如何安全地連接到Azure PaaS服務(wù)
譯文【51CTO.com快譯】眾所周知,在Azure中預配任何基于PaaS的服務(wù)時,它都會附帶一個公共的端點。而作為云架構(gòu)師或安全工程師,您必須從設(shè)計的角度,確保此類基于PaaS服務(wù)的連接是安全的。也就是說,為了保證訪問公共端點時的安全性,我們往往需要對服務(wù)端點進行加固。
服務(wù)端點(Service Endpoint)
具體而言,作為虛擬網(wǎng)絡(luò)的一部分,它需要通過Azure主干網(wǎng)絡(luò)上的優(yōu)化路由,來提供與Azure服務(wù)直接且安全的連接。其中,服務(wù)端點能夠讓虛擬網(wǎng)絡(luò)(vnet)中的私有IP地址,到達Azure服務(wù)的一個端點,而無需使用vnet上的公共IP地址。
下圖描繪了在虛擬網(wǎng)絡(luò)中,一臺正在運行的私有虛擬機試圖訪問某個存儲帳戶。為此,我們首先需要在已運行的VM的唯一虛擬網(wǎng)絡(luò)中,啟用服務(wù)端點。
啟用服務(wù)端點的步驟
第一步:按需在虛擬網(wǎng)絡(luò)上啟用服務(wù)端點。由于端點上的各種策略都是可選的,因此您可以根據(jù)實際需求,過濾那些前往Azure服務(wù)的虛擬網(wǎng)絡(luò)流量。
第二步:進入PaaS服務(wù)的防火墻或網(wǎng)絡(luò)設(shè)置界面,添加服務(wù)端點。
第三步:驗證端點服務(wù)是否已被啟用。
注意事項
1. 在設(shè)置服務(wù)端點之前,請確保IP防火墻的相應(yīng)規(guī)則已被允許。
2. 連接到基于PaaS的服務(wù)上時,由于服務(wù)端點并不支持各種本地資源,因此您必須使用本地的NAT IP或快速路由的方式。而且,您必須在資源IP防火墻的設(shè)置中,允許此類公共IP地址。
3. 對于服務(wù)端點而言,可用的基于PaaS的服務(wù)包括:Azure存儲、Azure數(shù)據(jù)庫服務(wù)、Azure Synapse Analytics、Azure Key Vault、Azure服務(wù)總線、Azure事件中心、Azure數(shù)據(jù)湖存儲Gen 1、Azure應(yīng)用服務(wù)、以及Azure認知服務(wù)。
4. 為了通過服務(wù)端點去訪問SQL和數(shù)據(jù)湖服務(wù),vnet和PaaS服務(wù)應(yīng)當位于同一個區(qū)域中。
5. 服務(wù)端點并不能解析DNS的查詢。
值得注意的是,您無需為服務(wù)端點支付任何額外的費用,并且創(chuàng)建服務(wù)端點的數(shù)量也不受任何限制。
私有端點(Private endpoint)
在討論了服務(wù)端點之后,我們下面來看看私有端點。私有端點會通過使用來自虛擬網(wǎng)絡(luò)(vnet)的私有IP地址,有效地將基于PaaS的服務(wù)引入虛擬網(wǎng)絡(luò)。我們可以認為它是一種網(wǎng)絡(luò)接口,能夠安全地連接到由Azure Private Link提供支持的服務(wù)處。
下圖描繪了在虛擬網(wǎng)絡(luò)中,一臺正在運行的私有虛擬機試圖訪問某個存儲帳戶。為此,我們首先需要為正在運行VM的虛擬網(wǎng)絡(luò),去設(shè)置一個私有端點。
配置私有端點的步驟
第一步:進入PaaS服務(wù),“私有端點創(chuàng)建選項”會出現(xiàn)在防火墻和網(wǎng)絡(luò)部分中,或作為一個單獨的部分被提供。
第二步:Private Link提供了為不同的Azure資源,創(chuàng)建私有端點的選項,其中包括:Private Link服務(wù)、SQL服務(wù)器或Azure存儲帳戶。請選擇該私有端點需要連接的具體資源。
第三步:在此,您必須選擇一個虛擬網(wǎng)絡(luò)/子網(wǎng),并與私有的DNS相集成。同時,您需要通過一個DNS記錄,實現(xiàn)與私有端點的連接。在配置完成后,您便可以創(chuàng)建相應(yīng)的服務(wù)了。
第四步:您可以在“服務(wù) -> 網(wǎng)絡(luò)”下的虛擬網(wǎng)絡(luò)部分,檢查并驗證私有端點服務(wù)是否已被成功創(chuàng)建,以及是否能夠正常運行。
在上述例子中,Private Link會基于RBAC的許可,自動批準連接。當然,消費者(consumer)也有權(quán)限去批準或拒絕連接。目前,私有端點具有四種連接狀態(tài),它們分別是:已批準(提供自動或手動批準)、待定(未收到批準)、已拒絕(未批準)、已斷開(連接已被刪除)。
此外,為了部署私有端點或Private Link服務(wù),用戶也必須被分配諸如:所有者、貢獻者、以及網(wǎng)絡(luò)貢獻者等內(nèi)置的角色。
至此,我們僅為存儲帳戶的blob創(chuàng)建了一個私有端點。如果您需要安全地訪問存儲帳戶的其他資源(例如文件、表或隊列等),那么還需要其他單獨的私有端點連接。
其實,私有端點并不限于公共云,它也能夠支持混合云等廣泛的Azure服務(wù)。例如,上例中的本地VM,就可以通過代理網(wǎng)絡(luò)或快速路由,連接到由Private Link提供支持的Azure服務(wù)上。
通常,每個私有端點都會使用同一子網(wǎng)內(nèi)的動態(tài)私有IP,來創(chuàng)建一個NIC。而且,私有IP地址的數(shù)值,在私有端點的整個生命周期內(nèi)都是保持不變的。
與Azure服務(wù)端點不同,私有端點需要為端點的創(chuàng)建、以及出入棧數(shù)據(jù)的處理收取費用。
當然,上述討論的每一項服務(wù)也都會有著如下的限制:
- 僅支持IPv4的流量。
- 可處理TCP和UDP流量。
- 不支持基本的Azure LB(負載均衡器)。
此外,具有Azure安全基準的Azure安全中心,也提供了有關(guān)如何保護Azure上各種云端應(yīng)用和資源的建議。
小結(jié)
總的說來,服務(wù)端點帶有可公共路由的IP地址,而私有端點則可配置為在虛擬網(wǎng)絡(luò)地址空間中的私有IP。您可以根據(jù)實際項目的需求,在服務(wù)端點和私有端點之間做出明智的選擇。如果您有興趣了解更多有關(guān)如何安全地連接到Azure PaaS服務(wù)的知識,請參考服務(wù)演示視頻。
原文標題:Secure Connectivity To Azure PaaS Services,作者:Sagar Pawar
【51CTO譯稿,合作站點轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】
