网络安全外围(NSP)是一项网络隔离功能,可用于定义平台即服务(PaaS)资源的逻辑网络边界,包括Azure Event Hubs。 它限制公共网络访问围栏内的资源,同时允许相关的 PaaS 服务之间的安全通信。
概述
网络安全外围通过以下方法为Azure Event Hubs命名空间提供额外的安全层:
- 限制公共访问:默认情况下,外围中的资源受到保护,不允许未经授权的外部访问。
- 实现安全的 PaaS 到 PaaS 通信:事件中心能够在同一个外围内安全地与其他 Azure 服务(例如 Azure Storage 和 Azure Key Vault)进行通信。
- 简化网络安全管理:可以在外围级别定义access规则,而不是管理单个服务防火墙。
- 支持合规性要求:NSP 通过为数据提供明确的网络边界来帮助满足法规要求。
在Azure Private Link下作为服务运行,网络安全外围为部署在virtual network外部的 PaaS 服务提供安全通信。 它支持:
- 在网络边界内的 PaaS 服务之间实现无缝交互
- 通过精心配置的访问规则与外部资源进行通信
- 面向服务(如用于自带密钥加密的 Azure Key Vault 和用于事件中心捕获的 Azure Storage)的出站访问
关键功能
将事件中心命名空间与网络安全外围相关联时,将获得以下功能:
| 能力 | Description |
|---|---|
| 入站访问规则 | 控制哪些外部资源、IP 地址或订阅可以将数据发送到事件中心命名空间。 |
| 出站访问规则 | 定义事件中心命名空间可以与之通信的外部资源(例如,用于捕获的存储帐户)。 |
| 基于用户档案的管理 | 使用 NSP 配置文件将不同的访问规则集应用于不同的资源。 |
| 诊断日志记录 | 通过 NSP 诊断日志监视网络访问尝试并审核安全事件。 |
支持的方案
事件中心的网络安全外围支持以下方案:
- 来自 Azure 服务的事件摄取:允许同一外围中的其他 Azure 服务将事件发送到事件中心的命名空间。
- Kafka 工作负载:将事件中心与 NSP 框架中的 Kafka 集成可增强数据流式处理功能,同时保持可靠的安全性。
- Data capture:配置出站规则以允许事件中心将捕获的数据写入Azure Storage或Azure Data Lake Storage。
- 客户管理密钥:启用对 Azure Key Vault 的出站访问以使用客户管理密钥(BYOK)进行加密。
局限性
在将网络安全外围与事件中心配合使用时,请注意以下限制:
- 网络安全外围不支持 Azure Event Hubs - 异地灾难恢复。
- 某些网络安全周界功能,如“相同周界访问”、“跨周界访问”以及“订阅访问”规则,不适用于共享访问签名 (Shared Access Signature, SAS) 身份验证。 使用 Microsoft Entra ID 身份验证以实现完整的 NSP 功能。