Configurar o controle de acesso à rede

Artigo
12/27/2024

O Serviço Azure SignalR permite proteger e gerenciar o acesso ao seu ponto de extremidade de serviço com base em tipos de solicitação e subconjuntos de rede. Quando você configura regras de controle de acesso à rede, somente os aplicativos que fazem solicitações das redes especificadas podem acessar seu Serviço SignalR.

Captura de tela mostrando o fluxograma de decisão de controle de acesso à rede.

Importante

Um aplicativo que acessa um serviço SignalR quando as regras de controle de acesso à rede estão em vigor ainda requer autorização adequada para a solicitação.

Acesso à rede pública

Oferecemos um switch único e unificado para simplificar a configuração do acesso à rede pública. O switch tem as seguintes opções:

Desativado: bloqueia completamente o acesso à rede pública. Todas as outras regras de controle de acesso à rede são ignoradas para redes públicas.
Habilitado: Permite o acesso à rede pública, que é regulado por regras adicionais de controle de acesso à rede.

Configurar o acesso à rede pública via portal
Configurar o acesso à rede pública via Bíceps

Vá para a instância do Serviço SignalR que você deseja proteger.
Selecione Rede no menu do lado esquerdo. Selecione a guia Acesso público:
Selecione Desativado ou Habilitado.
Selecione Guardar para aplicar as alterações.

O modelo a seguir desabilita o acesso à rede pública:

resource signalr 'Microsoft.SignalRService/SignalR@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    publicNetworkAccess: 'Disabled'
  }
}

Ação Predefinida

A ação padrão é aplicada quando nenhuma outra regra é correspondida.

Configurar ação padrão via Portal
Configurar ação padrão via bíceps

Vá para a instância do Serviço SignalR que você deseja proteger.
Selecione Controle de acesso à rede no menu do lado esquerdo.
Para editar a ação padrão, alterne o botão Permitir/Negar .
Selecione Guardar para aplicar as alterações.

O modelo a seguir define a ação padrão como Deny.

resource signalr 'Microsoft.SignalRService/SignalR@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    networkACLs: {
        defaultAction: 'Deny'
    }
}

Regras do tipo de solicitação

Você pode configurar regras para permitir ou negar tipos de solicitação especificados para a rede pública e cada ponto de extremidade privado.

Por exemplo, as Conexões de Servidor geralmente têm privilégios elevados. Para aumentar a segurança, convém restringir sua origem. Você pode configurar regras para bloquear todas as Conexões de Servidor da rede pública e permitir apenas que elas se originem de uma rede virtual específica.

Se nenhuma regra corresponder, a ação padrão será aplicada.

Configurar regras de tipo de solicitação via Portal
Configurar regras de tipo de solicitação via Bicep

Vá para a instância do Serviço SignalR que você deseja proteger.
Selecione Controle de acesso à rede no menu do lado esquerdo.
Para editar a regra de rede pública, selecione os tipos permitidos de solicitações em Rede pública.
Para editar regras de rede de ponto de extremidade privado, selecione os tipos permitidos de solicitações em cada linha em Conexões de ponto de extremidade privado.
Selecione Guardar para aplicar as alterações.

O modelo a seguir nega todas as solicitações da rede pública, exceto conexões de cliente. Além disso, ele permite apenas conexões de servidor, chamadas de API REST e chamadas de rastreamento de um ponto de extremidade privado específico.

O nome da conexão de ponto de extremidade privado pode ser inspecionado privateEndpointConnections no subrecurso. É gerado automaticamente pelo sistema.

resource signalr 'Microsoft.SignalRService/SignalR@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    networkACLs: {
        defaultAction: 'Deny'
        publicNetwork: {
            allow: ['ClientConnection']
        }
        privateEndpoints: [
            {
                name: 'foo.8e4d6671-8d62-4bb7-8c41-827dde9c1a05'
                allow: ['ServerConnection', 'ClientConnection', 'RESTAPI', 'Trace']
            }
        ]
    }
}

Regras de PI

As regras de IP permitem que você conceda ou negue acesso a intervalos de endereços IP públicos específicos da Internet. Estas regras podem ser utilizadas para permitir o acesso a determinados serviços baseados na Internet e redes locais ou para bloquear o tráfego geral da Internet.

Aplicam-se as seguintes restrições:

Você pode configurar até 30 regras.
Os intervalos de endereços devem ser especificados usando a notação CIDR, como 16.17.18.0/24. Os endereços IPv4 e IPv6 são suportados.
As regras de PI são avaliadas pela ordem em que são definidas. Se nenhuma regra corresponder, a ação padrão será aplicada.
As regras de IP aplicam-se apenas ao tráfego público e não podem bloquear o tráfego de terminais privados.

Configurar regras de IP via Portal
Configurar regras de IP via Bicep

Vá para a instância do Serviço SignalR que você deseja proteger.
Selecione Rede no menu do lado esquerdo. Selecione a guia Regras de controle de acesso:
Edite a lista na seção Regras de IP.
Selecione Guardar para aplicar as alterações.

O modelo a seguir tem estes efeitos:

Pedidos de 123.0.0.0/8 e 2603::/8 são permitidos.
As solicitações de todos os outros intervalos de IP são negadas.

resource signalr 'Microsoft.SignalRService/SignalR@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    networkACLs: {
      defaultAction: 'Deny'
      ipRules: [
        {
          value: '123.0.0.0/8'
          action: 'Allow'
        }
        {
          value: '2603::/8'
          action: 'Allow'
        }
        {
          value: '0.0.0.0/0'
          action: 'Deny'
        }
        {
          value: '::/0'
          action: 'Deny'
        }
      ]
    }
  }
}

Próximos passos

Obtenha mais informações sobre o Azure Private Link.

Partilhar via