組織可以使用 Azure 虛擬網路來確保其 Power Platform 服務在安全且受控的網路環境中運行,從而降低數據洩露和未經授權的訪問的風險。 本白皮書對 Azure 虛擬網路支援進行了深入分析 Power Platform。 它強調了主要優勢,概述了實施過程和技術架構,討論了現實世界的用例,並提供了成功案例研究的實用見解,使其成為希望增強網路安全和運營效率優勢的 IT 專業人員和決策者的寶貴資源。
重點優勢
增強的安全性:在安全網路中託管 Power Platform 服務,保護敏感數據免遭未經授權的訪問和潛在的破壞。
改進的連接性:在 Power Platform 服務與其他 Azure 資源之間建立安全可靠的連接,增強整體連接性。
簡化的網路管理:通過集中且一致的方法來配置和管理服務的 Power Platform 網路設置,從而簡化網路管理。
可擴充性:高效擴展 Power Platform 服務,確保網路資源能夠根據業務需求增長。
合規性:滿足網路安全和資料保護的監管和合規性要求。
背景
Microsoft Power Platform 是一個領先的低代碼/無代碼平臺,使人們能夠構建應用程式、自動化工作流程和分析數據 (即使他們不是專業開發人員),以創建針對特定業務需求量身定製的定製解決方案,從而促進創新並提高生產力。 Power Platform 包含以下 Microsoft 服務:
- Dataverse 作為底層資料平台,為儲存和管理資料提供了安全且可擴展的環境。
- Power Apps 為構建自定義應用程式提供了一個使用者友好的介面。
- Power Automate 提供拖放介面,用於自動執行重複性任務和工作流程。
- Power BI 提供強大的資料視覺化和分析功能。
- Power Pages 為構建專業級網站提供使用者友好的介面。
- Copilot Studio 無需深入瞭解 AI 工程,即可輕鬆創建智慧機器人和代理。
使用虛擬網路將這些元件與 Azure 資源整合可增強 Power Platform其整體功能和安全性。 虛擬網路提供了一個安全且隔離的網路環境,服務可以在其中 Power Platform 運行,使組織能夠控制和管理網路流量,同時確保數據受到保護,符合法規要求。
網路安全與虛擬網路整合
網路安全是任何數位基礎結構的關鍵方面。 保護 Power Platform 服務的出站流量對於防止未經授權的存取、資料外洩和其他安全威脅至關重要。 虛擬網路集成起著至關重要的作用。 通過提供安全的數據傳輸路徑,確保來自服務的所有 Power Platform 流量都通過受控和監控的網路環境進行路由,從而降低了面臨潛在威脅的風險。
通過實現虛擬網路支援,組織可以強制實施嚴格的安全策略、監視網路流量並實時檢測任何異常情況。 這種層級的控制對於維護敏感資料的完整性和機密性至關重要。 同時,虛擬網路集成通過允許 Power Platform 服務與其他 Azure 資源無縫連接來簡化整體網路體系結構並提高可靠性。
Power Platform 中的虛擬網路支援概述
虛擬網路支援是一項重大增強功能,可帶來強大的安全性和改進的連接 Power Platform性。 虛擬網路是 Azure 網路功能的基本元件,允許組織將服務連接到 Power Platform 其企業專用網路中的資源。 它們在服務、其他 Azure 資源和網路 (例如本地服務、資料庫、存儲帳戶和密鑰保管庫) 之間 Power Platform 建立安全通信。
通過虛擬網路路由來自服務的所有 Power Platform 出站流量,組織可以確保數據安全傳輸,並防止未經授權的訪問。 虛擬網路還通過提供可靠且一致的網路環境來改善連接性。 在服務和其他 Azure 資源之間 Power Platform 建立安全連接可確保無縫數據流和更有效地使用網路資源。
幕後花絮
Power Platform 基礎架構由無伺服器容器編排層組成,該層具有嚴格的安全邊界執行工作負載,並保證單個工作負載級別的可用性和可擴充性。 容器業務流程層用於需要隔離的所有工作負載,包括類似 Microsoft 工作負載的內部連接器和外掛程式等客戶工作負載。
容器化工作負載允許 Power Platform 使用 Azure 子網委派和虛擬網路注入功能的組合來支持網路級隔離。 使用虛擬網路注入,可以通過附加網路介面卡將容器注入虛擬網路。 在該容器上運行的任何工作負載都在客戶的網路中執行,並且可以使用網路中的專用 IP 位址。 外掛程式工作負載可以使用公開到同一虛擬網路的專用連結訪問使用者服務、資源或 Azure 資源。 同樣,連接器工作負載可以訪問同一虛擬網路中的目標資源或終結點。
Azure 子網路委派
Power Platform 的虛擬網路支援依賴 Azure 子網路委派 企業委託一個子網供服務 (例如 Power Platform 外掛程式和連接器) 使用 Dataverse ,以在運行時處理請求。 容器使用委派子網路中的 IP 位址來處理這些請求。
由於容器在委派子網的邊界內運行並使用其 IP 位址,因此來自容器的任何出站調用都保留在企業的網路邊界內,也就是說,調用保留在屬於該子網的虛擬網路中。 通過此設置,您的組織可以完全控制容器的策略、規則和網路數據包。 您可以將相同的控制項應用於您自己的網路的委託子網。
Power Platform 不管理委派子網路的設定。 唯一的要求是委託的子網不能用於任何其他資源或委託給其他服務。 委派子網后,將保留該子網中的 IP 位址 Power Platform。
默認情況下,從容器訪問 Internet 是關閉的。 如果在容器中運行的代碼需要 Internet 訪問,則必須在委派子網上配置 Azure NAT 閘道 ,以允許容器連接到 Internet 上的資源。
下表匯總了委派子網的擁有權以及可供客戶和 Microsoft 使用的控件。
| 控制項 | Description | 擁有權 |
|---|---|---|
| NAT Gateway | 當閘道連接到子網時 NAT ,它將成為來自該子網的所有發往 Internet 的流量的下一躍點。 從子網到 Internet 的任何流量都通過閘道進行 NAT 路由。 子網路內的所有執行個體均保持私密,並具有安全且可擴展的出站連線。 | Customer |
| 網路安全組 (NSG) | 客戶可以將 NSG 與委派子網路關聯。 定義並實施安全規則來控制子網路的入站和出站流量。 | Customer |
| 路由表 | 客戶可以將路由表與委派子網路關聯。 定義自定義路由策略以控制虛擬網路內和外部網路的流量流。 | Customer |
| 網路監視 | 網路監控通過強制流量通過企業的虛擬專用網路,説明保持對安全策略的合規性。 | Customer |
| IP 位址管理 | 客戶可以指定委派子網的 IP 位址空間,確保它使用專用 IP 位址範圍,例如 10.0.0.0.0/8 、192.168.0.0/16 或 172.16.0.0/12 。 | Customer |
| DNS 設定 | 客戶可以為委派子網路設定自訂 DNS 設定,包括 Azure DNS 項目。 | Customer |
| 容器 | 容器執行來自虛擬網路支援的服務的請求,並從委派的子網獲取 IP 位址。 | Microsoft |
技術架構
解決方案技術 Power Platform 體系結構的下圖顯示了數據源、連接器、服務和應用程式等元件如何在解決方案中交互和集成。 該圖突出顯示了使用虛擬網路來增強安全性和連接性,方法是允許 Power Platform 服務連接到私有和受保護的資源,而無需將其公開給 Internet。 該體系結構演示了如何將執行請求路由到虛擬網路中的容器,同時保持容器隔離邊界。
在虛擬網路配置中,運行外掛程式或連接器的容器是組織虛擬網路的一部分。 與虛擬網路中終結點的通信保留在虛擬網路邊界內。 可以使用虛擬網路對等互連和 ExpressRoute 或 VPN 閘道將邊界擴展到其他虛擬或本地網路。
Power Platform 虛擬網路的容器化工作負載中的元件必須能夠與工作負載中的其他元件通信。 例如, Power Platform 可能需要觸發外掛程式或調用工作負載中的連接器。
由於容器未直接附加到主網路基礎結構,因此在容器和業務流程層之間建立了特殊的通信路徑或通道。 該通道使用一個特殊的本地 IP 位址 (稱為 APIPA 位址) 向容器內運行的工作負載發送特定指令或信號。 只允許某些類型的消息到達工作負載,確保容器及其工作負載保持安全和隔離。
下圖演示了如何使用虛擬網路將執行請求路由到容器,同時保持隔離邊界,將容器彼此隔離以及主機系統隔離。
為 Power Platform 開啟虛擬網路支援
按照設置虛擬網路支援 中的 Power Platform說明進行作。
常見用例和實際範例
在本部分中,你將瞭解具有解決方案的 Power Platform 虛擬網路的常見用例。 您還探索了各個行業如何從使用它們中受益的真實示例。
使用案例
安全數據集成:組織可以使用虛擬網路支援將服務安全地連接到 Power Platform 其專用數據源,例如 Azure SQL 資料庫、Azure 儲存和本地資源。 虛擬網路可確保數據保留在組織的網路邊界內,並且不會公開到公共 Internet。
連接器的專用終結點: Power Platform 連接器可以使用虛擬網路支援來建立用於安全通信的專用終結點。 私人網路消除了對公用 IP 位址的需求,並降低了資料外洩的風險。
安全 Copilot Studio 集成:可以將虛擬網路支援與連接器 Power Platform 結合 Copilot Studio 使用,以建立與數據源的安全連接。 專用網路消除了與將數據源暴露給公共互聯網相關的風險,並降低了數據泄露的風險。
真實世界的例子
各行各業的組織都可以從虛擬網路支援中受益 Power Platform。 通過將服務安全地連接到 Power Platform 私有數據源,組織可以增強其安全態勢、改善連接性並確保遵守監管要求。
金融機構:大型銀行可以使用虛擬網路將解決方案和 Dynamics 365 應用安全地連接到 Power Platform 其受保護的資料庫和服務。 這種設置允許銀行創建安全的工作流程並自動化流程,而無需將敏感資訊暴露給公共互聯網,從而確保客戶數據受到保護並符合監管要求。
醫療保健供應商:醫療保健組織可以使用虛擬網路將解決方案和 Dynamics 365 應用連接到 Power Platform 其電子健康記錄系統。 專用網路可用於安全訪問患者數據,並在部門之間以及提供者與外部合作夥伴之間創建安全的通信管道。
零售公司:零售公司可以使用虛擬網路將解決方案和 Dynamics 365 應用安全地連接到 Power Platform 其庫存管理系統和客戶資料庫。 私人連接使公司能夠簡化營運、改善庫存追蹤並增強客戶服務,同時確保敏感資料的保護。
政府機構:政府機構可以使用虛擬網路將解決方案和 Dynamics 365 應用安全地連接到 Power Platform 其內部系統和資料庫。 私有連接使機構能夠自動化流程、改進數據共享並增強協作,同時保持嚴格的安全性和合規性標準。
整合模式
要在環境中運行的工作負載類型決定了集成 Power Platform模式。 您可以將 Power Platform 的虛擬網路支援用作您環境中的整合模式,但有一些例外。
API 工作負載:如果計劃運行 API 工作負載 (如外掛程式、連接器或服務終結點),則虛擬網路是將其與網路內的數據源安全集成的唯一受支援方法。 虛擬網路不支援具有非 Microsoft 驅動程式要求或使用 Windows 身份驗證的連接器子集。 這些連接器未廣泛使用,必須使用本地數據閘道而不是虛擬網路。 以下外掛程式和連接器通常可用於虛擬網路:
- Dataverse 外掛程式
- 自訂連接器
- Azure Blob 儲存體
- Azure 檔案儲存體
- Azure Key Vault
- Azure 佇列
- Azure SQL 資料倉儲
- 具有 Microsoft Entra ID 的 HTTP (預先授權的)
- SQL Server
ETL 工作負載:提取、轉換、載入 (ETL) 工作負載 Power BI 和 Power Platform 數據流 使用虛擬網路數據網關。
下圖說明瞭 API 和 ETL 工作負載的整合模式。
設定考量事項
設置虛擬網路支援 Power Platform時,請記住以下注意事項。
地區和地點
Azure 區域中的委派子網必須與環境的位置 Power Platform 匹配。 例如,如果環境 Power Platform 位於美國,則兩個虛擬網路和子網中的每一個都必須位於和 eastus Azure 區域中 westus 。 查看支援的區域和位置映射 清單, 瞭解有關 Azure 區域和位置的最新資訊。
如果 Azure 資源位於不同的 Azure 區域中,則仍必須為每個環境的相應 Azure 位置中的環境部署 Power Platform 虛擬網路。 使用虛擬網路對等互連或具有高速和低延遲的類似連接選項將資源與虛擬網路連接。 Microsoft 全球網路 提供了多個選項來在虛擬網路和企業虛擬網路之間 Power Platform 建立連接。
子網路大小
虛擬網路中委派子網的大小應適應未來使用量的增長和新服務的添加。 適當調整子網路大小可確保請求不會受到限制。 有關調整子網大小的詳細資訊,請轉到 估計環境的 Power Platform 子網大小。
Azure NAT 閘道
Azure NAT 閘道使用網路位址轉換 (NAT) 將容器實例的專用 IP 位址轉換為靜態公共 IP 位址,允許委託子網中的容器安全地連接到 Internet 資源。 靜態 IP 位址允許一致且安全的出站連接。
如果組織在環境中實現虛擬網路支援,但未將所有數據源遷移到專用網路, 則必須 配置 Azure NAT 閘道。 需要它來防止需要訪問 Internet 資源的現有集成中斷,從而允許將整合轉換為虛擬網路,而不會影響當前工作負載。
網路監視
網路監控跟蹤和分析委託子網中的流量,這對於識別和解決潛在問題至關重要。 通過深入瞭解網路元件的性能和運行狀況,監控有助於確保網路高效、安全地運行。 監控工具可以檢測異常情況,例如異常流量模式或未經授權的訪問嘗試,從而及時進行干預和緩解。
網路安全組
網路安全組 (NSG) 允許定義安全規則,以控制進出 Azure 資源的流量。 委託子網時,可以配置 NSG 以確保僅允許授權流量,從而説明維護網路的安全性和完整性。 NSG 可應用於子網路和單一網路接口,從而提供在不同層級管理流量的靈活性。
保護 Power Platform 服務出站連線的最佳做法
以下最佳實踐可説明您保護來自服務的 Power Platform 出站連接,這對於降低數據外泄風險和確保遵守安全策略至關重要。
限制出站流量:限制從 Power Platform 資源到特定端點的出站流量。 使用網路安全組和 Azure 防火牆強制實施流量規則並控制訪問。
使用專用終結點:使用專用終結點在服務和 Azure 資源之間 Power Platform 進行安全通信。 專用終結點可確保流量保留在 Azure 網路內,並且不會遍歷公共 Internet。
監視和審核流量:使用 Azure 網路觀察程式 和 Microsoft Sentinel 監視 和審核來自服務的 Power Platform 出站流量,以説明你即時識別和回應潛在的安全威脅。
應用安全策略:使用 Azure Policy 和 Azure 防火牆強制實施安全策略,以確保所有出站連接都符合組織的安全要求。 若要控制數據流,請將數據丟失防護策略和終結點篩選應用於連接器。
虛擬網路配置示例
在本部分中,我們將提供虛擬網路支援 Power Platform的範例配置。 這些配置演示了如何為不同方案設置虛擬網路和子網,確保服務和 Azure 資源之間的 Power Platform 安全連接。
當 Azure 資源位於配對的 Azure 區域中,並且環境位於 Power Platform 美國時
在此方案中,我們做出以下假設:
- 您的 Power Platform 環境位於美國。
- 虛擬網路的 Azure 區域設置為「美國西部」和「美國東部」。
- 企業資源位於美國西部區域的虛擬網路 VNET1 中。
在此方案中,需要以下最低配置才能設置虛擬網路支援:
- 在美國西部創建虛擬網路 VNet1,並設置用於委派的子網。
- 在美國東部創建第二個虛擬網路 VNet2,並設置用於委派的子網。
- 在 VNet1 和 VNet2 之間建立對等互連連接。
- 使用在步驟 1 和 2 中創建的子網為所需環境配置 Power Platform 虛擬網路整合。
當 Azure 資源位於美國中部 Azure 區域且 Power Platform 環境位於美國時
在此方案中,我們做出以下假設:
- 您的 Power Platform 環境位於美國。
- 虛擬網路的主區域和故障轉移 Azure 區域分別設置為「美國西部」和「美國東部」。。
- 企業資源位於美國中部區域的虛擬網路 VNet1 中。
在此方案中,需要以下最低配置才能設置虛擬網路支援:
- 在美國西部創建虛擬網路 VNet2,並設置用於委派的子網。
- 在美國東部創建另一個虛擬網路 VNet3,並設置用於委派的子網。
- 在 VNet1 和 VNet2 之間建立對等互連連接。
- 在 VNet1 和 VNet3 之間建立對等互連連接。
- 使用在步驟 1 和 2 中創建的子網為所需環境配置 Power Platform 虛擬網路整合。
案例研究
以下案例研究說明瞭 Microsoft 客戶如何成功實現虛擬網路支援 Power Platform ,以增強安全性和連接性,同時確保符合法規要求。
一家公司使用 Azure 虛擬網路通過生成式 AI 和安全整合增強其業務敏捷性
為了探索生成式 AI 的實際業務用例,我們的客戶舉辦了一場駭客馬拉松。 該活動彙集了多位公民開發人員,他們使用 Azure AI 服務在 Power Platform 短短一個月內構建了一個成功的原型。 這次駭客松不僅展現了生成式 AI 的潛力,也為參與者提供了寶貴的實務經驗,促進了組織內部的創新和協作。
客戶挑戰:從原型到生產的過渡帶來了重大挑戰。 主要障礙是在 Power Platform 和 Azure 上建立符合公司嚴格的內部安全原則的安全的私人網路架構。 確保資料的隱私和安全,同時保持靈活性和可擴展性對客戶來說至關重要。
解決方案:客戶將 Azure 子網委派 (即虛擬網路) 與託管環境結合使用,在專用 Azure 資源和專用 Azure 資源之間 Power Platform 建立專用網路體系結構。 使用此體系結構,客戶可以安全地將其應用程式連接到 Power Platform Azure 服務,而無需將敏感數據公開給公共 Internet。
好處:實施該解決方案產生了幾個關鍵好處。
客戶在 Azure 之間 Power Platform 構建了安全敏捷的整合基礎,加速了業務價值的實現。 這種集成允許無縫數據流並增強跨部門的協作。
新的架構消除了與內部部署資料閘道相關的成本和限制。 透過避免對內部部署基礎結構的需求,客戶可以減少營運費用並簡化維護。
客戶現在準備通過該平臺 Azure ExpressRoute集成其他內部數據源,例如私有亞馬遜雲科技和本地 API。 此次擴展使客戶能夠使用更廣泛的數據和服務,從而推動進一步的創新和效率。
推論
在本白皮書中,我們探討了將虛擬網路支援 Power Platform與 我們討論了使用虛擬網路的安全優勢,例如保護敏感數據免遭未經授權的訪問,以及確保服務和專用資源之間的 Power Platform 安全通信。 我們討論了常見用例和實際範例,提供了不同方案的整合模式,並提供了配置虛擬網路支援的注意事項。 我們分享了保護服務出 Power Platform 站連接的最佳實踐,包括:
- 限制出站流量
- 使用私人終結點和子網路委派
- 監控和稽核流量
- 應用程式安全性原則
最後,我們研究了一位 Microsoft 客戶的案例研究,該客戶成功實施了虛擬網路支援, Power Platform 以增強安全性和連接性,同時確保符合法規要求。
Power Platform 的虛擬網路支援是一項關鍵功能,它允許組織增強其網路安全性、最佳化連接性並確保遵守監管要求。 使用虛擬網路支持的組織可以安全地將服務連接到 Power Platform 其專用數據源,從而消除與將這些源公開到公共 Internet 相關的風險。