Consentire l'accesso allo spazio dei nomi bus di servizio di Azure da indirizzi IP o intervalli specifici

Per impostazione predefinita, gli spazi dei nomi bus di servizio sono accessibili da Internet, purché la richiesta contenga l'autenticazione e l'autorizzazione valide. Con il firewall IP, il traffico in ingresso può essere limitato a un set di indirizzi IPv4 o intervalli di indirizzi IPv4 (in notazione CIDR (Classless Inter-Domain Routing).

Questa funzionalità è utile negli scenari in cui il bus di servizio deve essere accessibile solo da siti noti specifici. Le regole del firewall consentono di configurare regole di ammissione del traffico proveniente da indirizzi IPv4 specifici. Se ad esempio si usa il bus di servizio con Azure ExpressRoute, è possibile creare una regola del firewall per consentire traffico solo da indirizzi IP o indirizzi IP dell'infrastruttura locale di un gateway NAT aziendale.

Regole del firewall IP

Le regole del firewall IP vengono applicate a livello dello spazio dei nomi del bus di servizio. Di conseguenza, le regole si applicano a tutte le connessioni dai client che usano qualsiasi protocollo supportato (AMQP (5671) e HTTPS (443)). Qualsiasi tentativo di connessione da un indirizzo IP che non corrisponde a una regola IP consentita nello spazio dei nomi bus di servizio viene rifiutato come non autorizzato. Nella risposta non viene fatto riferimento alla regola IP. Le regole del filtro IP vengono applicate in ordine e la prima regola corrispondente all'indirizzo IP determina l'azione di accettazione o rifiuto.

Aspetti importanti

  • Le reti virtuali sono supportate solo nel livello Premium del bus di servizio di Microsoft Azure. Se l'aggiornamento al livello Premium non è un'opzione, è possibile usare le regole del firewall IP. È consigliabile mantenere sicuro il token di firma di accesso condiviso e condividerlo con solo gli utenti autorizzati. Per altre informazioni sull'autenticazione SAS, vedere Autenticazione e autorizzazione.

  • Specificare almeno una regola del firewall IP o una regola di rete virtuale per lo spazio dei nomi per consentire il traffico solo dagli indirizzi IP o dalla subnet specificati di una rete virtuale. Se non sono presenti regole di rete virtuale e IP, è possibile accedere allo spazio dei nomi tramite Internet pubblico (usando la chiave di accesso).

  • L'implementazione di regole del firewall può impedire ad altri servizi di Azure di interagire con bus di servizio. Ad eccezione, è possibile consentire l'accesso alle risorse di bus di servizio da determinati servizi attendibili anche quando è abilitato il filtro IP. Per un elenco dei servizi attendibili, vedere Servizi attendibili.

    I servizi Microsoft seguenti devono essere in una rete virtuale

    • Servizio app di Azure
    • Funzioni di Azure

Nota

Viene visualizzata la scheda Networking solo per gli spazi dei nomi Premium. Per impostare le regole del firewall IP per gli altri livelli, usare i modelli di Azure Resource Manager, l'interfaccia della riga di comando di Azure, PowerShell o l'API REST.

Usare il portale di Azure

Quando si crea uno spazio dei nomi, è possibile consentire l'accesso solo pubblico (da tutte le reti) o privato (solo tramite endpoint privati) allo spazio dei nomi. Dopo aver creato lo spazio dei nomi, è possibile consentire l'accesso da indirizzi IP specifici o da reti virtuali specifiche (usando gli endpoint servizio di rete).

Configurare l'accesso pubblico durante la creazione di uno spazio dei nomi

Per abilitare l'accesso pubblico, selezionare Accesso pubblico nella pagina Networking della procedura guidata Crea spazio dei nomi.

Screenshot che mostra la pagina Networking della procedura guidata Crea spazio dei nomi con l'opzione Accesso pubblico selezionata.

Dopo aver creato lo spazio dei nomi, selezionare Networking nel menu a sinistra della pagina Spazio dei nomi del bus di servizio. Si noterà che l'opzione Tutte le reti è selezionata. È possibile selezionare l'opzione Reti selezionate e consentire l'accesso da indirizzi IP specifici o reti virtuali specifiche. La sezione successiva fornisce informazioni dettagliate sulla configurazione del firewall IP per specificare gli indirizzi IP da cui è consentito l'accesso.

Configurare il firewall IP per uno spazio dei nomi esistente

Questa sezione illustra come usare il portale di Azure per creare regole del firewall per gli indirizzi IP per uno spazio dei nomi del bus di servizio.

  1. Passare allo spazio dei nomi del bus di servizio nel portale di Azure.

  2. Nel menu a sinistra selezionare l'opzione Networking in Impostazioni.

    Nota

    Viene visualizzata la scheda Networking solo per gli spazi dei nomi Premium.

  3. Nella pagina Networking, in Accesso alla rete pubblica, è possibile impostare una delle tre opzioni seguenti. Scegliere l'opzione Reti selezionate per consentire l'accesso solo dagli indirizzi IP specificati.

    • Disabilitati. Questa opzione disabilita qualsiasi accesso pubblico allo spazio dei nomi. Lo spazio dei nomi è accessibile solo tramite endpoint privati.

      Screenshot che mostra la pagina Networking di uno spazio dei nomi con l'accesso pubblico disabilitato.

      Scegliere se si desidera consentire ai servizi Microsoft attendibili di ignorare il firewall. Per l'elenco dei servizi Microsoft attendibili per il Bus di servizio di Azure, vedere la sezione Servizi Microsoft attendibili.

    • Reti selezionate. Questa opzione consente l'accesso pubblico allo spazio dei nomi usando una chiave di accesso dalle reti selezionate.

      Importante

      Se si sceglie Reti selezionate, aggiungere almeno una regola del firewall IP o una rete virtuale che avrà accesso allo spazio dei nomi. Scegliere Disabilitato se si vuole limitare tutto il traffico a questo spazio dei nomi solo su endpoint privati.

    • Tutte le reti (impostazione predefinita). Questa opzione abilita l'accesso pubblico da tutte le reti tramite una chiave di accesso. Se si seleziona l'opzione Tutte le reti, il bus di servizio accetta le connessioni da qualsiasi indirizzo IP (usando la chiave di accesso). Questa impostazione equivale a una regola che accetti l'intervallo di indirizzi IP 0.0.0.0/0.

  4. Per consentire l'accesso solo dall'indirizzo IP specificato, selezionare l'opzione Reti selezionate se non è già selezionata. Nella sezione Firewall seguire questa procedura:

    1. Selezionare l'opzione Aggiungere l'indirizzo IP client per concedere all'IP del client corrente l'accesso allo spazio dei nomi.

    2. Per Intervallo di indirizzi immettere un indirizzo IPv4 specifico o un intervallo di indirizzi IPv4 in notazione CIDR.

    3. Specificare se si vuole consentire ai servizi Microsoft attendibili di ignorare il firewall. Per l'elenco dei servizi Microsoft attendibili per il Bus di servizio di Azure, vedere la sezione Servizi Microsoft attendibili.

      Avviso

      Se si seleziona l'opzione Reti selezionate e non si aggiunge almeno una regola del firewall IP o una rete virtuale in questa pagina, è possibile accedere allo spazio dei nomi tramite Internet pubblico (usando la chiave di accesso).

      Screenshot della pagina rete portale di Azure. L'opzione per consentire l'accesso dalle reti selezionate è selezionata e la sezione Firewall è evidenziata.

  5. Selezionare Salva sulla barra degli strumenti per salvare le impostazioni. Attendere qualche minuto la visualizzazione della conferma tra le notifiche del portale.

    Nota

    Per limitare l'accesso a reti virtuali specifiche, vedere Consentire l'accesso da reti specifiche.

Servizi Microsoft attendibili

Quando si abilita l'impostazione Consentire ai servizi Microsoft attendibili di ignorare il firewall?, ai servizi seguenti viene concesso l'accesso alle risorse del bus di servizio.

Servizio attendibile Scenari di utilizzo supportati
Azure Event Grid Consente a Griglia di eventi di Azure di inviare eventi a code o argomenti nello spazio dei nomi del Bus di servizio. È necessario eseguire anche la procedura seguente:
  • Abilitare l'identità assegnata dal sistema per un argomento o un dominio
  • Aggiungere l'identità al ruolo Mittente dei dati del Bus di servizio di Azure nello spazio dei nomi del Bus di servizio
  • Configurare quindi la sottoscrizione di eventi che usa una coda o un argomento del bus di servizio come endpoint per usare l'identità assegnata dal sistema.

Per altre informazioni, vedere Distribuzione di eventi con Identità gestita

Analisi di flusso di Azure Consente a un processo Analisi di flusso di Azure di restituire i dati nelle code del Bus di servizio agli argomenti.

Importante: il processo Analisi di flusso di Azure deve essere configurato per usare un'identità gestita per accedere allo spazio dei nomi del bus di servizio. Aggiungere l'identità al ruolo Mittente dei dati del Bus di servizio di Azure nello spazio dei nomi del Bus di servizio.

Hub IoT di Azure Consente a un hub IoT di inviare messaggi a code o argomenti nello spazio dei nomi del bus di servizio. È necessario eseguire anche la procedura seguente:
Gestione API di Azure

Il servizio Gestione API consente di inviare messaggi a una coda o a un argomento del bus di servizio nello spazio dei nomi del bus di servizio.

Azure IoT Central

Consente a IoT Central di esportare i dati nelle code o negli argomenti del bus di servizio nello spazio dei nomi del bus di servizio. È necessario eseguire anche la procedura seguente:

Gemelli digitali di Azure Consente a Gemelli digitali di Azure di eseguire l'uscita dei dati negli argomenti del Bus di servizio nello spazio dei nomi del Bus di servizio. È necessario eseguire anche la procedura seguente:

  • Abilitare l'identità assegnata dal sistema per l'istanza di Gemelli digitali di Azure.
  • Aggiungere l'identità al ruolo Mittente dei dati del Bus di servizio di Azure nello spazio dei nomi del Bus di servizio.
  • Configurare quindi un endpoint di Gemelli digitali di Azure o una connessione alla cronologia dei dati di Gemelli digitali di Azure che usa l'identità assegnata dal sistema per l'autenticazione. Per altre informazioni sulla configurazione di endpoint e route eventi alle risorse del Bus di servizio da Gemelli digitali di Azure, vedere Route di eventi di Gemelli digitali di Azure e Creare endpoint in Gemelli digitali di Azure.
Monitoraggio di Azure (impostazioni di diagnostica e gruppi di azioni) Consente a Monitoraggio di Azure di inviare informazioni di diagnostica e notifiche di avviso al Bus di servizio nello spazio dei nomi del Bus di servizio. Monitoraggio di Azure può leggere e scrivere dati nello spazio dei nomi del Bus di servizio.
Azure Synapse Consente ad Azure Synapse di connettersi al Bus di servizio usando l'identità gestita dell'area di lavoro di Synapse. Aggiungere l'identità al ruolo Mittente dei dati del Bus di servizio di Azure o Proprietario dei dati del Bus di servizio di Azure nello spazio dei nomi del Bus di servizio.

Gli altri servizi attendibili per il Bus di servizio di Azure sono elencati di seguito:

  • Esplora dati di Azure
  • Servizi per i dati sanitari di Azure
  • Azure Arc
  • Azure Kubernetes
  • Azure Machine Learning
  • Microsoft Purview
  • Microsoft Defender for Cloud
  • Azure Provider Hub

Usare i modelli di Resource Manager

Questa sezione include un modello di Azure Resource Manager di esempio che aggiunge una rete virtuale e una regola del firewall a uno spazio dei nomi bus di servizio esistente.

ipMask è un singolo indirizzo IPv4 o un blocco di indirizzi IP in notazione CIDR. Ad esempio, nella notazione CIDR, 70.37.104.0/24 rappresenta i 256 indirizzi IPv4, da 70.37.104.0 a 70.37.104.255, con 24 che indica il numero di bit di prefisso significativi per l'intervallo.

Nota

Il valore predefinito di defaultAction è Allow. Quando si aggiungono regole di rete virtuale o firewall, assicurarsi di impostare defaultAction su Deny.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "namespace_name": {
            "defaultValue": "mypremiumnamespace",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "Microsoft.ServiceBus/namespaces",
            "apiVersion": "2022-10-01-preview",
            "name": "[parameters('namespace_name')]",
            "location": "East US",
            "sku": {
                "name": "Premium",
                "tier": "Premium",
                "capacity": 1
            },
            "properties": {
                "premiumMessagingPartitions": 1,
                "minimumTlsVersion": "1.2",
                "publicNetworkAccess": "Enabled",
                "disableLocalAuth": false,
                "zoneRedundant": true
            }
        },
        {
            "type": "Microsoft.ServiceBus/namespaces/networkRuleSets",
            "apiVersion": "2022-10-01-preview",
            "name": "[concat(parameters('namespace_name'), '/default')]",
            "location": "East US",
            "dependsOn": [
                "[resourceId('Microsoft.ServiceBus/namespaces', parameters('namespace_name'))]"
            ],
            "properties": {
                "publicNetworkAccess": "Enabled",
                "defaultAction": "Deny",
                "virtualNetworkRules": [],
                "ipRules": [
                    {
                        "ipMask": "10.1.1.1",
                        "action": "Allow"
                    },
                    {
                        "ipMask": "11.0.0.0/24",
                        "action": "Allow"
                    }
                ]
            }
        }
    ]
}

Per distribuire il modello, seguire le istruzioni per Azure Resource Manager.

Importante

Se non sono presenti regole di rete virtuale e IP, tutto il traffico passa allo spazio dei nomi anche se si imposta defaultAction su deny. È possibile accedere allo spazio dei nomi tramite Internet pubblico (usando la chiave di accesso). Specificare almeno una regola IP o una regola di rete virtuale per lo spazio dei nomi per consentire il traffico solo dagli indirizzi IP o dalla subnet specificati di una rete virtuale.

Utilizzare l'interfaccia della riga di comando di Azure

Usare az servicebus namespace network-rule-set i comandi add, list, update e remove per gestire le regole del firewall IP per uno spazio dei nomi bus di servizio.

Usare Azure PowerShell

Usare i comandi di Azure PowerShell seguenti per aggiungere, elencare, rimuovere, aggiornare ed eliminare regole del firewall IP.

Azione predefinita e accesso alla rete pubblica

REST API

Il valore predefinito della proprietà defaultAction è Deny per l'API versione 2021-01-01-preview e versioni precedenti. Tuttavia, la regola di negazione non viene applicata a meno che non si impostino i filtri IP o le regole della rete virtuale. Ciò significa che, se non si dispone di filtri IP o regole di rete virtuale, viene considerato come Allow.

A partire dall'API versione 2021-06-01-e versioni successive, il valore predefinito della proprietà defaultAction è Allow, per riflettere in modo accurato l'imposizione sul lato servizio. Se l'azione predefinita è impostata su Deny, vengono applicati i filtri IP e le regole della rete virtuale. Se l'azione predefinita è impostata su Allow, i filtri IP e le regole della rete virtuale non vengono applicati. Il servizio memorizza le regole quando vengono disattivate e riattivate.

L'API versione 2021-06-01-preview e versioni successive introduce anche una nuova proprietà denominata publicNetworkAccess. Se è impostata su Disabled, le operazioni sono limitate solo ai collegamenti privati. Se è impostata su Enabled, le operazioni sono consentite tramite Internet pubblico.

Per altre informazioni su queste proprietà, creare o aggiornare connessioni endpoint private.

Nota

Nessuna delle impostazioni precedenti ignora la convalida delle attestazioni tramite la firma di accesso condiviso o l'autenticazione di Microsoft Entra. Il controllo di autenticazione viene sempre eseguito dopo che il servizio convalida i controlli di rete configurati dalle impostazioni defaultAction, publicNetworkAccess, privateEndpointConnections.

Azure portal

Il portale di Azure usa sempre la versione più recente dell'API per ottenere e impostare le proprietà. Se lo spazio dei nomi è stato configurato in precedenza usando 2021-01-01-preview e versioni precedenti con impostato su Denye le regole zero IP e reti virtuali specificate, il portale avrebbe precedentemente selezionato Reti selezionate nella pagina Rete dello spazio dei nomi.defaultAction Ora controlla l'opzione Tutte le reti.

Screenshot della pagina Rete nel portale di Azure. L'opzione per consentire l'accesso da tutte le reti è selezionata nella scheda Firewall e reti virtuali.

Passaggi successivi

Per limitare l'accesso al bus di servizio dalle reti virtuali di Azure, vedere il collegamento seguente: