Azure Private Link – Azure xidmətlərinə internetə çıxmadan, birbaşa öz xüsusi şəbəkənizdən (VNet-dən) qoşulma imkanı verən bir texnologiyadır. Private Link vasitəsilə Azure-un PaaS xidmətləri (Storage Account, SQL Database, Key Vault və s.) üçün Private Endpoint yaradırsınız, bu da həmin xidmətə VNet daxilində xüsusi bir IP adresi təyin edir. Nəticədə, məsələn, Storage hesabınıza çıxış yalnız sizin VNet-dən mümkün olur və data mərkəzinizi tərk etmir. Bu, məlumatların internet üzərindən sızdırılmasının (data exfiltration) qarşısını almaq üçün güclü bir müdafiə qatıdır.
Data exfiltration – yəni məlumatların səlahiyyətsiz şəkildə xaricə ötürülməsi – bulud mühitində ciddi riskdir. Private Link bunu iki cür azaldır: 1. Xidmətlərə Private Endpoint-lə qoşulmaq: İstifadəçilər və tətbiqlər Azure PaaS servislerine (məsələn, blob storage) artıq publik endpoint (internet URL-i) ilə deyil, VNet-dəki lokal IP ilə (privat link) qoşulur. Bu lokal IP Azure backbone şəbəkəsi ilə bağlanır, beləliklə trafik tamamilə Azure daxilində qalır, internetə çıxmır. Xarici hücumçu sizin bu trafikə asanlıqla çata bilməz və eyni zamanda daxili istifadəçilər yanlışlıqla datanı internet üzərindən açıq servislərə atmaq əvəzinə, öz Private Link servislərinə atırlar. 2. İctimai çıxışın məhdudlaşdırılması: Private Link tətbiq edildikdə, adətən həmin PaaS xidmətinin publik endpoint-i tamamilə bağlanır (“Deny public network access” = Yes) edilir. Yəni Storage Account yalnız Private Link-dən gələn bağlantıları qəbul edir. Bu halda, əgər kimsə jurnalları xarici bir Storage account-a çıxarmaq istəsə, onu reallaşdırmaq mümkün olmur, çünki network qaydalarınız internetə çıxışı blok etmiş olur. Yalnız öz icazə verilən Private Link-lər açıqdı.
Private Link-in effektiv olması üçün siz həm PaaS xidmətlərini Private Endpoint-lərlə izolyasiya etməli, həm də VNet-dən internetə çıxışı kontrol etməlisiniz. Tipik bir müdafiə modeli: VNet içində Azure Firewall yerləşdirilir və ya NSG-lərlə egress trafik yalnız bəzı hədəflərə icazə verilir. Məsələn, deyirsiniz ki, bu VNet-dən çıxan HTTP/HTTPS trafik yalnız mənim öz Private Link DNS-lərimə (privatelink.blob.core.windows.net kimi) getsin, qalan internet istiqamətləri bloklansın. Beləliklə, həmin VNet-dən heç kim datasını xarici bir storage hesabına, SaaS xidmətinə və ya fərdi serverə sızdıra bilmir – çünki o istiqamətlər açıq deyil. Bu, xüsusilə çox ciddi məlumat saxlayan qurumlar üçün vacibdir; onların bulud resurslarından məlumat çıxarma yolları minimuma endirilir.
Azure Private Link data exfiltration riskini ən bariz Storage Account misalında həll edir. Service Endpoint əsasında alternativ həllər var idi, lakin Private Link daha güclüdür, çünki tam şəxsi IP təyin edir. Məsələn, bir şirkət bütün VM-lərinə policy qoyur ki, yalnız xüsusi tag-li Storage-lara yazma icazəsi var. Service Endpoint Policy-lər bunu edirdi. İndi Private Link ilə bunu daha asan – sadəcə interneti bağlayıb yalnız öz Storage Private Endpoint-lərini açıq saxlayaraq – edir. Microsoft-un rəsmi bloqunda qeyd olunur ki, Private Link “məlumatları Microsoft şəbəkəsində saxlayır və exfiltration cəhdlərinə qarşı qoruyur”.
Praktik addımlar belədir: – Hər həssas Azure PaaS servisi üçün Private Endpoint yaradırıq. Məsələn, HR sisteminin məlumat bazası olan Azure SQL üçün Private Endpoint – bu SQL server artıq public IP-dən bağlana bilməz. – Virtual şəbəkədə DNS konfigurasiya edirik ki, həmin xidmətin adı private DNS zonası vasitəsilə Private Endpoint-in IP-sini göstərsin. Bu da mühimdir: istifadəçilər normal mydb.database.windows.net ünvanına qoşulanda əslində o, Private IP-yə resolve olur. – VNet-lərin internet egressini Azure Firewall ilə ya da NSG-lərlə məhdudlaşdırırıq. Məsələn, “AzureCloud.*” tag-lərinə icazə verib qalan hamısını deny edirik, ya da konkret FQDN-lərə icazə veririk (Azure Firewall FQDN filteri ilə). – Bununla yanaşı, “Deny Public Network Access” parametri ilə PaaS servislərinin internetdən əlçatan olmadığını təmin edirik.
Beləliklə, məlumat sızmasının yolları bağlanır. İstifadəçi VM-lərindən kənar bir storage hesabına məlumat atmaq istəsə – o storage Azure Private Link ilə qorunmayıbsa – trafik firewall tərəfindən drop edilir. Yaxud kiberhücumçu VM-i ələ keçirsə belə, o, ələ keçirdiyi VM-dən məlumatları öz serverinə yollaya bilməyəcək, çünki NSG-lər onu bayıra buraxmır. Yalnız əvvəlcədən icazəli internal çıxış nöqtələri var.
Bir də, Private Link dataların icazəsiz daxilə girişi riskini də azaldır. Çünki service-ləriniz internetdə publish olmadığı üçün kənardan onlara bağlanmaq cəhdi (DDoS, sındırma) da olmayacaq. Bu da əlavə faydadır, baxmayaraq ki, exfiltration termini əsasən daxildən xaricə sızma üçün istifadə olunur, Private Link hər iki istiqamətdə təhlükəsizliyi gücləndirir.
Sonda qeyd: Azure Private Link tam qüvvəsində ancaq o zaman işləyir ki, siz “network isolation” prinsipini tam tətbiq edəsiniz. Yəni məlumat axınının bütün kanallarını özəl şəbəkələrə salmaq lazımdır. Bir çox müəssisə bu modeli “buludda öz data mərkəzim” kimi görür – ExpressRoute ilə Azure-a bağlıdırlar, Private Link ilə bütün Azure xidmətlərini öz şəbəkələrinə gətiriblər, internet qapıları qapalıdır. Bu strateqiya data exfiltration riskini minimuma endirir və eyni zamanda compliance (məsələn, finans və səhiyyə sektorunda data-nın kontrolu) tələblərini qarşılamağa kömək edir.
Şəkil: Private Link arxitekturasının konsepsiyası – Foundation: Azure Resource Manager və Azure AD identifikasiyası ilə xüsusi “Private Endpoint” yaradılır; Control plane: Private Link inteqrasiya olaraq Storage, SQL kimi Azure xidmətlərinə birbaşa VNet-dən qoşulur; Options: ARM templateləri və Marketplace vasitəsilə bu qurulumu avtomatlaşdırmaq olur. Private Link trafiki Microsoft bulud daxili saxlayır və məlumatların sızmasının qarşısını alır.