Che cos'è Collegamento privato di Azure?

Completato

Prima di acquisire informazioni sul collegamento privato di Azure e le relative funzionalità e vantaggi, esaminiamo il problema per la cui risoluzione il collegamento privato è progettato.

Contoso dispone di una rete virtuale di Azure e si vuole connettersi a una risorsa PaaS, ad esempio un database SQL di Azure. Quando si creano tali risorse, in genere si specifica un endpoint pubblico come metodo di connettività.

La presenza di un endpoint pubblico significa che alla risorsa viene assegnato un indirizzo IP pubblico. Dunque, anche se la rete virtuale e il database SQL di Azure si trovano all'interno del cloud di Azure, la connessione tra di essi avviene tramite Internet.

Il problema è che il database SQL di Azure è esposto a Internet tramite l'indirizzo IP pubblico. Questa esposizione comporta più rischi per la sicurezza. Gli stessi rischi di sicurezza sono presenti quando si accede a una risorsa di Azure tramite un indirizzo IP pubblico dalle posizioni seguenti:

  • Una rete virtuale di Azure con peering
  • Una rete locale che si connette ad Azure tramite ExpressRoute e peering Microsoft
  • Una rete virtuale di Azure di un cliente che si connette a un servizio di Azure offerto dall'azienda

Diagramma di rete di una rete virtuale di Azure, una rete virtuale con peering di Azure e una rete locale che accedono a un database SQL di Azure tramite Internet.

Il collegamento privato è progettato per eliminare questi rischi di sicurezza rimuovendo la parte pubblica della connessione.

Il collegamento privato consente di accedere in modo sicuro ai servizi di Azure. Il collegamento privato consente di ottenere tale sicurezza sostituendo l'endpoint pubblico di una risorsa con un'interfaccia di rete privata. Con questa nuova architettura è necessario considerare tre punti chiave:

  • La risorsa di Azure diventa, in un certo senso, parte integrante della rete virtuale.
  • La connessione alla risorsa usa adesso la rete backbone di Microsoft Azure invece della rete Internet pubblica.
  • È possibile configurare la risorsa di Azure in modo che non esponga più il proprio indirizzo IP pubblico, eliminando così i potenziali rischi per la sicurezza.

Che cos'è l'endpoint privato di Azure?

La tecnologia chiave alla base del collegamento privato è rappresentata dall'endpoint privato. L'endpoint privato è un'interfaccia di rete che consente una connessione privata e sicura tra la rete virtuale e un servizio di Azure. In altre parole, l'endpoint privato è l'interfaccia di rete che sostituisce l'endpoint pubblico della risorsa.

Nota

L'endpoint privato non è un servizio gratuito. È prevista una tariffa fissa oraria, oltre a una tariffa fissa per gigabyte per il traffico in ingresso e in uscita che passa attraverso l'endpoint privato.

Il collegamento privato consente di accedere privatamente dalla rete virtuale di Azure ai servizi PaaS e ai servizi partner in Azure. Tuttavia, cosa accade se la società ha creato i propri servizi di Azure che vengono usati dai clienti della società? È possibile offrire ai clienti una connessione privata ai servizi della società?

Sì, usando il servizio di collegamento privato di Azure. Questo servizio consente di offrire connessioni private ai servizi di Azure personalizzati. Gli utenti dei servizi personalizzati potranno quindi accedere a tali servizi privatamente, ovvero senza usare Internet, dalle proprie reti virtuali di Azure.

Nota

Per l'uso del servizio di collegamento privato non è previsto alcun addebito.

Il collegamento privato, assieme all'endpoint privato e al servizio di collegamento privato, offre i vantaggi seguenti:

  • Accesso privato ai servizi PaaS e ai servizi partner in Azure. Quando si usa un endpoint privato, i servizi di Azure vengono mappati alla rete virtuale di Azure. Non è importante che la risorsa di Azure si trovi in una rete virtuale e in un tenant di Active Directory diversi. Per gli utenti nella rete virtuale di Azure, la risorsa appare come parte di tale rete.
  • Accesso privato ai servizi di Azure in qualsiasi area. Il collegamento privato funziona a livello globale. La connessione privata a un servizio di Azure funziona anche se la rete virtuale del servizio si trova in un'area diversa rispetto alla rete virtuale.
  • Route non pubbliche ai servizi di Azure. Una volta eseguito il mapping di un servizio di Azure alla rete virtuale, la route del traffico viene modificata. Tutto il traffico in ingresso e in uscita tra la rete virtuale e il servizio di Azure si sposta attraverso la rete backbone di Microsoft Azure. La rete Internet pubblica non viene mai usata per il traffico del servizio.
  • Gli endpoint pubblici non sono più necessari. Poiché tutto il traffico da e verso un servizio di Azure mappato passa ora attraverso la rete backbone di Microsoft Azure, l'endpoint pubblico per il servizio non è più necessario. È possibile disabilitare l'endpoint pubblico e quindi eliminare una possibile minaccia per la sicurezza.
  • Le reti virtuali di Azure con peering ottengono anche l'accesso a risorse basate sul collegamento privato. Se si dispone di una o più reti virtuali di Azure con peering, per accedere a una risorsa di Azure privata non è necessaria alcuna configurazione aggiuntiva per tali reti. I client in reti con peering possono accedere a qualsiasi endpoint privato di cui è stato eseguito il mapping a un servizio di Azure.
  • La rete locale ottiene anche l'accesso alle risorse basate su collegamento privato. La rete locale si connette alla rete virtuale di Azure usando il peering privato di ExpressRoute o un tunnel VPN? In tal caso, non è necessaria alcuna configurazione aggiuntiva perché i client all'interno della rete locale possano accedere a una risorsa di Azure privata.
  • Protezione dall'esfiltrazione di dati. Quando si esegue il mapping di un endpoint privato a un servizio di Azure, si esegue il mapping a un'istanza specifica del servizio. Se ad esempio si sta configurando l'accesso privato ad Archiviazione di Azure, si esegue il mapping dell'accesso a un BLOB, una tabella o un'altra istanza di archiviazione. Se una macchina virtuale nella rete viene compromessa, l'utente malintenzionato non può spostare o copiare dati in un'altra istanza della risorsa.
  • Accesso privato ai servizi di Azure. È possibile implementare il servizio di collegamento privato e offrire ai clienti l'accesso privato a servizi di Azure personalizzati.

Il collegamento privato e l'endpoint privato funzionano con molti servizi di Azure. Per mantenere aggiornati i servizi e le aree più recenti che supportano il collegamento privato, vedere gli aggiornamenti di Azure.