Segurança de rede para Hubs de Eventos do Azure
Este artigo descreve como usar os seguintes recursos de segurança com os Hubs de Eventos do Azure:
- Etiquetas de serviço
- Regras de firewall IP
- Pontos finais de serviço de rede
- Pontos finais privados
Etiquetas de serviço
Uma marca de serviço representa um grupo de prefixos de endereço IP de um determinado serviço do Azure. A Microsoft gerencia os prefixos de endereço incluídos pela etiqueta de serviço e atualiza automaticamente a etiqueta de serviço à medida que os endereços mudam, minimizando a complexidade das atualizações frequentes das regras de segurança de rede. Para obter mais informações sobre tags de serviço, consulte Visão geral de tags de serviço.
Pode utilizar etiquetas de serviço para definir controlos de acesso à rede em grupos de segurança de rede ou no Azure Firewall. Utilize etiquetas de serviço em vez de endereços IP específicos quando criar regras de segurança. Ao especificar o nome da etiqueta de serviço (por exemplo, ) no campo de origem ou destino apropriado de uma regra, EventHubvocê pode permitir ou negar o tráfego para o serviço correspondente.
| Etiqueta de serviço | Propósito | Pode usar inbound ou outbound? | Pode ser regional? | Pode usar com o Firewall do Azure? |
|---|---|---|---|---|
EventHub |
Hubs de Eventos do Azure. | De Saída | Sim | Sim |
Nota
A marca de serviço dos Hubs de Eventos do Azure contém alguns dos endereços IP usados pelo Barramento de Serviço do Azure devido a razões históricas.
Firewall de IP
Por padrão, os namespaces dos Hubs de Eventos são acessíveis pela Internet, desde que a solicitação seja fornecida com autenticação e autorização válidas. Com o firewall IP, você pode restringi-lo ainda mais a apenas um conjunto de endereços IPv4 ou IPv6 ou intervalos de endereços na notação CIDR (Roteamento entre Domínios sem Classe).
Esse recurso é útil em cenários nos quais os Hubs de Eventos do Azure só devem ser acessíveis a partir de determinados sites conhecidos. As regras de firewall permitem configurar regras para aceitar tráfego originado de endereços IPv4 ou IPv6 específicos. Por exemplo, se você usar Hubs de Eventos com a Rota Expressa do Azure, poderá criar uma regra de firewall para permitir o tráfego somente dos endereços IP da infraestrutura local.
As regras de firewall IP são aplicadas no nível de namespace dos Hubs de Eventos. Portanto, as regras se aplicam a todas as conexões de clientes usando qualquer protocolo suportado. Qualquer tentativa de conexão de um endereço IP que não corresponda a uma regra IP permitida no namespace Hubs de Eventos é rejeitada como não autorizada. A resposta não menciona a regra de IP. As regras de filtro IP são aplicadas em ordem e a primeira regra que corresponde ao endereço IP determina a ação de aceitação ou rejeição.
Para obter mais informações, consulte Como configurar o firewall IP para um hub de eventos.
Pontos finais de serviço de rede
A integração de Hubs de Eventos com Pontos de Extremidade de Serviço de Rede Virtual (rede virtual) permite o acesso seguro a recursos de mensagens de cargas de trabalho, como máquinas virtuais vinculadas a redes virtuais, com o caminho de tráfego de rede protegido em ambas as extremidades.
Uma vez configurado para vincular a pelo menos um ponto de extremidade de serviço de sub-rede de rede virtual, o namespace dos respetivos Hubs de Eventos não aceita mais tráfego de qualquer lugar, exceto sub-redes autorizadas em redes virtuais. Do ponto de vista da rede virtual, vincular um namespace de Hubs de Eventos a um ponto de extremidade de serviço configura um túnel de rede isolado da sub-rede de rede virtual para o serviço de mensagens.
O resultado é uma relação privada e isolada entre as cargas de trabalho vinculadas à sub-rede e o respetivo namespace de Hubs de Eventos, apesar do endereço de rede observável do ponto de extremidade do serviço de mensagens estar em um intervalo de IP público. Há uma exceção a esse comportamento. Quando você habilita um ponto de extremidade de serviço, por padrão, o serviço habilita a denyall regra no firewall IP associado à rede virtual. Você pode adicionar endereços IP específicos no firewall IP para habilitar o acesso ao ponto de extremidade público dos Hubs de Eventos.
Importante
Este recurso não é suportado na camada básica .
Cenários avançados de segurança habilitados pela integração de rede virtual
Soluções que exigem segurança apertada e compartimentada, e onde as sub-redes de rede virtual fornecem a segmentação entre os serviços compartimentados, ainda precisam de caminhos de comunicação entre os serviços que residem nesses compartimentos.
Qualquer rota IP imediata entre os compartimentos, incluindo aqueles que transportam HTTPS sobre TCP/IP, acarreta o risco de exploração de vulnerabilidades da camada de rede para cima. Os serviços de mensagens fornecem caminhos de comunicação isolados, onde as mensagens são gravadas até mesmo no disco à medida que transitam entre as partes. As cargas de trabalho em duas redes virtuais distintas que estão vinculadas à mesma instância de Hubs de Eventos podem se comunicar de forma eficiente e confiável por meio de mensagens, enquanto a integridade do limite de isolamento de rede respetiva é preservada.
Isso significa que suas soluções de nuvem sensíveis à segurança não apenas obtêm acesso aos recursos de mensagens assíncronas confiáveis e escaláveis líderes do setor do Azure, mas agora podem usar mensagens para criar caminhos de comunicação entre compartimentos de solução seguros que são inerentemente mais seguros do que o que é possível alcançar com qualquer modo de comunicação ponto a ponto, incluindo HTTPS e outros protocolos de soquete protegidos por TLS.
Vincular hubs de eventos a redes virtuais
As regras de rede virtual são o recurso de segurança de firewall que controla se o namespace dos Hubs de Eventos do Azure aceita conexões de uma sub-rede de rede virtual específica.
Vincular um namespace de Hubs de Eventos a uma rede virtual é um processo de duas etapas. Primeiro, você precisa criar um ponto de extremidade de serviço de rede virtual na sub-rede de uma rede virtual e habilitá-lo para Microsoft.EventHub, conforme explicado no artigo de visão geral do ponto de extremidade de serviço. Depois de adicionar o ponto de extremidade de serviço, você vincula o namespace Hubs de Eventos a ele com uma regra de rede virtual.
A regra de rede virtual é uma associação do namespace Hubs de Eventos com uma sub-rede de rede virtual. Enquanto a regra existir, todas as cargas de trabalho vinculadas à sub-rede recebem acesso ao namespace Hubs de Eventos. Os Hubs de Eventos em si nunca estabelecem conexões de saída, não precisam obter acesso e, portanto, nunca recebem acesso à sua sub-rede habilitando essa regra.
Para obter mais informações, consulte Como configurar pontos de extremidade de serviço de rede virtual para um hub de eventos.
Pontos finais privados
O serviço Azure Private Link permite que você acesse os Serviços do Azure (por exemplo, Hubs de Eventos do Azure, Armazenamento do Azure e Azure Cosmos DB) e os serviços de cliente/parceiro hospedados pelo Azure em um ponto de extremidade privado em sua rede virtual.
Um ponto final privado é uma interface de rede que o liga a um serviço de forma privada e segura com a tecnologia Azure Private Link. O ponto final privado utiliza um endereço IP privado da sua rede virtual, para que possa aceder ao serviço de forma eficaz na sua rede virtual. Todo o tráfego para o serviço pode ser encaminhado através do ponto final privado, pelo que não são necessários gateways, dispositivos NAT, ligações ExpressRoute ou VPN nem endereços IP públicos. O tráfego entre a rede virtual e o serviço percorre a rede de backbone da Microsoft, eliminando a exposição da Internet pública. Você pode se conectar a uma instância de um recurso do Azure, oferecendo o mais alto nível de granularidade no controle de acesso.
Importante
Este recurso não é suportado na camada básica .
Para obter mais informações, consulte Como configurar pontos de extremidade privados para um hub de eventos.
Próximos passos
Consulte os seguintes artigos: