesse a Internet pública.

• Monitore e audite o tráfego: use o Observador de Rede do Azure e o Microsoft Sentinel para monitorar e auditar o tráfego de saída dos serviços do Power Platform para ajudar você a identificar e responder a potenciais ameaças de segurança em tempo real.

• Aplicar políticas de segurança: aplique políticas de segurança usando o Azure Policy e o Firewall do Azure para garantir que todas as conexões de saída estejam em conformidade com os requisitos de segurança da sua organização. Para controlar o fluxo de dados, aplique políticas de prevenção contra perda de dados e filtragem de ponto de extremidade aos conectores.

Exemplos de Configurações de Rede Virtual

Nesta seção, fornecemos configurações de exemplo para suporte de Rede Virtual no Power Platform. Essas configurações ilustram como configurar redes virtuais e sub-redes para diferentes cenários, garantindo conectividade segura entre serviços do Power Platform e recursos do Azure.

Quando seus recursos do Azure estão em uma região do Azure emparelhada e o ambiente do Power Platform está nos Estados Unidos

Neste cenário, fazemos as seguintes suposições:

• Seu ambiente do Power Platform está localizado nos Estados Unidos.
• A região do Azure para a rede virtual está definida como Oeste dos EUA e Leste dos EUA.
• Seus recursos empresariais estão em uma rede virtual, VNET1, na região Oeste dos EUA.

A seguinte configuração mínima é necessária para configurar o suporte à Rede Virtual neste cenário:

1. Crie uma rede virtual, VNet1, no Oeste dos EUA e configure sub-redes para delegação.
2. Crie uma segunda rede virtual, VNet2, no Leste dos EUA e configure sub-redes para delegação.
3. Estabeleça uma conexão de emparelhamento entre VNet1 e VNet2.
4. Configure a integração de Rede Virtual do Power Platform para os ambientes desejados usando as sub-redes criadas nas etapas 1 e 2.

Quando seus recursos do Azure estão em uma região do Azure Central dos EUA e o ambiente do Power Platform está nos Estados Unidos

Neste cenário, fazemos as seguintes suposições:

• Seu ambiente do Power Platform está localizado nos Estados Unidos.
• A região primária e de failover do Azure para a rede virtual é definida como Oeste dos EUA e Leste dos EUA, respectivamente.
• Seus recursos empresariais estão em uma rede virtual, VNet1, na região Central dos EUA.

A seguinte configuração mínima é necessária para configurar o suporte à Rede Virtual neste cenário:

1. Crie uma rede virtual, VNet2, no Oeste dos EUA e configure sub-redes para delegação.
2. Crie outra rede virtual, VNet3, no Leste dos EUA e configure sub-redes para delegação.
3. Estabeleça uma conexão de emparelhamento entre VNet1 e VNet2.
4. Estabeleça uma conexão de emparelhamento entre VNet1 e VNet3.
5. Configure a integração de Rede Virtual do Power Platform para os ambientes desejados usando as sub-redes criadas nas etapas 1 e 2.

Estudo de caso

O estudo de caso a seguir ilustra como um cliente da Microsoft implementou com sucesso o suporte à rede virtual para o Power Platform para aumentar a segurança e a conectividade, garantindo ao mesmo tempo a conformidade com os requisitos regulatórios.

Uma empresa aprimora sua agilidade empresarial com IA generativa e integração segura usando a Rede Virtual do Azure

Para explorar casos de uso práticos e comerciais para IA generativa, nosso cliente realizou um hackathon. O evento reuniu vários desenvolvedores cidadãos, que construíram um protótipo de sucesso em apenas um mês usando o Power Platform e Serviços de IA do Azure. O hackathon não apenas mostrou o potencial da IA generativa, mas também forneceu uma valiosa experiência prática aos participantes, fomentando a inovação e a colaboração dentro da organização.

Desafios do cliente: a transição do protótipo para a produção apresentou desafios significativos. O principal obstáculo foi estabelecer uma arquitetura de rede privada segura no Power Platform e no Azure que cumprisse as rigorosas políticas de segurança interna da empresa. Garantir a privacidade e a segurança dos dados, mantendo a agilidade e a escalabilidade, foi fundamental para o cliente.

Solução: o cliente usou a delegação de sub-rede do Azure, em outras palavras, uma rede virtual, com um ambiente gerenciado para estabelecer uma arquitetura de rede privada entre o Power Platform e os recursos privados do Azure. Usando essa arquitetura, o cliente conectou com segurança seus aplicativos do Power Platform aos serviços do Azure sem expor dados confidenciais à Internet pública.

Benefícios: a implementação desta solução trouxe vários benefícios principais.

• O cliente criou uma base de integração segura e ágil entre o Power Platform e o Azure, acelerando a concretização do valor de negócios. A integração permitiu um fluxo de dados perfeito e melhor colaboração entre departamentos.

• A nova arquitetura eliminou custos e limitações associados aos gateways de dados locais. Ao evitar a necessidade de infraestrutura local, o cliente pode reduzir as despesas operacionais e simplificar a manutenção.

• O cliente agora está pronto para integrar outras fontes de dados internas, como Amazon Web Services privadas e APIs locais, por meio desta plataforma com Azure ExpressRoute. A expansão permite que o cliente use um intervalo mais amplo de dados e serviços, gerando mais inovação e eficiência.

Conclusão

Neste white paper, exploramos vários aspectos da integração do suporte à Rede Virtual com o Power Platform. Discutimos os benefícios de segurança do uso de uma rede virtual, como proteger dados confidenciais contra acesso não autorizado e garantir comunicação segura entre serviços do Power Platform e recursos privados. Discutimos casos de uso comuns e exemplos do mundo real, fornecemos padrões de integração para diferentes cenários e oferecemos considerações para configurar o suporte à Rede Virtual. Compartilhamos as melhores práticas para proteger conexões de saída de serviços do Power Platform, incluindo:

• Restringindo o tráfego de saída
• Usando pontos de extremidade privados e delegação de sub-rede
• Monitoramento e auditoria de tráfego
• Aplicando políticas de segurança

Por fim, examinamos um estudo de caso de um cliente da Microsoft que implementou com sucesso o suporte à Rede Virtual para o Power Platform para aumentar a segurança e a conectividade, garantindo ao mesmo tempo a conformidade com os requisitos regulatórios.

O suporte à Rede Virtual do Power Platform é um recurso crucial que permite que as organizações aprimorem a segurança da rede, otimizem a conectividade e garantam a conformidade com os requisitos normativos. As organizações que usam o suporte de Rede Virtual podem conectar com segurança os serviços do Power Platform às suas fontes de dados privadas, eliminando os riscos associados à exposição dessas fontes à Internet pública.

Conteúdo relacionado

• Visão geral do suporte à Rede Virtual
• Configurar suporte à Rede Virtual do Azure para o Power Platform
• O que é delegação de sub-rede?
• Noções Básicas sobre os Preços de Rede do Azure
• Solucionar problemas de Rede Virtual