Jetzt neu: Azure Private Link

Veröffentlicht am 17 September, 2019

Corporate Vice President, Azure Networking

Unsere Kunden sind von der Skalierbarkeit von Azure begeistert, denn damit haben sie die Freiheit, weltweit zu expandieren und dabei eine hohe Verfügbarkeit sicherzustellen. Immer mehr Kunden entscheiden sich für Azure. Damit steigt der Bedarf an einer Lösung, mit der sie privat und sicher aus den eigenen Netzwerken auf die Daten und Dienste zugreifen können. Deshalb freuen wir uns, heute die Vorschauversion von Azure Private Link vorstellen zu können.

Azure Private Link bietet Azure-Kunden eine sichere und skalierbare Möglichkeit, Azure-Dienste wie Azure Storage oder SQL, Dienste von Microsoft-Partnern oder eigene Dienste privat in ihrem Azure Virtual Network (VNet) zu nutzen. Die Technologie basiert auf einem Modell, bei dem sowohl der Anbieter als auch der Consumer in Azure gehostet wird. Über einen Ablauf für Genehmigungsaufrufe wird eine Verbindung aufgebaut. Danach werden alle Daten, die zwischen dem Dienstanbieter und dem Dienstconsumer fließen, vom Internet isoliert und verbleiben im Microsoft-Netzwerk. Gateways, NAT-Geräte (Network Address Translation, Netzwerkadressenübersetzung) oder öffentliche IP-Adressen sind für die Kommunikation mit dem Dienst nicht erforderlich.

Azure Private Link bringt Azure-Dienste in das private VNet des Kunden. Auf die Dienstressourcen kann wie auf jede andere Ressource im VNet über die private IP-Adresse zugegriffen werden. Dies vereinfacht die Netzwerkkonfiguration erheblich, da die Zugriffsregeln privat bleiben.

Diagramm der Private Link-Topologie. Dienste, die mit Private Link verbunden sind, werden über einen privaten Endpunkt mit dem VNet des Kunden verknüpft und dort verfügbar gemacht.

Heute möchten wir einige besondere Anwendungsfälle vorstellen, die durch das neue Azure Private Link möglich werden:

Private Verbindung mit Azure-PaaS-Diensten

Mehrinstanzenfähige gemeinsame Dienste wie Azure Storage und Azure SQL-Datenbank befinden sich außerhalb des VNet und waren bisher nur über die öffentliche Schnittstelle erreichbar. Heute lässt sich diese Verbindung mit VNet-Dienstendpunkten sichern, die den Datenverkehr im Microsoft-Backbonenetzwerk halten und es ermöglichen, die PaaS-Ressource an Ihr VNet zu binden. Allerdings wird der PaaS-Endpunkt immer noch über eine öffentliche IP-Adresse angesprochen und ist daher aus dem lokalen Netzwerk über Private Peering mit Azure ExpressRoute oder VPN Gateway nicht erreichbar. Mit dem heute vorgestellten Azure Private Link können Sie einfach einen privaten Endpunkt in Ihrem VNet erstellen und ihn Ihrer PaaS-Ressource zuordnen (Blob in Ihrem Azure Storage-Konto oder SQL-Datenbank-Server). Auf diese Ressourcen kann dann über eine private IP-Adresse in Ihrem VNet zugegriffen werden. So kann von Ihrem lokalen Netzwerk über Private Peering mit Azure ExpressRoute und/oder VPN Gateway eine Verbindung hergestellt werden. Die Netzwerkkonfiguration bleibt einfach, da keine Öffnung für öffentliche IP-Adressen erfolgt.

Private Verbindung zu einem eigenen Dienst

Das neue Angebot ist nicht auf Azure-PaaS-Dienste beschränkt. Sie können es auch für Ihren eigenen Dienst nutzen. Bisher müssen Sie als Dienstanbieter in Azure Ihren Dienst über eine öffentliche Schnittstelle (IP-Adresse) zugänglich machen, damit andere Consumer in Azure darauf zugreifen können. Sie können VNet-Peering verwenden und eine Verbindung mit dem VNet des Consumers herstellen, um den Dienst privat zu machen. Dabei ist allerdings keine Skalierbarkeit gegeben, und IP-Adressenkonflikte sind vorprogrammiert. Mit der heute vorgestellten Lösung können Sie Ihren Dienst vollständig privat in Ihrem eigenen VNet hinter einem Azure Load Balancer Standard ausführen, ihn für Azure Private Link aktivieren und zulassen, dass Consumer in einem anderen VNet, mit einem anderen Abonnement oder in einem anderen AD-Mandanten (Azure Active Directory) darauf zugreifen. Dafür reichen ein paar einfache Klicks und ein Ablauf für Genehmigungsaufrufe. Als Dienstconsumer müssen Sie nicht mehr tun, als in Ihrem eigenen VNet einen privaten Endpunkt zu erstellen und den Azure Private Link-Dienst vollständig privat zu nutzen, ohne Ihre Zugriffssteuerungslisten (Access Control List, ACL) für einen öffentlichen IP-Adressraum zu öffnen.

Vorher-Nachher-Diagramm mit Diensten, die bisher über öffentliche IP-Adressen verfügbar gemacht wurden, und solchen, die über Private Link privat im VNet verfügbar gemacht werden.

Private Verbindung mit SaaS-Dienst

Die zahlreichen Partner von Microsoft bieten bereits viele verschiedene SaaS-Lösungen (Software-as-a-Service) für Azure-Kunden an. Diese Lösungen werden über die öffentlichen Endpunkte angeboten. Um sie nutzen zu können, müssen Azure-Kunden ihre privaten Netzwerke für das öffentliche Internet öffnen. Doch die Kunden möchten die SaaS-Lösungen in ihren privaten Netzwerken so nutzen, als wären sie direkt dort bereitgestellt. Viele Kunden haben bereits den Wunsch geäußert, die SaaS-Lösungen privat im eigenen Netzwerk nutzen zu können. Mit Azure Private Link weiten wir die Möglichkeit zur Herstellung einer privaten Verbindung auch auf Microsoft-Partner aus. Für die Microsoft-Partner ist das eine sehr gute Möglichkeit, Azure-Kunden zu erreichen. Wir sind überzeugt, dass es künftig auf dem Azure Marketplace viele Angebote über Azure Private Link geben wird. 

Highlights von Azure Private Link

  • Privater Zugriff auf lokales Netzwerk: Da PaaS-Ressourcen privaten IP-Adressen im VNet des Kunden zugeordnet werden, kann über Private Peering mit Azure ExpressRoute darauf zugegriffen werden. Das bedeutet, dass die Daten einen vollständig privaten Pfad vom lokalen Netzwerk zu Azure durchlaufen. Die Konfiguration der Unternehmensfirewalls und Routingtabellen kann vereinfacht werden, um nur den Zugriff auf die privaten IP-Adressen zuzulassen.
  • Schutz vor Datenexfiltration: Azure Private Link ist insofern einzigartig, als hiermit eine bestimmte PaaS-Ressource einer privaten IP-Adresse zugeordnet werden kann, wohingegen bei anderen Cloudanbietern ein vollständiger Dienst zugeordnet wird. Im Grunde bedeutet das, dass jeder böswillige Versuch, Daten über denselben privaten Endpunkt an ein anderes Konto zu exfiltrieren, fehlschlägt. Es steht also ein integrierter Schutz vor Datenexfiltration zur Verfügung.
  • Einfache Einrichtung: Azure Private Link ist einfach einzurichten und erfordert nur ein Minimum an Netzwerkkonfiguration. Die Verbindung wird über einen Ablauf für Genehmigungsaufrufe hergestellt. Sobald eine PaaS-Ressource einem privaten Endpunkt zugeordnet ist, ist die Verbindung einsatzbereit. Zusätzliche Konfigurationseinstellungen für Routingtabellen und Azure-Netzwerksicherheitsgruppen (NSG) sind nicht erforderlich.

  • Adressraumüberschneidung: Traditionell verwenden Kunden VNet-Peering, um mehrere VNets miteinander zu verbinden. VNet-Peering setzt voraus, dass sich die Adressräume der VNets nicht überschneiden. Im Unternehmenskontext gibt es häufig Netzwerke, deren IP-Adressräume sich überschneiden. Azure Private Link bietet eine alternative Möglichkeit, Anwendungen in verschiedenen VNets mit sich überschneidendem IP-Adressraum privat miteinander zu verbinden.

Beispieldiagramm, das zeigt, wie mit Azure Private Link Dienste auf VMs in einem VNet für Benutzer in einem anderen VNet über einen privaten IP-Adressraum verfügbar gemacht werden.

Roadmap

Wir stellen die Vorschauversion von Azure Private Link heute nur für einige Regionen vor. In naher Zukunft werden wir das Angebot auf weitere Regionen ausweiten. Außerdem werden wir in den kommenden Monaten weitere Azure-PaaS-Dienste zu Azure Private Link hinzufügen, unter anderem Azure Cosmos DB, Azure MySQL, Azure PostgreSQL, Azure MariaDB, Azure Application Service, Azure Key Vault sowie Partnerdienste.

Wir würden uns freuen, wenn Sie die Vorschauversion von Azure Private Link ausprobieren, und freuen uns schon auf Ihr Feedback, das wir gerne umsetzen werden. Weitere Informationen finden Sie in der Dokumentation.