Sicurezza di rete per Hub eventi di Azure

Questo articolo descrive come usare le funzionalità di sicurezza seguenti con Hub eventi di Azure:

  • Tag di servizio
  • Regole del firewall IP
  • Endpoint servizio di rete
  • Endpoint privati

Tag di servizio

Un tag del servizio rappresenta un gruppo di prefissi di indirizzi IP di un determinato servizio di Azure. Microsoft gestisce i prefissi di indirizzo inclusi nel tag del servizio e aggiorna automaticamente il tag in base alla modifica degli indirizzi, riducendo la complessità degli aggiornamenti frequenti alle regole di sicurezza di rete. Per altre informazioni sui tag del servizio, vedere Panoramica dei tag di servizio.

È possibile usare i tag del servizio per definire i controlli di accesso alla rete nei gruppi di sicurezza di rete o in Firewall di Azure. Quando si creano regole di sicurezza, usare i tag del servizio anziché indirizzi IP specifici. Specificando il nome del tag del servizio ,ad esempio , EventHubnel campo di origine o di destinazione appropriato di una regola, è possibile consentire o negare il traffico per il servizio corrispondente.

Tag di servizio Scopo È possibile usarlo in ingresso o in uscita? Può essere regionale? È possibile usarlo con Firewall di Azure?
EventHub Hub eventi di Azure. In uscita

Nota

Hub eventi di Azure tag del servizio contiene alcuni degli indirizzi IP usati da bus di servizio di Azure a causa di motivi cronologici.

Firewall IP

Per impostazione predefinita, gli spazi dei nomi di Hub eventi sono accessibili da Internet, purché la richiesta sia accompagnata da un'autenticazione e da un'autorizzazione valide. Con il firewall IP, è possibile limitarlo ulteriormente a un set di indirizzi IPv4 o IPv6 o intervalli di indirizzi nella notazione CIDR (Classless Inter-Domain Routing).

Questa funzionalità è utile negli scenari in cui Hub eventi di Azure deve essere accessibile solo da siti noti specifici. Le regole del firewall consentono di configurare regole per accettare il traffico proveniente da indirizzi IPv4 o IPv6 specifici. Se ad esempio si usa Hub eventi con Azure ExpressRoute, è possibile creare una regola del firewall per consentire traffico solo dagli indirizzi IP dell'infrastruttura locale.

Le regole del firewall IP vengono applicate a livello dello spazio dei nomi di Hub eventi. Vengono pertanto applicate a tutte le connessioni provenienti dai client con qualsiasi protocollo supportato. Qualsiasi tentativo di connessione da un indirizzo IP che non corrisponde a una regola IP consentita nello spazio dei nomi di Hub eventi viene rifiutato come non autorizzato. La risposta non menziona la regola IP. Le regole del filtro IP vengono applicate in ordine e la prima regola corrispondente all'indirizzo IP determina l'azione di accettazione o rifiuto.

Per altre informazioni, vedere Come configurare il firewall IP per un hub eventi.

Endpoint servizio di rete

L'integrazione di Hub eventi con gli endpoint di servizio di Rete virtuale (rete virtuale) consente l'accesso sicuro alle funzionalità di messaggistica da carichi di lavoro come le macchine virtuali associate alle reti virtuali, con il percorso del traffico di rete protetto in entrambe le estremità.

Dopo aver configurato l'associazione ad almeno un endpoint servizio della subnet di rete virtuale, lo spazio dei nomi di Hub eventi corrispondente non accetta più il traffico da qualsiasi posizione ma subnet autorizzate nelle reti virtuali. Dal punto di vista della rete virtuale, l'associazione di uno spazio dei nomi di Hub eventi a un endpoint del servizio consente di configurare un tunnel di rete isolato dalla subnet della rete virtuale al servizio di messaggistica.

Il risultato è una relazione privata e isolata tra i carichi di lavoro associati alla subnet e lo spazio dei nomi di Hub eventi corrispondente, nonostante l'indirizzo di rete osservabile dell'endpoint del servizio di messaggistica sia in un intervallo di IP pubblici. C'è un'eccezione a questo comportamento. Quando si abilita un endpoint di servizio, per impostazione predefinita, il servizio abilita la denyall regola nel firewall IP associato alla rete virtuale. È possibile aggiungere indirizzi IP specifici nel firewall IP per abilitare l'accesso all'endpoint pubblico di Hub eventi.

Importante

Questa funzionalità non è supportata nel livello basic .

Scenari di sicurezza avanzati abilitati dall'integrazione della rete virtuale

Le soluzioni che richiedono sicurezza stretta e compartimentata e in cui le subnet di rete virtuale forniscono la segmentazione tra i servizi compartimentati, richiedono comunque percorsi di comunicazione tra i servizi che risiedono in tali raggruppamenti.

Qualsiasi route IP immediata tra i compartimenti, incluse quelle destinate al traffico HTTPS su TCP/IP, comportano il rischio di sfruttamento delle vulnerabilità dal livello rete verso l'alto. I servizi di messaggistica forniscono percorsi di comunicazione isolati, in cui i messaggi vengono scritti su disco anche durante la transizione tra le parti. I carichi di lavoro in due reti virtuali distinte associate alla stessa istanza di Hub eventi possono comunicare in modo efficiente e affidabile tramite messaggi, pur mantenendo l'integrità del confine di isolamento rete.

Questo significa che le soluzioni cloud con requisiti di sicurezza elevati non solo possono ottenere l'accesso alle funzionalità di messaggistica asincrona scalabili e affidabili leader del settore di Azure, ma possono ora usare la messaggistica per creare percorsi di comunicazione tra compartimenti sicuri della soluzione, intrinsecamente più sicuri di quanto sia possibile con qualsiasi modalità di comunicazione peer-to-peer, inclusi i protocolli HTTPS e altri protocolli socket protetti da TLS.

Associare hub eventi a reti virtuali

Le regole di rete virtuale rappresentano la funzionalità di sicurezza firewall che controlla se lo spazio dei nomi di Hub eventi di Azure accetta le connessioni da una specifica subnet della rete virtuale.

L'associazione di uno spazio dei nomi di Hub eventi a una rete virtuale è un processo in due passaggi. È prima necessario creare un endpoint servizio di rete virtuale nella subnet di una rete virtuale e abilitarlo per Microsoft.EventHub, come illustrato nell'articolo panoramica dell'endpoint di servizio. Dopo aver aggiunto l'endpoint del servizio, è necessario associare lo spazio dei nomi di Hub eventi all'endpoint con una regola di rete virtuale.

La regola di rete virtuale è un'associazione dello spazio dei nomi di Hub eventi e una subnet della rete virtuale. Fino a quando esiste la regola, a tutti i carichi di lavoro associati alla subnet viene concesso l'accesso allo spazio dei nomi di Hub eventi. Hub eventi non stabilisce mai connessioni in uscita, non deve ottenere l'accesso e non ha quindi mai concesso l'accesso alla subnet abilitando questa regola.

Per altre informazioni, vedere Come configurare gli endpoint servizio di rete virtuale per un hub eventi.

Endpoint privati

collegamento privato di Azure servizio consente di accedere ai servizi di Azure (ad esempio, Hub eventi di Azure, Archiviazione di Azure e Azure Cosmos DB) e ai servizi clienti/partner ospitati in Azure tramite un endpoint privato nella rete virtuale.

Un endpoint privato è un'interfaccia di rete che connette privatamente e in modo sicuro a un servizio basato su Collegamento privato di Azure. L'endpoint privato usa un indirizzo IP privato della rete virtuale, introducendo efficacemente il servizio nella rete virtuale. Tutto il traffico verso il servizio può essere instradato tramite l'endpoint privato, quindi non sono necessari gateway, dispositivi NAT, ExpressRoute o connessioni VPN oppure indirizzi IP pubblici. Il traffico tra la rete virtuale e il servizio attraversa la rete backbone Microsoft, impedendone l'esposizione alla rete Internet pubblica. È possibile connettersi a un'istanza di una risorsa di Azure, garantendo il massimo livello di granularità nel controllo di accesso.

Importante

Questa funzionalità non è supportata nel livello basic .

Per altre informazioni, vedere Come configurare gli endpoint privati per un hub eventi.

Passaggi successivi

Fai riferimento ai seguenti articoli: