Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Este artigo descreve como usar os seguintes recursos de segurança com o Barramento de Serviço do Azure:
- Etiquetas de serviço
- Regras de firewall IP
- Pontos finais de serviço de rede
- Terminais privados
Etiquetas de serviço
Uma marca de serviço representa um grupo de prefixos de endereço IP de um determinado serviço do Azure. A Microsoft gerencia os prefixos de endereço incluídos pela etiqueta de serviço e atualiza automaticamente a etiqueta de serviço à medida que os endereços mudam, minimizando a complexidade das atualizações frequentes das regras de segurança de rede. Para obter mais informações sobre tags de serviço, consulte Visão geral de tags de serviço.
Pode utilizar etiquetas de serviço para definir controlos de acesso à rede em grupos de segurança de rede ou no Azure Firewall. Utilize etiquetas de serviço em vez de endereços IP específicos quando criar regras de segurança. Ao especificar o nome da etiqueta de serviço (por exemplo, ServiceBus) no campo de origem ou destino apropriado de uma regra, você pode permitir ou negar o tráfego para o serviço correspondente.
| Etiqueta de serviço | Propósito | Pode usar inbound ou outbound? | Pode ser regional? | Pode usar com o Firewall do Azure? |
|---|---|---|---|---|
| Barramento de serviço | Tráfego do Barramento de Serviço do Azure. | Direção exterior | Sim | Sim |
Observação
Anteriormente, as tags de serviço do Service Bus incluíam apenas os endereços IP dos namespaces na SKU premium . Isso agora foi atualizado para incluir os endereços IP de todos os namespaces, independentemente da SKU.
Firewall de IP
Por padrão, os namespaces do Service Bus são acessíveis pela Internet, desde que a solicitação seja fornecida com autenticação e autorização válidas. Com o firewall IP, você pode restringi-lo ainda mais a apenas um conjunto de endereços IPv4 ou intervalos de endereços IPv4 na notação CIDR (Roteamento entre Domínios sem Classe).
Esse recurso é útil em cenários nos quais o Barramento de Serviço do Azure só deve ser acessível a partir de certos sites bem conhecidos. As regras de firewall permitem configurar regras para aceitar tráfego originado de endereços IPv4 específicos. Por exemplo, se você usar o Service Bus com a Rota Expressa do Azure, poderá criar uma regra de firewall para permitir o tráfego somente de seus endereços IP de infraestrutura local ou endereços de um gateway NAT corporativo.
As regras de firewall IP são aplicadas no nível de namespace do Service Bus. Portanto, as regras se aplicam a todas as conexões de clientes usando qualquer protocolo suportado. Qualquer tentativa de conexão de um endereço IP que não corresponda a uma regra de IP permitida no namespace do Service Bus é rejeitada como não autorizada. A resposta não menciona a regra de IP. As regras de filtro IP são aplicadas em ordem e a primeira regra que corresponde ao endereço IP determina a ação de aceitação ou rejeição.
Para obter mais informações, consulte Como configurar o firewall IP para um namespace do Service Bus
Pontos finais de serviço de rede
A integração do Service Bus com pontos de extremidade de serviço de Rede Virtual (VNet) permite o acesso seguro a capacidades de mensagens a partir de cargas de trabalho (como máquinas virtuais) vinculadas a redes virtuais, com o caminho de tráfego de rede protegido em ambas as extremidades.
Uma vez configurado para ser vinculado a pelo menos um ponto de extremidade de serviço de sub-rede de rede virtual, o namespace respetivo do Service Bus não aceitará mais tráfego de qualquer lugar, exceto a(s) rede(s) virtual(is) autorizada(s). Do ponto de vista da rede virtual, vincular um namespace do Service Bus a um ponto de extremidade de serviço configura um túnel de rede isolado da sub-rede da rede virtual para o serviço de mensagens.
O resultado é uma relação privada e isolada entre as cargas de trabalho vinculadas à sub-rede e o respetivo namespace do Service Bus, apesar do endereço de rede observável do ponto de extremidade do serviço de mensagens estar em um intervalo de IP público.
Importante
As Redes Virtuais são suportadas apenas em namespaces do Service Bus do nível Premium.
Ao usar pontos de extremidade de serviço VNet com o Service Bus, você não deve habilitar esses pontos de extremidade em aplicativos que misturam namespaces do Service Bus de camada Standard e Premium. Porque a camada Standard não suporta VNets. O ponto de extremidade é restrito apenas a namespaces de camada Premium.
Cenários avançados de segurança habilitados pela integração de VNet
Soluções que exigem segurança apertada e compartimentada, e onde as sub-redes de rede virtual fornecem a segmentação entre os serviços compartimentados, geralmente ainda precisam de caminhos de comunicação entre os serviços que residem nesses compartimentos.
Qualquer rota IP imediata entre os compartimentos, incluindo aqueles que transportam HTTPS sobre TCP/IP, acarreta o risco de exploração de vulnerabilidades da camada de rede para cima. Os serviços de mensagens fornecem caminhos de comunicação completamente isolados, onde as mensagens são até mesmo gravadas em disco à medida que transitam entre as partes. As cargas de trabalho em duas redes virtuais distintas que estão vinculadas à mesma instância do Service Bus podem se comunicar de forma eficiente e confiável por meio de mensagens, enquanto a integridade do limite de isolamento de rede respetiva é preservada.
Isso significa que suas soluções de nuvem sensíveis à segurança não apenas obtêm acesso aos recursos de mensagens assíncronas confiáveis e escaláveis líderes do setor do Azure, mas agora podem usar mensagens para criar caminhos de comunicação entre compartimentos de solução seguros que são inerentemente mais seguros do que o que é possível alcançar com qualquer modo de comunicação ponto a ponto, incluindo HTTPS e outros protocolos de soquete protegidos por TLS.
Vincular o Service Bus a redes virtuais
As regras de rede virtual são o recurso de segurança de firewall que controla se o servidor do Barramento de Serviço do Azure aceita conexões de uma sub-rede de rede virtual específica.
Vincular um namespace do Service Bus a uma rede virtual é um processo de duas etapas. Primeiro, você precisa criar um ponto de extremidade de serviço de Rede Virtual numa sub-rede de Rede Virtual e habilitá-lo para Microsoft.ServiceBus, conforme explicado na visão geral dos pontos de extremidade de serviço. Depois de adicionar o ponto de extremidade de serviço, você vincula o namespace do Service Bus a ele com uma regra de rede virtual.
A regra de rede virtual é uma associação do namespace do Service Bus com uma sub-rede de rede virtual. Enquanto a regra existir, todas as cargas de trabalho vinculadas à sub-rede recebem acesso ao namespace do Service Bus. Service Bus em si nunca estabelece conexões de saída, não precisa obter acesso e, portanto, nunca recebe acesso à sua sub-rede ao habilitar esta regra.
Para mais informações, consulte Como configurar os endpoints de serviço da rede virtual para um namespace do Service Bus
Terminais privados
O Serviço de Link Privado do Azure permite ao utilizador aceder aos serviços do Azure (por exemplo, Barramento de Serviço do Azure, Armazenamento do Azure e Azure Cosmos DB) e aos serviços de cliente/parceiro hospedados pelo Azure através de um ponto de extremidade privado na sua rede virtual.
Um ponto final privado é uma interface de rede que o liga a um serviço de forma privada e segura com a tecnologia Azure Private Link. O ponto de extremidade privado usa um endereço IP privado da sua rede virtual, trazendo efetivamente o serviço para a sua rede virtual. Todo o tráfego para o serviço pode ser encaminhado através do ponto final privado, pelo que não são necessários gateways, dispositivos NAT, ligações ExpressRoute ou VPN nem endereços IP públicos. O tráfego entre a sua rede virtual e o serviço atravessa a rede de backbone da Microsoft, eliminando a exposição da Internet pública. Você pode se conectar a uma instância de um recurso do Azure, oferecendo o mais alto nível de granularidade no controle de acesso.
Para obter mais informações, consulte O que é o Azure Private Link?
Observação
Este recurso está disponível na camada premium do Barramento de Serviço do Azure. Para obter mais informações sobre o nível premium, consulte o artigo Níveis de Mensagens do Service Bus Premium e Standard.
Para obter mais informações, consulte Como configurar pontos de extremidade privados para um namespace do Service Bus
Próximos passos
Consulte os seguintes artigos: