Az Azure Event Grid-erőforrások hálózati biztonsága
Ez a cikk a következő biztonsági funkciókat ismerteti az Azure Event Grid használatával:
- Szolgáltatáscímkék kimenő forgalomhoz
- IP-tűzfalszabályok a bejövő forgalomhoz
- Privát végpontok bejövő forgalomhoz
Szolgáltatáscímkék
A szolgáltatáscímkék egy adott Azure-szolgáltatás IP-címelőtagjainak egy csoportját jelölik. A Microsoft kezeli a szolgáltatáscímke által lefedett címelőtagokat, és automatikusan frissíti a szolgáltatáscímkét a címek változásakor, minimalizálva a hálózati biztonsági szabályok gyakori frissítéseinek összetettségét. A szolgáltatáscímkékről további információt a Szolgáltatáscímkék áttekintése című témakörben talál.
A szolgáltatáscímkék használatával hálózati hozzáférés-vezérlőket határozhat meg a hálózati biztonsági csoportokon vagy az Azure Firewallon. Biztonsági szabályok létrehozása során használjon szolgáltatáscímkéket az egyes IP-címek helyett. Ha a szabály megfelelő forrás- vagy célmezőjében megadja a szolgáltatáscímke nevét (például AzureEventGrid), engedélyezheti vagy letilthatja a megfelelő szolgáltatás forgalmát.
| Szolgáltatáscímke | Cél | Használhat bejövő vagy kimenő elemet? | Lehet regionális? | Használhatja az Azure Firewallt? |
|---|---|---|---|---|
| AzureEventGrid | Azure Event Grid. | Mindkettő | Nem | Igen |
IP-tűzfal
Az Azure Event Grid támogatja az IP-alapú hozzáférés-vezérlést a témakörökben és tartományokban való közzétételhez. Az IP-alapú vezérlőkkel a közzétevőket csak jóváhagyott gépek és felhőszolgáltatások készletére korlátozhatja egy témakörre vagy tartományra. Ez a funkció kiegészíti az Event Grid által támogatott hitelesítési mechanizmusokat .
Alapértelmezés szerint a témakör és a tartomány az internetről is elérhető, amennyiben a kérés érvényes hitelesítéssel és engedélyezéssel rendelkezik. Az IP-tűzfallal tovább korlátozhatja azt a CIDR (osztály nélküli tartományközi útválasztás) jelölésében szereplő IP-címek vagy IP-címtartományok halmazára. Bármely más IP-címről származó közzétevőket a rendszer elutasítja, és 403(Tiltott) választ kap.
Az IP-tűzfal témakörökhöz és tartományokhoz való konfigurálásához részletes útmutatást az IP-tűzfal konfigurálása című témakörben talál.
Privát végpontok
Privát végpontok használatával közvetlenül a virtuális hálózatból a témakörökbe és tartományokba irányuló eseményeket biztonságosan, privát kapcsolaton keresztül engedélyezheti anélkül, hogy a nyilvános interneten keresztül lépkednél. A privát végpont egy speciális hálózati adapter egy Azure-szolgáltatáshoz a virtuális hálózaton. Amikor privát végpontot hoz létre a témakörhöz vagy tartományhoz, az biztonságos kapcsolatot biztosít a virtuális hálózaton lévő ügyfelek és az Event Grid-erőforrás között. A privát végpont a virtuális hálózat IP-címtartományából kap IP-címet. A privát végpont és az Event Grid szolgáltatás közötti kapcsolat biztonságos privát kapcsolatot használ.
Az Event Grid-erőforrás privát végpontjaival a következőket hozhatja létre:
- Biztonságos hozzáférés a témakörhöz vagy tartományhoz egy virtuális hálózatról a Microsoft gerinchálózatán keresztül a nyilvános internet helyett.
- Biztonságos csatlakozás a virtuális hálózathoz vpn vagy Express Route-kapcsolattal rendelkező helyszíni hálózatokról.
Amikor privát végpontot hoz létre egy témakörhöz vagy tartományhoz a virtuális hálózaton, a rendszer jóváhagyásra vonatkozó kérelmet küld az erőforrás tulajdonosának. Ha a privát végpont létrehozását kérő felhasználó egyben az erőforrás tulajdonosa is, a rendszer automatikusan jóváhagyja ezt a hozzájárulási kérést. Ellenkező esetben a kapcsolat függőben van, amíg jóvá nem hagyják. A virtuális hálózaton lévő alkalmazások zökkenőmentesen csatlakozhatnak az Event Grid szolgáltatáshoz a privát végponton keresztül ugyanazokkal a kapcsolati sztring és engedélyezési mechanizmusokkal, amelyeket egyébként használnának. Az erőforrás-tulajdonosok az Azure Portal Privát végpontok lapján kezelhetik a hozzájárulási kérelmeket és a privát végpontokat.
Csatlakozás privát végpontokhoz
A privát végpontot használó virtuális hálózat közzétevőinek ugyanazt a kapcsolati sztring kell használniuk a témakörhöz vagy tartományhoz, mint a nyilvános végponthoz csatlakozó ügyfelek. A tartománynévrendszer (DNS) feloldása automatikusan átirányítja a kapcsolatokat a virtuális hálózatból a témakörbe vagy tartományba egy privát kapcsolaton keresztül. Az Event Grid alapértelmezés szerint létrehoz egy privát DNS-zónát a virtuális hálózathoz a privát végpontokhoz szükséges frissítéssel. Ha azonban saját DNS-kiszolgálót használ, előfordulhat, hogy további módosításokat kell végeznie a DNS-konfiguráción.
DNS-módosítások privát végpontokhoz
Privát végpont létrehozásakor az erőforrás DNS CNAME rekordja egy altartománybeli aliasra frissül az előtaggal privatelink. Alapértelmezés szerint létrejön egy privát DNS-zóna, amely megfelel a privát kapcsolat altartományának.
Ha a témakör vagy tartományvégpont URL-címét a virtuális hálózaton kívülről oldja fel a privát végponttal, az a szolgáltatás nyilvános végpontjára lesz feloldva. A "topicA" DNS-erőforrásrekordjai, amikor a privát végpontot üzemeltető virtuális hálózaton kívülről oldódnak fel, a következők:
| Név | Típus | Érték |
|---|---|---|
topicA.westus.eventgrid.azure.net |
CNAME | topicA.westus.privatelink.eventgrid.azure.net |
topicA.westus.privatelink.eventgrid.azure.net |
CNAME | <Azure Traffic Manager-profil> |
Az IP-tűzfal használatával megtagadhatja vagy szabályozhatja a virtuális hálózaton kívüli ügyfelek hozzáférését a nyilvános végponton keresztül.
Ha a privát végpontot üzemeltető virtuális hálózatról oldják fel, a témakör vagy a tartományvégpont URL-címe a privát végpont IP-címére lesz feloldva. A "topicA" témakör DNS-erőforrásrekordjai a privát végpontot üzemeltető virtuális hálózaton belül feloldva a következők:
| Név | Típus | Érték |
|---|---|---|
topicA.westus.eventgrid.azure.net |
CNAME | topicA.westus.privatelink.eventgrid.azure.net |
topicA.westus.privatelink.eventgrid.azure.net |
A | 10.0.0.5 |
Ez a megközelítés lehetővé teszi a témakörhöz vagy tartományhoz való hozzáférést ugyanazzal a kapcsolati sztring a privát végpontokat üzemeltető virtuális hálózaton lévő ügyfelek és a virtuális hálózaton kívüli ügyfelek számára.
Ha egyéni DNS-kiszolgálót használ a hálózaton, az ügyfelek feloldhatják a témakör vagy tartományvégpont teljes tartománynevét (FQDN) a privát végpont IP-címére. Konfigurálja a DNS-kiszolgálót úgy, hogy delegálja a privát kapcsolat altartományát a virtuális hálózat privát DNS-zónájához, vagy konfigurálja az A rekordokat topicOrDomainName.regionName.privatelink.eventgrid.azure.net a privát végpont IP-címével.
Az ajánlott DNS-zónanév a következő privatelink.eventgrid.azure.net: .
Privát végpontok és közzététel
Az alábbi táblázat a privát végpont kapcsolatának különböző állapotát és a közzétételre gyakorolt hatásokat ismerteti:
| Kapcsolat állapota | Sikeres közzététel (Igen/Nem) |
|---|---|
| Engedélyezve | Igen |
| Elutasítva | Nem |
| Függőben | Nem |
| Leválasztva | Nem |
Ahhoz, hogy a közzététel sikeres legyen, jóvá kell hagyni a privát végpont kapcsolati állapotát. Ha egy kapcsolat elutasításra kerül, az nem hagyható jóvá az Azure Portalon. Az egyetlen lehetőség a kapcsolat törlése és egy új létrehozása.
Kvóták és korlátok
Az IP-tűzfalszabályok és a privát végpontkapcsolatok száma témakörenként vagy tartományonként korlátozva van. Lásd: Event Grid-kvóták és korlátok.
Következő lépések
Az Event Grid-erőforrás IP-tűzfalát úgy konfigurálhatja, hogy csak bizonyos IP-címek vagy IP-címtartományok közül korlátozza a nyilvános interneten keresztüli hozzáférést. Részletes útmutatást az IP-tűzfal konfigurálása című témakörben talál.
A privát végpontokat úgy konfigurálhatja, hogy csak a kijelölt virtuális hálózatokról korlátozza a hozzáférést. Részletes útmutatásért tekintse meg a privát végpontok konfigurálását ismertető cikket.
A hálózati csatlakozási problémák elhárításához tekintse meg a hálózati csatlakozási problémák hibaelhárítását.