Zdenk Kluka - stock.adobe.com
Azure Private Link und Dienstendpunkte im Vergleich
Wenn Sie PaaS in einer Cloud-Umgebung betreiben, benötigen Sie eine private Verbindung, um Ihre Ressourcen zu sichern. In diesem Artikel vergleichen wir zwei Angebote von Azure.
Mit Cloud-Diensten können IT-Teams Projekte umsetzen, für die ihnen ansonsten die Fähigkeiten oder Ressourcen fehlen würden. Sie erhöhen jedoch die Komplexität bei der Steuerung des Zugriffs und somit der Sicherheit im Unternehmen. Virtuelle Netzwerke helfen beim Isolieren verwundbarer Komponenten und ermöglichen Unternehmen die private Kommunikation mit Services.
Microsoft Azure bietet verschiedene Möglichkeiten, private Verbindungen einzurichten. Dedizierte Instanzen, Service-Tags und die Absicherung von Endpunkten unterstützen IT-Profis bei ihren Bemühungen um den Schutz ihrer Cloud-Umgebung. In diesem Artikel konzentrieren wir uns auf zwei Optionen im Angebot von Azure für private Verbindungen: Azure Private Link und Dienstendpunkte. Die beiden Produkte erreichen auf unterschiedlichen Wegen ein sehr ähnliches Ergebnis.
Was ist Azure Private Link?
Azure Private Link ist ein Dienst, mit dem IT-Teams eine Platform-as-a-Service (PaaS) in Azure direkt in ihrem virtuellen Netzwerk (VNET) ausführen können, indem sie es einem privaten Endpunkt zuordnen. Sie behalten dabei die Kontrolle darüber, welche Endpunkte auf welche PaaS-Ressourcen zugreifen können. Da der private Endpunkt einer Ressource und nicht dem Dienst zugeordnet ist, besteht mehr Schutz vor Datenverlust.
Ähnlich wie bei den Dienstendpunkten erreicht diese Vorgehensweise also eine genaue Regulierung, wer über das Netzwerk wie auf den Dienst zugreifen darf; sie müssen aber damit rechnen, dass die Konfiguration der Regeln für Azure Private Link etwas komplizierter ist.
Azure Private Link unterstützt 32 Azure-Dienste, einschließlich Azure Storage, Azure SQL Database, Azure Monitor und Azure Managed Disks.
Was sind Azure-Dienstendpunkte?
Mit Dienstendpunkten können Sie ein oder mehrere Subnetzwerke im VNET Ihrer Cloud definieren, die mit einem PaaS-Angebot kommunizieren können. IT-Teams kontrollieren auf diese Weise die Verbindungswege zwischen der Cloud-Umgebung und einem Dienst, ohne komplexe Regeln für das Filtern von IPs einrichten zu müssen.
Dienstendpunkte unterstützen derzeit 14 Dienste, darunter Azure Storage, Azure SQL Database, Azure App Service und Azure Cognitive Services.
Was sind die Unterschiede?
Der wichtigste Unterschied zwischen diesen beiden Methoden zum Isoliern der PaaS ist somit, dass mit Dienstendpunkten die Plattform außerhalb des virtuellen Netzwerks liegt und bei Azure Private Link innerhalb.
Weitere wichtige Unterschiede sind:
- Private Link ist komplexer zu konfigurieren. Sie müssen in Ihrem VNET Platz dafür schaffen und Azure-PaaS-Ressourcen den jeweiligen Endpunkten manuell einzeln zuordnen.
- Private Link hält den gesamten Datenverkehr in Ihrem VNET. Das ist aus Sicherheitsgründen eine gute Idee und senkt das Risiko von Datenlecks.
- Dienstendpunkte bieten aufgrund ihrer einfacheren Konfiguration und optimiertes Routing im Allgemeinen eine bessere Leistung.
Üblicherweise ist das Verwenden von Dienstendpunkten der schnellere Weg, eine sichere Schnittstelle zwischen einem VNET und einem Dienst herzustellen. Demgegenüber bieten Private Links eine erheblich feinere, weitreichendere Kontrolle und Sicherheit, jedoch um den Preis eines komplexeren Einrichtungsprozesses. Beachten Sie außerdem, dass die beiden Varianten jeweils andere Azure-Dienste unterstützen. Sollte Ihre PaaS nur von einer der beiden Optionen unterstützt werden, nimmt Ihnen das also die Wahl ab.
Letztlich empfiehlt Microsoft in seiner Dokumentation Azure Private Link für Anwender, die einen sicheren und privaten Zugriff auf Dienste benötigen, die auf der Azure-Plattform gehostet werden.