Anuncio de Azure Private Link

Publicado el 17 septiembre, 2019

Corporate Vice President, Azure Networking

A los clientes les encanta la escala de Azure, porque les permite expandirse por todo el mundo y ofrecer alta disponibilidad. A medida que aumenta con rapidez la adopción de Azure, la necesidad de los clientes de acceder a los datos y servicios de forma privada y segura desde sus redes crece exponencialmente. Con el fin de facilitar esto, anunciamos la versión preliminar de Azure Private Link.

Azure Private Link ofrece una forma segura y escalable para que los clientes de Azure consuman servicios de Azure (como Azure Storage o SQL), servicios de asociados de Microsoft o sus propios servicios de forma privada desde su red virtual de Azure Virtual Network (VNet). La tecnología se basa en un modelo de proveedor y consumidor donde ambos se hospedan en Azure. Se establece una conexión mediante un flujo de llamada basada en el consentimiento y, una vez que esto sucede, todos los datos que fluyen entre el proveedor y el consumidor del servicio se aíslan de Internet y permanecen en la red de Microsoft. Ya no hay necesidad de usar puertas de enlace, dispositivos de traducción de direcciones de red (NAT) ni direcciones IP públicas para comunicarse con el servicio.

Azure Private Link trae los servicios de Azure a la red virtual privada del cliente. A los recursos de los servicios se puede acceder con la dirección IP privada, como a cualquier otro recurso de la red virtual. Esto simplifica enormemente la configuración de red al mantener las reglas de acceso privadas.

Diagrama que muestra la topología de Private Link, comenzando por servicios que se asocian a Private Link y, después, se vinculan y se ponen a disposición en la red virtual del cliente a través de un punto de conexión privado.

Hoy nos gustaría destacar algunos casos de uso importantes y únicos que son posibles con Azure Private Link:

Conectividad privada con servicios PaaS de Azure

Los servicios compartidos multiinquilino, como Azure Storage y Azure SQL Database, están fuera de la red virtual y solo se puede tener acceso a ellos a través de la interfaz pública. Ahora puede proteger esta conexión con puntos de conexión de servicio de red virtual que mantienen el tráfico dentro de la red troncal de Microsoft y permiten bloquear el recurso PaaS para que solo esté accesible en su red virtual. Sin embargo, el punto de conexión PaaS todavía se atiende a través de una dirección IP pública y, por tanto, no se puede acceder a él desde el entorno local a través del emparejamiento privado de Azure ExpressRoute o de VPN Gateway. Con la funcionalidad de Azure Private Link que anunciamos hoy, puede simplemente crear un punto de conexión privado en la red virtual y asignarlo a su recurso PaaS (el servidor de SQL Database o el blob de su cuenta de Azure Storage). A estos recursos se puede acceder a través de una dirección IP privada en su red virtual, lo que permite la conectividad desde el entorno local a través de VPN Gateway o del emparejamiento privado de Microsoft Azure ExpressRoute, al tiempo que mantiene la configuración de red sencilla sin abrirla a direcciones IP públicas.

Conectividad privada con su propio servicio

Esta nueva oferta no se limita a los servicios PaaS de Azure, puede aprovecharla también para su propio servicio. Actualmente, como proveedor de servicios en Azure, tiene que hacer que el servicio esté accesible a través de una interfaz (dirección IP) pública para que puedan acceder a él otros consumidores que utilizan Azure. Puede usar Emparejamiento de VNET y conectarse a la red virtual del consumidor para hacerla privada, pero no es escalable y pronto experimentará conflictos de direcciones IP. Con la funcionalidad que hoy anunciamos, puede ejecutar el servicio de forma completamente privada en su propia red virtual detrás de una instancia de Azure Standard Load Balancer, habilitarlo para Azure Private Link y permitir que puedan acceder a él consumidores de otra red virtual, otra suscripción u otro inquilino de Azure Active Directory (AD), todo ello con simples clics y un flujo de llamadas de aprobación. Como consumidor de servicios, todo lo que tendrá que hacer es crear un punto de conexión privado en su propia red virtual y consumir el servicio Azure Private Link de forma completamente privada sin abrir las listas de control de acceso (ACL) a ningún espacio de direcciones IP públicas.

Diagrama del antes y el después, donde se muestran los servicios que tradicionalmente se exponían a través de direcciones IP públicas y ahora se exponen de forma privada en la red virtual a través de Private Link

Conectividad privada con servicios PaaS

Los numerosos asociados de Microsoft ya ofrecen muchas soluciones de software como servicio (SaaS) a los clientes de Azure. Estas soluciones se ofrecen a través de los puntos de conexión públicos y, para consumir estas soluciones SaaS, los clientes de Azure deben abrir sus redes privadas a la Internet pública. Los clientes quieren consumir estas soluciones SaaS en sus redes privadas como si estuvieran implementadas en sus redes. La capacidad para consumir las soluciones SaaS de forma privada en la propia red del cliente ha sido una funcionalidad muy solicitada. Con Azure Private Link, ampliamos la experiencia de conectividad privada a los asociados de Microsoft. Se trata de un mecanismo muy eficaz para que los asociados de Microsoft lleguen a los clientes de Azure. Estamos seguros de que muchas ofertas de Azure Marketplace se realizarán a través de Azure Private Link. 

Aspectos más destacados de Azure Private Link

  • Acceso privado en el entorno local. Dado que los recursos de PaaS se asignan a direcciones IP privadas en la red virtual del cliente, se puede acceder a ellos a través del emparejamiento privado de Azure ExpressRoute. Esto significa que los datos seguirán una ruta de acceso completamente privada desde el entorno local hasta Azure. La configuración de los firewalls corporativos y las tablas de rutas se pueden simplificar para permitir el acceso únicamente a las direcciones IP privadas.
  • Protección frente a la filtración de datos. Azure Private Link es único en lo que respecta a la asignación de un recurso PaaS específico a una dirección IP privada, en lugar de asignar un servicio completo como hacen otros proveedores de nube. Básicamente, esto significa que cualquier intento malintencionado de filtrar datos a otra cuenta usando el mismo punto de conexión privado fracasará, lo que proporciona protección integrada frente a la filtración de datos.
  • Fácil de configurar. Azure Private Link es muy sencillo de configurar, ya que solo requiere una configuración de red mínima. La conectividad funciona a través de un flujo de llamadas de aprobación y, una vez que se asigna un recurso PaaS a un punto de conexión privado, la conectividad se establece sin necesidad de configuración adicional en las tablas de rutas ni en los grupos de seguridad de red (NSG) de Azure.

  • Superposición de espacios de direcciones. Normalmente, los clientes utilizan Emparejamiento de VNET como mecanismo para conectar varias redes virtuales. Emparejamiento de VNET requiere que las redes virtuales tengan un espacio de direcciones que no se superponga. En los casos de uso empresariales, suele ser habitual encontrar redes con un espacio de direcciones IP superpuesto. Azure Private Link ofrece una forma alternativa de conectar de forma privada aplicaciones de redes virtuales diferentes que tienen un espacio de direcciones IP superpuesto.

Diagrama sencillo que muestra servicios en máquinas virtuales en una red virtual que se exponen a los usuarios de otra red virtual a través de un espacio de direcciones IP privadas con Azure Private Link.

Plan de desarrollo

Hoy anunciamos la versión preliminar de Azure Private Link en un conjunto limitado de regiones. Se ampliará a más regiones en un futuro próximo. Además, en los próximos meses se agregarán también más servicios PaaS de Azure a Azure Private Link, como Azure Cosmos DB, Azure MySQL, Azure PostgreSQL, Azure MariaDB, Azure Application Service y Azure Key Vault, así como servicios de asociados.

Le animamos a que pruebe la versión preliminar de Azure Private Link. Estamos deseando conocer sus comentarios e incorporarlos al producto. Consulte la documentación para obtener más información.