Skydda nätverksåtkomst till PaaS-tjänster med tjänstslutpunkter för virtuella nätverk
Du har migrerat dina befintliga appar och databasservrar för ERP-systemet till Azure som virtuella datorer. Nu överväger du att använda vissa Azure PaaS-tjänster (plattform som en tjänst) för att minska kostnaderna och de administrativa kraven. Storage-tjänsterna kommer att innehålla vissa stora filtillgångar, till exempel tekniska diagram. Dessa tekniska diagram har upphovsrättsskyddad information och måste vara säkra från obehörig åtkomst. De här filerna får endast vara tillgängliga från specifika system.
I den här enheten går du igenom hur tjänstslutpunkter för virtuella nätverk används för att skydda Azure-tjänster som stöds.
Tjänstslutpunkter för virtuellt nätverk
Använd tjänstslutpunkter för virtuella nätverk för att utöka ditt privata adressutrymme i Azure genom att ge en direktanslutning till dina Azure-tjänster. Med tjänstslutpunkter kan du skydda Azure-resurser så att de endast är tillgängliga i ditt virtuella nätverk. Tjänsttrafiken förblir på Azure-stamnätet och går inte ut på Internet.
Som standard är alla Azure-tjänster utformade för direktåtkomst till Internet. Alla Azure-resurser har offentliga IP-adresser, däribland PaaS-tjänster såsom Azure SQL Database och Azure Storage. Eftersom de här tjänsterna görs tillgängliga för Internet kan vem som helst potentiellt komma åt dina Azure-tjänster.
Tjänstslutpunkter kan ansluta vissa PaaS-tjänster direkt till ditt privata adressutrymme i Azure, så att de fungerar som om de finns i samma virtuella nätverk. Använd ditt privata adressutrymme för att komma åt PaaS-tjänsterna direkt. Tjänstslutpunkter som läggs till tar inte bort den offentliga slutpunkten. De tillhandahåller helt enkelt en omdirigering av trafiken.
Azure-tjänstslutpunkter är tillgängliga för många tjänster, till exempel:
- Azure Storage.
- Azure SQL Database.
- Azure Cosmos DB.
- Azure Key Vault.
- Azure Service Bus.
- Azure Data Lake.
För en tjänst som SQL Database, som du inte kan komma åt förrän du lägger till IP-adresser i brandväggen, bör du fortfarande överväga tjänstslutpunkter. Användning av en tjänstslutpunkt för SQL Database begränsar åtkomsten till specifika virtuella nätverk, vilket ger bättre isolering och minskar attackytan.
Så fungerar tjänstslutpunkter
Om du vill aktivera en tjänstslutpunkt måste du:
- Inaktivera offentlig åtkomst till tjänsten.
- Lägga till tjänstslutpunkten i ett virtuellt nätverk.
När du aktiverar en tjänstslutpunkt begränsar du trafikflödet och gör det möjligt för dina virtuella Azure-datorer att komma åt tjänsten direkt från ditt privata adressutrymme. Enheter kan inte komma åt tjänsten från ett offentligt nätverk. Om du tittar på Gällande vägar på en distribuerad virtuell dators virtuella nätverkskort kan du se tjänsteslutpunkterna som Nästa hopp-typ.
Det här är en exempeltabell för routning innan du aktiverar en tjänstslutpunkt:
| KÄLLA | STATE | ADRESSPREFIX | NÄSTA HOPP-TYP |
|---|---|---|---|
| Standardvärde | Aktiv | 10.1.1.0/24 | Virtuellt nätverk |
| Standardvärde | Aktiv | 0.0.0.0./0 | Internet |
| Standardvärde | Aktiv | 10.0.0.0/8 | Ingen |
| Standardvärde | Aktiv | 100.64.0.0./10 | Ingen |
| Standardvärde | Aktiv | 192.168.0.0/16 | Ingen |
Här är ett exempel på en routningstabell efter att du har lagt till två tjänstslutpunkter till det virtuellt nätverket:
| KÄLLA | STATE | ADRESSPREFIX | NÄSTA HOPP-TYP |
|---|---|---|---|
| Standardvärde | Aktiv | 10.1.1.0/24 | Virtuellt nätverk |
| Standardvärde | Aktiv | 0.0.0.0./0 | Internet |
| Standardvärde | Aktiv | 10.0.0.0/8 | Ingen |
| Standardvärde | Aktiv | 100.64.0.0./10 | Ingen |
| Standardvärde | Aktiv | 192.168.0.0/16 | Ingen |
| Standardvärde | Aktiv | 20.38.106.0/23, 10 fler | VirtualNetworkServiceEndpoint |
| Standardvärde | Aktiv | 20.150.2.0/23, 9 fler | VirtualNetworkServiceEndpoint |
All trafik för tjänsten dirigeras nu till VirtualNetworkServiceEndpoint och förblir intern till Azure.
Tjänsteslutpunkter och hybridnätverk
Tjänstresurser som du har skyddat med hjälp av tjänstslutpunkter för virtuella nätverk är som standard inte tillgängliga från lokala nätverk. Använd NAT-IP-adresser för att komma åt resurser från ett lokalt nätverk. Om du använder ExpressRoute för anslutning från en lokal plats till Azure måste du identifiera de NAT IP-adresser som ExpressRoute använder. Som standard använder varje krets två NAT-IP-adresser för att ansluta till Azure-stamnätverket. Sedan måste du lägga till dessa IP-adresser i Azure-tjänstresursens IP-brandväggskonfiguration (till exempel Azure Storage).
Följande diagram visar hur du kan använda en tjänstslutpunkt och brandväggskonfiguration för att aktivera lokala enheter för åtkomst till Azure Storage-resurser:
