Acesso seguro do Power Platform a recursos dentro de sua rede virtual

O Power Platform oferece suporte ao uso da Rede Virtual do Azure para acessar recursos dentro de sua rede virtual sem expô-los à Internet pública.

Diagrama da arquitetura

Workflow

As etapas a seguir descrevem o fluxo de trabalho mostrado no exemplo de diagrama de arquitetura:

1. Aplicativo de gerenciamento de casos: um aplicativo baseado em modelo ou em tela do Power Apps usa um conector personalizado do Power Platform para acessar um banco de dados back-end ou serviço hospedado no Azure. A configuração é gerenciada no nível do ambiente para se conectar a uma rede virtual específica do Azure, conforme necessário. Por exemplo, o ambiente de desenvolvimento pode não precisar usar uma rede virtual, mas o de teste e a produção precisam.

2. Solicitação de pesquisa: uma solicitação de pesquisa do aplicativo usa um conector personalizado do Power Platform para acessar a API de back-end hospedada no Azure.

3. Solicitar autorização: a API de back-end é protegida pelo Microsoft Entra ID e o Microsoft Entra ID autentica o usuário no aplicativo. O conector usa o OAuth para autorizar o acesso do usuário à API de back-end. O conector obtém a ID do cliente e o segredo de um Azure Key Vault usando variáveis de ambiente do Power Platform.

4. Acesso à rede: a API de back-end está hospedada em uma rede virtual do Azure e não permite acesso à rede pública. A rede virtual delega uma sub-rede para o ambiente do Power Platform, permitindo que a solicitação e a resposta da API percorra a rede sem usar a rede pública do Azure.

5. Pesquisa de API de back-end: a API de back-end recebe a solicitação de pesquisa e executa uma pesquisa de banco de dados no contexto do usuário que fez a solicitação.

Componentes

Ambiente do Power Platform: contém recursos do Power Platform. O ambiente é o limite para acesso e segurança de dados. Os ambientes do Power Platform podem ser configurados para usar a integração de Rede Virtual do Azure, que permite que os recursos do Power Platform se comuniquem com recursos do Azure em uma rede virtual.

O Power Apps: implementa a experiência do usuário da solução. Os usuários entram em um aplicativo baseado em modelo e de tela usando o Microsoft Entra ID.

Conectores personalizados do Power Platform: defina as operações que estão disponíveis para aplicativos do Power Platform usando serviços aos quais eles se conectam.

Rede Virtual do Azure: oferece suporte à conectividade híbrida com recursos de rede local e outros recursos de rede do Azure para fornecer uma rede virtual na nuvem. As redes virtuais podem delegar uma sub-rede a recursos do Power Platform, permitindo que recursos doPower Platform e do Azure interajam em uma rede privada sem enviar tráfego por redes públicas.

O Azure Key Vault: armazena as credenciais necessárias para se conectar a APIs de back-end usando o OAuth. Semelhante às APIs de back-end, os recursos do Power Platform acessam o Azure Key Vault por meio da rede virtual.

Detalhes do cenário

Organizações com altas necessidades de segurança devem garantir uma comunicação segura entre sistemas internos e serviços de nuvem. Use os controles de segurança disponíveis e integre redes virtuais entre os recursos do Power Platform e do Azure como parte da arquitetura da solução.

A implementação de controles de segurança de rede entre componentes de aplicativos geralmente apresenta desafios, especialmente quando eles estão em diferentes níveis de abstração de tecnologia. Com a Rede Virtual do Azure, você pode criar soluções com componentes do Power Platform e do Azure sem a complexidade de uma solução típica de várias redes. A arquitetura de exemplo usa a delegação de sub-rede de rede virtual para permitir que os recursos do Power Platform e do Azure trabalhem juntos em soluções que usam os pontos fortes de ambos os produtos sem comprometer a simplicidade e a segurança.

Considerações

Essas considerações implementam os pilares do Well-Architected para Power Platform, um conjunto de princípios orientadores que melhoram a qualidade de uma carga de trabalho. Saiba mais em Well-Architected para Microsoft Power Platform.

Confiabilidade

Redundância: a infraestrutura do Power Platform é criada para usar uma região primária e uma região de failover sem ação explícita do cliente. Por exemplo, se o seu ambiente do Power Platform estiver no Oeste dos EUA, a região de failover será Leste dos EUA. Para obter a melhor resiliência, configure uma rede virtual em ambas as regiões pareadas do Azure e estabeleça uma conexão de peering entre elas. Essa configuração permite um failover perfeito dos recursos do Azure em caso de desastre. Saiba mais em Continuidade dos negócios e recuperação de desastres e Cenários de exemplo para instalação e configuração de Rede Virtual.

Segurança

Controle de acesso a dados: as APIs, o armazenamento de dados e outros recursos Azure da solução são isolados e acessíveis somente de aplicativos em execução no ambiente do Power Platform conectado à rede virtual.

Segmentação intencional e perímetros: a integração da Rede Virtual do Azure permite que os recursos do Power Platform e do Azure se comuniquem de forma segura, isolados de outras interferências da rede em nuvem. Essa configuração impede que ambientes de nível inferior, como ambientes de desenvolvimento, se conectem acidentalmente a recursos de teste ou produção do Azure, ajudando a manter um ciclo de vida de desenvolvimento seguro. Com a rede virtual configurada em um ambiente do Power Platform, você controla o tráfego de saída do Power Platform. Saiba mais em Melhores práticas para proteger conexões de saída de serviços do Power Platform.

Criptografia: os dados que passam dos serviços do Power Platform para o Azure na rede virtual não percorrem a internet pública.

Excelência Operacional

Gerenciamento do Ciclo de Vida do Aplicativo (ALM): a integração é configurada no nível do ambiente do Power Platform. As redes virtuais Azure correspondentes compõem uma zona de destino completa para toda a solução e podem isolar o desenvolvimento, o teste e a produção ou estágios específicos do ciclo de vida nos processos de ALM da sua organização.

Eficiência de Desempenho

Coletar dados de desempenho: o serviço do Azure Monitor coleta e agrega métricas e logs de todos os componentes do sistema, fornecendo uma visão de disponibilidade, desempenho e resiliência. Saiba mais em Rede Virtual do Monitor Azure.

Colaboradores

Microsoft mantém este artigo. Os colaboradores a seguir escreveram este artigo.

Principais autores:

• Rahul Kannathusseril, Gerente Principal de Programas
• Henry Luo, Gerente de Programas Sênior

Próximas etapas

Siga estas etapas de alto nível para criar uma solução completa:

1. Configurar suporte à Rede Virtual do Power Platform.

2. Crie uma API REST hospedada no Azure usando sua técnica preferida. Proteja a API com o Microsoft Entra ID. Saiba mais em Configurar o aplicativo Serviço de Aplicativo ou o aplicativo Azure Functions para usar a entrada do Microsoft Entra.

3. Criar variáveis de ambiente do Power Platform para manter o ID do cliente e o segredo do Azure Key Vault. Saiba mais em Usar variáveis de ambiente para segredos do Azure Key Vault.

4. Criar um conector personalizado para sua API. Introdução a um tutorial.

5. Defina o conector personalizado para usar o OAuth 2.0 com Azure Active Directory (Microsoft Entra ID) e ative o suporte à entidade de serviço.

   

6. Configure o ID do cliente e o segredo do cliente para usar os valores das variáveis de ambiente que você criou na etapa 2.

   

7. Crie um aplicativo de tela no Power Apps para fornecer uma interface de pesquisa.

Recursos relacionados

• White paper do suporte à Rede Virtual
• Recomendações de segurança do Well-Architected para Power Platform
• Usar variáveis de ambiente em soluções de conectores personalizados