Partilhar via

Segurança de rede para o Azure Relay

  • Artigo

Este artigo descreve como usar os seguintes recursos de segurança com o Azure Relay:

  • Regras de firewall de IP
  • Pontos finais privados

Nota

O Azure Relay não suporta pontos de extremidade de serviço de rede.

Firewall de IP

Por padrão, os namespaces de retransmissão são acessíveis pela Internet, desde que a solicitação seja fornecida com autenticação e autorização válidas. Com o firewall IP, você pode restringi-lo ainda mais a apenas um conjunto de endereços IPv4 ou intervalos de endereços IPv4 na notação CIDR (Roteamento entre Domínios sem Classe).

Esse recurso é útil em cenários nos quais o Azure Relay só deve ser acessível a partir de determinados sites conhecidos. As regras de firewall permitem configurar regras para aceitar tráfego originado de endereços IPv4 específicos. Por exemplo, se você usar a Retransmissão com a Rota Expressa do Azure, poderá criar uma regra de firewall para permitir o tráfego somente dos endereços IP da infraestrutura local.

As regras de firewall IP são aplicadas no nível do namespace Relay. Portanto, as regras se aplicam a todas as conexões de clientes usando qualquer protocolo suportado. Qualquer tentativa de conexão de um endereço IP que não corresponda a uma regra de IP permitida no namespace Relay é rejeitada como não autorizada. A resposta não menciona a regra de IP. As regras de filtro IP são aplicadas em ordem e a primeira regra que corresponde ao endereço IP determina a ação de aceitação ou rejeição.

Para obter mais informações, consulte Como configurar o firewall IP para um namespace de retransmissão

Pontos finais privados

O Serviço de Link Privado do Azure permite que você acesse os serviços do Azure (por exemplo, Azure Relay, Azure Service Bus, Hubs de Eventos do Azure, Armazenamento do Azure e Azure Cosmos DB) e os serviços de cliente/parceiro hospedados do Azure em um ponto de extremidade privado em sua rede virtual. Para obter mais informações, consulte O que é o Azure Private Link?

Um ponto de extremidade privado é uma interface de rede que permite que suas cargas de trabalho em execução em uma rede virtual se conectem de forma privada e segura a um serviço que tenha um recurso de link privado (por exemplo, um namespace de retransmissão). O ponto final privado utiliza um endereço IP privado da VNet, para que possa aceder ao serviço de forma eficaz através da VNet. Todo o tráfego para o serviço pode ser roteado através do ponto de extremidade privado, portanto, nenhum gateway, dispositivos NAT, ExpressRoute, conexões VPN ou endereços IP públicos são necessários. O tráfego entre a sua rede virtual e o serviço atravessa a rede de backbone da Microsoft, eliminando a exposição da Internet pública. Você pode fornecer um nível de granularidade no controle de acesso permitindo conexões com namespaces específicos do Azure Relay.

Para obter mais informações, consulte Como configurar pontos de extremidade privados

Próximos passos

Consulte os seguintes artigos: