Anuncio de Azure Private Link

Publicado el 17 septiembre, 2019

Corporate Vice President, Azure Networking

A los clientes les encanta la escalabilidad de Azure que les brinda la capacidad de expandirse por todo el mundo, a la vez que tienen una amplia disponibilidad. Mediante la adopción en rápido crecimiento de Azure, los clientes tienen que acceder a los datos y servicios de forma privada y segura desde sus redes de crecimiento exponencial. Para ayudar con esto, anunciamos la versión preliminar de Azure Private Link.

Azure Private Link es una forma segura y escalable para que los clientes de Azure consuman servicios de Azure como Azure Storage o SQL, Microsoft Partner Services o sus propios servicios de forma privada desde Azure Virtual Network (VNet). La tecnología se basa en un modelo de proveedor y consumidor donde ambos se hospedan en Azure. Se establece una conexión usando un flujo de llamadas basado en el consentimiento y, una vez establecida, todos los datos que fluyen entre el proveedor de servicios y el consumidor de servicios están aislados de Internet y permanecen en la red de Microsoft. Para comunicarse con el servicio, no son necesarias puertas de enlace, dispositivos de transacción de direcciones de red (NAT) ni direcciones IP públicas.

Azure Private Link lleva los servicios de Azure dentro de la VNet privada del cliente. Se puede acceder a los recursos de los servicios usando la dirección IP privada al igual que cualquier otro recurso en la VNet. Esto simplifica considerablemente la configuración de red al mantener las reglas de acceso privadas.

Diagrama que muestra la topología de Private Link. Empezando por los servicios vinculados a Private Link, luego enlazados y disponibles en VNet del cliente a través de un punto de conexión privado.

Hoy nos gustaría destacar algunos casos de uso únicos que son posibles gracias al anuncio de Azure Private Link:

Conectividad privada a servicios de PaaS de Azure

Los servicios compartidos multiinquilino como Azure Storage y Azure SQL Database están fuera de su VNet y solo se ha accedido a ellos a través de la interfaz pública. Actualmente, puede proteger esta conexión usando puntos de conexión de VNet que mantengan el tráfico dentro de la red troncal de Microsoft y permitan bloquear el recurso de PaaS solo en su VNet. No obstante, el punto de conexión de PaaS sigue operando en una dirección IP pública y, por tanto, no se puede acceder a este desde entornos locales a través de un emparejamiento privado de Azure ExpressRoute o una puerta de enlace de VPN. Con el anuncio de hoy de Azure Private Link, simplemente puede crear un punto de conexión privado en su VNet y asignarlo a su recurso de PaaS (su blob de cuenta de Azure Storage o servidor SQL Database). Se puede acceder a estos recursos a través de una dirección IP privada en su VNet, permitiendo la conectividad desde su entorno local a través de un emparejamiento privado de ExpressRoute o de una puerta de enlace de VPN y manteniendo sencilla la configuración de la red al no abrirla a direcciones IP públicas.

Conectividad privada a su propio servicio

Esta nueva oferta no se limita a los servicios PaaS de Azure, sino que también puede aprovecharla para su propio servicio. En la actualidad, como proveedor de servicios en Azure, tiene que hacer su servicio accesible a través de una interfaz pública (dirección IP) para que sea accesible para otros consumidores que se ejecutan en Azure. Puede utilizar el emparejamiento de VNet y conectarse a la VNet del consumidor para hacerla privada, pero no es escalable y pronto se producirán conflictos de direcciones IP. Con el anuncio de hoy, puede ejecutar su servicio completamente privado en su propia VNet detrás de un Load Balancer Estándar de Azure, habilitarlo para Azure Private Link y permitir que puedan acceder a este consumidores que se ejecutan en una VNet, suscripción o inquilino de Azure Active Directory (AD) diferente, todo con unos simples clics y un flujo de llamadas de aprobación. Como consumidor de servicios, lo único que tendrá que hacer es crear un punto de conexión privado en su propia VNet y consumir el servicio Azure Private Link completamente privado sin abrir sus listas de control de acceso (ACL) a ningún espacio de direcciones IP públicas.

Diagrama de antes y después que muestra los servicios tradicionalmente expuestos a través de IP públicas frente a los expuestos de forma privada en la VNet a través de Private Link.

Conectividad privada al servicio SaaS

Hoy en día, varios partners de Microsoft ya ofrecen muchas soluciones de software como servicio (SaaS) distintas a clientes de Azure. Estas soluciones se ofrecen a través de los puntos de conexión públicos y, para consumir estas soluciones de SaaS, los clientes de Azure deben abrir sus redes privadas a la red pública de Internet. Los clientes desean consumir estas soluciones de SaaS dentro de sus redes privadas como si se implementasen dentro de sus redes. La capacidad de consumir las soluciones de SaaS de forma privada dentro de la propia red del cliente ha sido una solicitud habitual. Con Azure Private Link, vamos a ampliar la experiencia de conectividad privada a los partners de Microsoft. Se trata de un mecanismo muy potente para que los partners de Microsoft lleguen a los clientes de Azure. Estamos seguros de que muchas de las futuras ofertas de Azure Marketplace se harán a través de Azure Private Link. 

Aspectos más destacados de Azure Private Link

  • Acceso privado en el entorno local: Puesto que los recursos de PaaS se asignan a direcciones IP privadas en la VNet del cliente, se puede acceder a ellos a través del emparejamiento privado de Azure ExpressRoute. En la práctica, esto significa que los datos atravesarán una ruta totalmente privada desde el entorno local a Azure. Se puede simplificar la configuración en los firewalls corporativos y las tablas de rutas para permitir el acceso solo a las direcciones IP privadas.
  • Protección frente a la exfiltración de datos: Azure Private Link es único con respecto a la asignación de un determinado recurso de PaaS a una dirección IP privada, en lugar de asignar un servicio completo como hacer otros proveedores de nube. Básicamente, esto significa que cualquier intento malicioso de exfiltrar los datos a una cuenta diferente usando el mismo punto de conexión fallará, brindando así una protección integrada contra la exfiltración de datos.
  • Fácil de instalar: Azure Private Link es sencillo de instalar y requiere una configuración de red mínima. La conectividad trabaja en un flujo de llamadas de aprobación y, una vez que se asigna un recurso de PaaS a un punto de conexión privado, la conectividad trabaja de inmediato sin necesidad de configuraciones adicionales en tablas de ruta y Azure Network Security Groups (NSG).

  • Espacio de direcciones superpuesto: Tradicionalmente, los clientes utilizan el emparejamiento de VNet como mecanismo para conectar varias VNet. El emparejamiento de VNet requiere que las VNet no tenga superpuesto el espacio de dirección. En casos de uso empresariales, suele ser habitual encontrar redes con un espacio de direcciones IP superpuesto. Azure Private Link ofrece una manera alternativa de conectar aplicaciones de forma privada en distintas VNet que tengan un espacio de direcciones IP superpuesto.

Sencillo diagrama que ilustra los servicios en máquinas virtuales (VM) en una VNet que se expone a usuarios en otra VNet a través de un espacio de IP privado con Azure Private Link.

Hoja de ruta

Hoy anunciamos la versión preliminar de Azure Private Link en un conjunto limitado de regiones. Iremos ampliando a más regiones en un futuro próximo. Además, en los próximos meses también agregaremos más servicios PaaS de Azure a Azure Private Link, incluido Azure Cosmos DB, Azure MySQL, Azure PostgreSQL, Azure MariaDB, Azure Application Service y Azure Key Vault, así como servicios para partners.

Le animamos a que pruebe la versión preliminar de Azure Private Link y quedamos a la esperar de escuchar e incorporar sus comentarios. Consulte la documentación para obtener más detalles.