Защита служб Azure PaaS с помощью службы и частных конечных точек.
Цель каждого администратора Azure — любой ценой использовать службы Azure PaaS без общедоступных IP-адресов (в Интернете). Мы хотим защитить наш трафик, используя внутреннюю виртуальную сеть и магистраль Azure, чтобы повысить безопасность, связанную с обменом информацией между Azure IaaS (инфраструктура как услуга) и PaaS (платформа как услуга). В этой статье мы собираемся создать две учетные записи хранения: первая будет защищена с помощью конечных точек службы, а вторая — с помощью частных конечных точек. Мы увидим, как их настраивать и какие изменения происходят при использовании каждого решения.
Использование конечных точек службы
Первый способ защитить вашу рабочую нагрузку — использовать конечные точки службы. Эта функция работает на уровне виртуальной сети, где мы разрешаем конкретную службу Azure — то есть конечную точку службы имен — путем создания расширения текущей виртуальной сети, которое будет видимым из службы Azure.
После этого служба Azure (учетная запись хранения в нашей статье) больше не будет доступна в Интернете и будет доступна только из связанной с ней виртуальной сети.
Существует одно предостережение в отношении конечных точек службы, когда мы блокируем службу Azure для использования определенной виртуальной сети — мы также будем блокировать трафик из локальной среды. Мы можем поработать над добавлением общедоступного IP-адреса, с которого исходит локальная сеть, в список разрешенных IP-адресов, но это нужно сделать вручную, и в этом разделе мы расскажем, как это сделать.
Есть несколько способов включить конечные точки службы. Более простой способ — через службу Azure, которую вы пытаетесь защитить. При управлении учетными записями хранения мы можем выбрать общедоступную конечную точку (выбранные сети) на странице «Сеть» мастера создания учетной записи хранения и выбрать виртуальную сеть и подсеть, как показано на рисунке ниже.
Если у вас уже есть учетная запись хранения, мы всегда можем щелкнуть Брандмауэры и виртуальные сети в нужной учетной записи хранения. В этом новом блейде мы должны выбрать Selected Networks, а затем + добавить существующую виртуальную сеть и выбрать виртуальную сеть и подсеть.
В той же области мы можем добавить общедоступные IP-адреса из локальной сети, чтобы разрешить связь из этих источников с рассматриваемой службой Azure. Мы можем использовать это как обходной путь для решения проблемы связи между локальными службами и службами Azure с использованием конечных точек службы и ограничений брандмауэра.
Примечание. При переключении на конечные точки службы мы указываем службе использовать внутренний IP-адрес, тем самым блокируя любой публичный доступ к службе. Во время этого изменения на короткое время может быть нарушена связь с подсетью.
Когда мы вносим изменения либо во время предоставления, либо постфактум, будет указана новая запись для конечных точек службы в виртуальной сети.
Использование частных конечных точек
Способ работы частных конечных точек отличается от конечной точки службы. Во-первых, при создании частной конечной точки также создается сетевой интерфейс и добавляется в подсеть, а также создается частная зона DNS для поддержки разрешения имен с использованием внутреннего IP-адреса.
С этого момента вся связь с использованием этой частной конечной точки идет из виртуальной сети Azure в службу Azure безопасно с использованием магистрали Azure.
Есть несколько преимуществ использования частных конечных точек. Во-первых, он без проблем поддерживает локальную сеть, потому что это просто еще один IP-адрес в существующей виртуальной сети. Во-вторых, он сопоставляет конкретный экземпляр службы Azure, а не всю службу Azure.
Мы можем настроить частные конечные точки во время предоставления или постфактум. При подготовке ресурса Azure (в данном случае учетной записи хранения) мы должны перейти на страницу «Сеть», выбрать «Частная конечная точка» (элемент 1) и нажать «+ Добавить» (элемент 2).
В новой колонке определите группу ресурсов, имя и выберите виртуальную сеть и подсеть. В частной DNS-интеграции параметр по умолчанию — Да, что инициирует создание новой частной DNS-зоны для поддержки интеграции.
Примечание. Группы безопасности сети и определяемые пользователем маршруты не применяются к сетевым интерфейсам, определенным как частные конечные точки. Вы можете разместить все частные конечные точки в своей подсети, хотя это не является обязательным требованием.
Примечание 2. При подготовке с помощью портала Azure обязательная функция на уровне виртуальной сети устанавливается автоматически. Чтобы виртуальная сеть поддерживала частную конечную точку, для параметра PrivateEndpointNetworkPolicies должно быть задано значение $True.
Мы также можем настроить существующий ресурс. Перейдите к элементу Подключения к частной конечной точке в свойствах ресурса Azure. Когда мы нажмем + Частная конечная точка, мы увидим мастер, который поможет процессу подготовки, и он будет выглядеть, как на изображении выше.
Создание частной конечной точки создает несколько других ресурсов на серверной части, как показано на изображении ниже. Он создает частный ресурс конечной точки, сетевой интерфейс и частную зону DNS (если нет предыдущей зоны, соответствующей этой службе).
Частная зона DNS будет создана для типа ресурса, в нашем случае предназначенного специально для рабочих нагрузок BLOB-объектов в учетной записи хранения. Любые новые будущие частные конечные точки BLOB-объектов будут добавлены в ту же частную зону DNS.
Если мы тестируем с клиента, общедоступное имя имеет второй псевдоним, как мы можем видеть на изображении ниже.
Службы Azure PaaS: настраивайте их по своему усмотрению
Мы продемонстрировали, как использовать два метода для защиты связи с вашими службами Azure PaaS, используя либо частную конечную точку, либо конечные точки службы. Этих сервисов гораздо больше, и их можно настроить в соответствии с требованиями вашего бизнеса и безопасности. Тем не менее, эта статья — отличное начало для понимания того, как они реализованы и какие изменения они привносят в вашу инфраструктуру.