如何安全地连接到AzurePaaS服务

【.com快译】众所周知，在Azure中提供任何基于PaaS的服务时，它都带有一个公共端点。作为云架构师或安全工程师，您必须确保与基于PaaS的服务的此类连接从设计角度来看是安全的。也就是说，为了保证访问公共端点时的安全性，我们往往需要对服务端点进行加固。服务端点（ServiceEndpoint）具体来说，作为虚拟网络的一部分，它需要通过Azure骨干网上的优化路由，提供与Azure服务的直接安全连接。其中，服务终结点使虚拟网络(vnet)中的私有IP地址能够到达Azure服务的终结点，而无需使用vnet上的公共IP地址。下图描绘了一个正在运行的私有虚拟机试图访问虚拟网络中的存储帐户。为此，我们首先需要在运行的VM的唯一虚拟网络中启用服务终结点。启用服务终结点的步骤步骤1：根据需要在虚拟网络上启用服务终结点。由于端点上的各种策略是可选的，您可以根据实际需要过滤进入Azure服务的虚拟网络流量。第二步：进入PaaS服务的防火墙或网络设置界面，添加服务端点。第3步：验证端点服务是否已启用。注意事项1.设置服务端点之前，请确保允许IP防火墙的相应规则。2、连接基于PaaS的服务时，由于服务端点不支持各种本地资源，必须使用本地NATIP或快速路由。此外，您必须在资源IP防火墙设置中允许此类公共IP地址。3.对于服务端点，可用的基于PaaS的服务包括：AzureStorage、AzureDatabaseService、AzureSynapseAnalytics、AzureKeyVault、AzureServiceBus、AzureEventCenter、AzureDataLakeStorageGen1、AzureApplicationService和AzureCognitive服务。4.为了通过服务端点访问SQL和数据湖服务，vnet和PaaS服务应位于同一区域。5.服务端点无法解析DNS查询。值得注意的是，您无需为服务端点支付任何额外费用，并且您可以创建的服务端点数量没有限制。私有端点（Privateendpoint）讨论完服务端点，我们再来看看私有端点。专用端点通过使用来自虚拟网络(vnet)的专用IP地址，有效地将基于PaaS的服务带入虚拟网络(vnet)。我们可以将其视为安全连接到由Azure专用链接提供支持的服务的网络接口。下图描绘了一个正在运行的私有虚拟机试图访问虚拟网络中的存储帐户。为此，我们首先需要为运行VM的虚拟网络设置专用终结点。配置私有端点的步骤第一步：进入PaaS服务，“私有端点创建选项”会出现在防火墙和网络部分，或者作为单独的部分提供。第2步：专用链接提供了为不同Azure资源创建专用端点的选项，包括：专用链接服务、SQL服务器或Azure存储帐户。请选择此专用终结点需要连接到的特定资源。第3步：在这里您必须选择一个虚拟网络/子网以与私有DNS集成。同时，您需要通过DNS记录连接到专用终结点。配置完成后，就可以创建相应的服务了。第四步：您可以在“服务->网络”下的虚拟网络部分检查验证私有端点服务是否已成功创建并正常运行。在上面的示例中，PrivateLink将根据RBAC权限自动批准连接。当然，消费者（consumer）也有批准或拒绝连接的权限。目前，专用端点有四种连接状态，分别是：Approved（提供自动或手动批准）、Pending（未收到批准）、Declined（未批准）、Disconnected（已删除连接）。此外，为了部署专用端点或专用链接服务，还必须为用户分配内置角色，例如：所有者、贡献者和网络贡献者。到目前为止，我们只为存储帐户的blob创建了一个专用端点。如果您需要安全地访问存储帐户的其他资源（例如文件、表或队列等），则需要额外的单独的专用端点连接。事实上，私有端点并不局限于公有云，它还可以支持混合云等广泛的Azure服务。例如，上例中的本地VM可以通过代理网络或快速路由连接到PrivateLink支持的Azure服务。通常，每个专用端点将使用同一子网内的动态专用IP来创建NIC。此外，私有IP地址的值在私有端点的整个生命周期内保持不变。与Azure服务终结点不同，私有终结点需要为终结点的创建以及堆栈内外数据的处理付费。当然，上面讨论的每项服务也会有以下限制：仅支持IPv4流量。可以处理TCP和UDP流量。不支持基本AzureLB（负载均衡器）。此外，AzureSecurityCenterwithAzureSecurityBenchmarks还提供了有关如何保护Azure上的各种云应用程序和资源的建议。总结总之，服务端点具有可公开路由的IP地址，而私有端点可以在虚拟网络地址空间中配置为私有IP。您可以根据实际项目的需要在服务端点和私有端点之间进行明智的选择。如果您有兴趣了解有关如何安全连接到AzurePaaS服务的更多信息，请参阅服务演示视频。原标题：SecureConnectivityToAzurePaaSServices，作者：SagarPawar