组织可以使用 Azure 虚拟网络来确保其 Power Platform 服务在安全且受控的网络环境中运行,从而降低数据泄露和未经授权的访问的风险。 本白皮书对 Azure 虚拟网络支持进行了深入分析 Power Platform。 它强调了主要优势,概述了实施过程和技术架构,讨论了现实世界的用例,并提供了成功案例研究的实用见解,使其成为希望增强网络安全和运营效率优势的 IT 专业人员和决策者的宝贵资源。
关键优势
增强的安全性:在安全网络中托管 Power Platform 服务,保护敏感数据免遭未经授权的访问和潜在的破坏。
增强连接性:在 Power Platform 服务和其他 Azure 资源之间建立安全可靠的连接,增强整体连接性。
简化的网络管理:通过集中且一致的方法来配置和管理服务的 Power Platform 网络设置,从而简化网络管理。
可扩展性:高效扩展 Power Platform 服务,确保网络资源能够根据业务需求增长。
合规性:满足网络安全和数据保护方面的监管和合规要求。
背景
Microsoft Power Platform 是一个领先的低代码/无代码平台,使人们能够构建应用程序、自动化工作流程和分析数据(即使他们不是专业开发人员),以创建针对特定业务需求量身定制的定制解决方案,从而促进创新并提高生产力。 Power Platform 包含以下 Microsoft 服务:
- Dataverse 作为底层数据平台,可为存储和管理数据提供一个安全、可扩展的环境。
- Power Apps 为构建自定义应用程序提供了一个用户友好的界面。
- Power Automate 提供拖放界面,用于自动执行重复性任务和工作流程。
- Power BI 提供强大的数据可视化和分析功能。
- Power Pages 为构建专业级网站提供用户友好的界面。
- Copilot Studio 无需深入了解 AI 工程,即可轻松创建智能机器人和代理。
使用虚拟网络将这些组件与 Azure 资源集成可增强 Power Platform其整体功能和安全性。 虚拟网络提供了一个安全且隔离的网络环境,服务可以在其中 Power Platform 运行,使组织能够控制和管理网络流量,同时确保数据受到保护,符合法规要求。
网络安全和虚拟网络集成
网络安全是任何数字基础设施的关键方面。 保护来自 Power Platform 服务的出站流量对于防止未经授权的访问、数据泄露和其他安全威胁至关重要。 虚拟网络集成起着至关重要的作用。 通过提供安全的数据传输路径,确保来自服务的所有 Power Platform 流量都通过受控和监控的网络环境进行路由,从而降低了面临潜在威胁的风险。
通过实现虚拟网络支持,组织可以强制实施严格的安全策略、监视网络流量并实时检测任何异常情况。 这种级别的控制对于维护敏感数据的完整性和机密性至关重要。 同时,虚拟网络集成通过允许 Power Platform 服务与其他 Azure 资源无缝连接来简化整体网络体系结构并提高可靠性。
Power Platform 中的虚拟网络支持概述
虚拟网络支持是一项重大增强功能,可带来强大的安全性和改进的连接 Power Platform性。 虚拟网络是 Azure 网络功能的基本组件,允许组织将服务连接到 Power Platform 其企业专用网络中的资源。 它们在服务、其他 Azure 资源和网络(例如本地服务、数据库、存储帐户和密钥保管库)之间 Power Platform 建立安全通信。
通过虚拟网络路由来自服务的所有 Power Platform 出站流量,组织可以确保数据安全传输,并防止未经授权的访问。 虚拟网络还通过提供可靠且一致的网络环境来改善连接性。 在服务和其他 Azure 资源之间 Power Platform 建立安全连接可确保无缝数据流和更有效地使用网络资源。
幕后花絮
Power Platform 基础架构由无服务器容器编排层组成,该层具有严格的安全边界执行工作负载,并保证单个工作负载级别的可用性和可扩展性。 容器业务流程层用于需要隔离的所有工作负载,包括类似 Microsoft 工作负载的内部连接器和插件等客户工作负载。
容器化工作负载允许 Power Platform 使用 Azure 子网委派和虚拟网络注入功能的组合来支持网络级隔离。 使用虚拟网络注入,可以通过附加网络接口卡将容器注入虚拟网络。 在该容器上运行的任何工作负载都在客户的网络中执行,并且可以使用网络中的专用 IP 地址。 插件工作负载可以使用公开到同一虚拟网络的专用链接访问用户服务、资源或 Azure 资源。 同样,连接器工作负载可以访问同一虚拟网络中的目标资源或终结点。
Azure 子网委派
Power Platform 的虚拟网络支持依赖于 Azure 子网授权。 企业委托一个子网供服务(例如 Power Platform 插件和连接器)使用 Dataverse ,以在运行时处理请求。 容器使用委托子网中的 IP 地址来处理这些请求。
由于容器在委派子网的边界内运行并使用其 IP 地址,因此来自容器的任何出站调用都保留在企业的网络边界内,也就是说,调用保留在属于该子网的虚拟网络中。 通过此设置,您的组织可以完全控制容器的策略、规则和网络数据包。 您可以将相同的控件应用于您自己的网络的委托子网。
Power Platform 并不管理委托子网的配置。 唯一的要求是委托的子网不能用于任何其他资源或委托给其他服务。 委派子网后,将保留该子网中的 IP 地址 Power Platform。
默认情况下,从容器访问 Internet 是关闭的。 如果在容器中运行的代码需要 Internet 访问,则必须在委派子网上配置 Azure NAT 网关 ,以允许容器连接到 Internet 上的资源。
下表汇总了委派子网的所有权以及可供客户和 Microsoft 使用的控件。
| 控制 | Description | 所有权 |
|---|---|---|
| NAT 网关 | 当网关连接到子网时 NAT ,它将成为来自该子网的所有发往 Internet 的流量的下一跃点。 从子网到 Internet 的任何流量都通过网关进行 NAT 路由。 子网中的所有实例都保持私有,具有安全且可扩展的出站连接。 | Customer |
| 网络安全组(NSG) | 客户可以将 NSG 与委派子网相关联。 定义并实施安全规则,以控制进出子网的入站和出站流量。 | Customer |
| 路由表 | 客户可以将路由表与委托子网关联。 定义自定义路由策略以控制虚拟网络内和外部网络的流量流。 | Customer |
| 网络监视 | 网络监控通过强制流量通过企业的虚拟专用网络,帮助保持对安全策略的合规性。 | Customer |
| IP 地址管理 | 客户可以指定委派子网的 IP 地址空间,确保它使用专用 IP 地址范围,例如 10.0.0.0/8、 192.168.0.0/16 或 172.16.0.0/12。 | Customer |
| DNS 配置 | 客户可以为委派子网配置自定义 DNS 设置,包括 Azure DNS 条目。 | Customer |
| 容器 | 容器执行来自虚拟网络支持的服务的请求,并从委派的子网获取 IP 地址。 | Microsoft |
技术架构
解决方案技术 Power Platform 体系结构的下图显示了数据源、连接器、服务和应用程序等组件如何在解决方案中交互和集成。 该图突出显示了使用虚拟网络来增强安全性和连接性,方法是允许 Power Platform 服务连接到私有和受保护的资源,而无需将其公开给 Internet。 该体系结构演示了如何将执行请求路由到虚拟网络中的容器,同时保持容器隔离边界。
在虚拟网络配置中,运行插件或连接器的容器是组织虚拟网络的一部分。 与虚拟网络中终结点的通信保留在虚拟网络边界内。 可以使用虚拟网络对等互连和 ExpressRoute 或 VPN 网关将边界扩展到其他虚拟或本地网络。
Power Platform 虚拟网络的容器化工作负载中的组件必须能够与工作负载中的其他组件通信。 例如, Power Platform 可能需要触发插件或调用工作负载中的连接器。
由于容器未直接附加到主网络基础结构,因此在容器和业务流程层之间建立了特殊的通信路径或通道。 该通道使用一个特殊的本地 IP 地址(称为 APIPA 地址)向容器内运行的工作负载发送特定指令或信号。 只允许某些类型的消息到达工作负载,确保容器及其工作负载保持安全和隔离。
下图演示了如何使用虚拟网络将执行请求路由到容器,同时保持隔离边界,将容器彼此隔离以及主机系统隔离。
为 Power Platform 打开虚拟网络支持
按照设置虚拟网络支持 中的 Power Platform说明进行作。
常见用例和实际示例
在本部分中,你将了解具有解决方案的 Power Platform 虚拟网络的常见用例。 您还探索了各个行业如何从使用它们中受益的真实示例。
用例
安全数据集成:组织可以使用虚拟网络支持将服务安全地连接到 Power Platform 其专用数据源,例如 Azure SQL 数据库、Azure 存储和本地资源。 虚拟网络可确保数据保留在组织的网络边界内,并且不会公开到公共 Internet。
连接器的专用终结点: Power Platform 连接器可以使用虚拟网络支持来建立用于安全通信的专用终结点。 专用网络消除了对公共 IP 地址的需求,并降低了数据泄露的风险。
安全 Copilot Studio 集成:可以将虚拟网络支持与连接器 Power Platform 结合 Copilot Studio 使用,以建立与数据源的安全连接。 专用网络消除了与将数据源暴露给公共互联网相关的风险,并降低了数据泄露的风险。
真实世界的例子
各行各业的组织都可以从虚拟网络支持中受益 Power Platform。 通过将服务安全地连接到 Power Platform 私有数据源,组织可以增强其安全态势、改善连接性并确保遵守监管要求。
金融机构:大型银行可以使用虚拟网络将解决方案和 Dynamics 365 应用安全地连接到 Power Platform 其受保护的数据库和服务。 这种设置允许银行创建安全的工作流程并自动化流程,而无需将敏感信息暴露给公共互联网,从而确保客户数据受到保护并符合监管要求。
Healthcare 提供程序:healthcare 组织可以使用虚拟网络将解决方案和 Dynamics 365 应用连接到 Power Platform 其电子 health 记录系统。 专用网络可用于安全访问患者数据,并在部门之间以及提供者与外部合作伙伴之间创建安全的通信渠道。
零售公司:零售公司可以使用虚拟网络将解决方案和 Dynamics 365 应用安全地连接到 Power Platform 其库存管理系统和客户数据库。 专用连接使公司能够简化运营、改善库存跟踪并增强客户服务,同时确保敏感数据受到保护。
政府机构:政府机构可以使用虚拟网络将解决方案和 Dynamics 365 应用安全地连接到 Power Platform 其内部系统和数据库。 私有连接使机构能够自动化流程、改进数据共享并增强协作,同时保持严格的安全性和合规性标准。
集成模式
要在环境中运行的工作负载类型决定了集成 Power Platform模式。 您可以在环境中使用 Power Platform 的虚拟网络支持作为集成模式,但有一些例外情况。
API 工作负载:如果计划运行 API 工作负载(如插件、连接器或服务终结点),则虚拟网络是将其与网络内的数据源安全集成的唯一受支持方法。 虚拟网络不支持具有非 Microsoft 驱动程序要求或使用 Windows 身份验证的连接器子集。 这些连接器未广泛使用,必须使用本地数据网关而不是虚拟网络。 以下插件和连接器通常可用于虚拟网络:
- Dataverse 插件
- 自定义连接器
- Azure Blob 存储
- Azure 文件存储
- Azure Key Vault
- Azure 队列
- Azure SQL 数据仓库
- 具有 Microsoft Entra ID 的 HTTP (预授权)
- SQL Server
ETL 工作负载:提取、转换、加载(ETL)工作负载 Power BI 和 Power Platform 数据流 使用虚拟网络数据网关。
下图说明了 API 和 ETL 工作负载的集成模式。
配置注意事项
设置虚拟网络支持 Power Platform时,请记住以下注意事项。
地区和地点
Azure 区域中的委派子网必须与环境的位置 Power Platform 匹配。 例如,如果环境 Power Platform 位于美国,则两个虚拟网络和子网中的每一个都必须位于和 eastus Azure 区域中 westus 。 查看支持的区域和位置映射 列表, 了解有关 Azure 区域和位置的最新信息。
如果 Azure 资源位于不同的 Azure 区域中,则仍必须为每个环境的相应 Azure 位置中的环境部署 Power Platform 虚拟网络。 使用虚拟网络对等互连或具有高速和低延迟的类似连接选项将资源与虚拟网络连接。 Microsoft 全球网络 提供了多个选项来在虚拟网络和企业虚拟网络之间 Power Platform 建立连接。
子网大小
虚拟网络中委派子网的大小应适应未来使用量的增长和新服务的添加。 适当调整子网大小可确保请求不会受到限制。 有关调整子网大小的详细信息,请转到 估计环境的 Power Platform 子网大小。
Azure NAT 网关
Azure NAT 网关使用网络地址转换(NAT)将容器实例的专用 IP 地址转换为静态公共 IP 地址,允许委托子网中的容器安全地连接到 Internet 资源。 静态 IP 地址允许一致且安全的出站连接。
如果组织在环境中实现虚拟网络支持,但未将所有数据源迁移到专用网络, 则必须 配置 Azure NAT 网关。 需要它来防止需要访问 Internet 资源的现有集成中断,从而允许将集成转换为虚拟网络,而不会影响当前工作负载。
网络监视
网络监控跟踪和分析委托子网中的流量,这对于识别和解决潜在问题至关重要。 通过深入了解网络组件的性能和 health,监控有助于确保网络高效、安全地运行。 监控工具可以检测异常情况,例如异常流量模式或未经授权的访问尝试,从而及时进行干预和缓解。
网络安全组
网络安全组(NSG)允许定义安全规则,以控制进出 Azure 资源的流量。 委托子网时,可以配置 NSG 以确保仅允许授权流量,从而帮助维护网络的安全性和完整性。 NSG 既可以应用于子网,也可以应用于各个网络接口,从而在管理不同级别的流量方面提供灵活性。
确保 Power Platform 服务出站连接安全的最佳实践
以下最佳实践可帮助您保护来自服务的 Power Platform 出站连接,这对于降低数据外泄风险和确保遵守安全策略至关重要。
限制出站流量:将来自 Power Platform 资源的出站流量限制在特定端点。 使用网络安全组和 Azure 防火墙强制实施流量规则并控制访问。
使用专用终结点:使用专用终结点在服务和 Azure 资源之间 Power Platform 进行安全通信。 专用终结点可确保流量保留在 Azure 网络内,并且不会遍历公共 Internet。
监视和审核流量:使用 Azure 网络观察程序 和 Microsoft Sentinel 监视 和审核来自服务的 Power Platform 出站流量,以帮助你实时识别和响应潜在的安全威胁。
应用安全策略:使用 Azure Policy 和 Azure 防火墙强制实施安全策略,以确保所有出站连接都符合组织的安全要求。 若要控制数据流,请将数据丢失防护策略和终结点筛选应用于连接器。
虚拟网络配置示例
在本部分中,我们将提供虚拟网络支持 Power Platform的示例配置。 这些配置演示了如何为不同方案设置虚拟网络和子网,确保服务和 Azure 资源之间的 Power Platform 安全连接。
当 Azure 资源位于配对的 Azure 区域中,并且环境位于 Power Platform 美国时
在此方案中,我们做出以下假设:
- 您的 Power Platform 环境位于美国。
- 虚拟网络的 Azure 区域设置为“美国西部”和“美国东部”。
- 企业资源位于美国西部区域的虚拟网络 VNET1 中。
在此方案中,需要以下最低配置才能设置虚拟网络支持:
- 在美国西部创建虚拟网络 VNet1,并设置用于委派的子网。
- 在美国东部创建第二个虚拟网络 VNet2,并设置用于委派的子网。
- 在 VNet1 和 VNet2 之间建立对等互连连接。
- 使用在步骤 1 和 2 中创建的子网为所需环境配置 Power Platform 虚拟网络集成。
当 Azure 资源位于美国中部 Azure 区域且 Power Platform 环境位于美国时
在此方案中,我们做出以下假设:
- 您的 Power Platform 环境位于美国。
- 虚拟网络的主区域和故障转移 Azure 区域分别设置为“美国西部”和“美国东部”。
- 企业资源位于美国中部区域的虚拟网络 VNet1 中。
在此方案中,需要以下最低配置才能设置虚拟网络支持:
- 在美国西部创建虚拟网络 VNet2,并设置用于委派的子网。
- 在美国东部创建另一个虚拟网络 VNet3,并设置用于委派的子网。
- 在 VNet1 和 VNet2 之间建立对等互连连接。
- 在 VNet1 和 VNet3 之间建立对等互连连接。
- 使用在步骤 1 和 2 中创建的子网为所需环境配置 Power Platform 虚拟网络集成。
案例研究
以下案例研究说明了 Microsoft 客户如何成功实现虚拟网络支持 Power Platform ,以增强安全性和连接性,同时确保符合法规要求。
一家公司使用 Azure 虚拟网络通过生成式 AI 和安全集成增强其业务敏捷性
为了探索生成式 AI 的实际业务用例,我们的客户举办了一场黑客马拉松。 该活动汇集了多位公民开发人员,他们使用 Azure AI 服务在 Power Platform 短短一个月内构建了一个成功的原型。 黑客马拉松不仅展示了生成式人工智能的潜力,还为参与者提供了宝贵的实践经验,促进了组织内部的创新和协作。
客户挑战:从原型到生产的过渡带来了重大挑战。 主要障碍是在 Power Platform 和 Azure 上建立一个安全的专用网络架构,以符合公司严格的内部安全政策。 确保数据隐私和安全,同时保持敏捷性和可扩展性对客户来说至关重要。
解决方案:客户将 Azure 子网委派(即虚拟网络)与托管环境结合使用,在专用 Azure 资源和专用 Azure 资源之间 Power Platform 建立专用网络体系结构。 使用此体系结构,客户可以安全地将其应用程序连接到 Power Platform Azure 服务,而无需将敏感数据公开给公共 Internet。
好处:实施该解决方案产生了几个关键好处。
客户在 Azure 之间 Power Platform 构建了安全敏捷的集成基础,加速了业务价值的实现。 这种集成允许无缝数据流并增强跨部门的协作。
新架构消除了与本地数据网关相关的成本和限制。 通过避免对本地基础设施的需求,客户可以降低运营费用并简化维护。
客户现在准备通过该平台 Azure ExpressRoute集成其他内部数据源,例如私有亚马逊云科技和本地 API。 此次扩展使客户能够使用更广泛的数据和服务,从而推动进一步的创新和效率。
结束语
在本白皮书中,我们探讨了将虚拟网络支持 Power Platform与 我们讨论了使用虚拟网络的安全优势,例如保护敏感数据免遭未经授权的访问,以及确保服务和专用资源之间的 Power Platform 安全通信。 我们讨论了常见用例和实际示例,提供了不同方案的集成模式,并提供了配置虚拟网络支持的注意事项。 我们分享了保护服务出 Power Platform 站连接的最佳实践,包括:
- 限制出站流量
- 使用专用终结点和子网委派
- 监视和审核流量
- 应用安全策略
最后,我们研究了一位 Microsoft 客户的案例研究,该客户成功实施了虚拟网络支持, Power Platform 以增强安全性和连接性,同时确保符合法规要求。
针对 Power Platform 的虚拟网络支持是一项重要功能,可帮助企业增强网络安全性、优化连接性并确保符合监管要求。 使用虚拟网络支持的组织可以安全地将服务连接到 Power Platform 其专用数据源,从而消除与将这些源公开到公共 Internet 相关的风险。