7 december 2022
Door Vincent Villerius (Managing Consultant Azure & Integration)
Bij het opzetten en werken met PaaS-diensten (Platform as a Service) op Azure moet er aan verschillende dingen gedacht worden. Eén daarvan is veiligheid. Of deze diensten namelijk standaard veilig zijn? Nou, deels. Veel PaaS-diensten zijn standaard direct verbonden met het internet en dat brengt een aantal risico’s met zich mee. Denk hierbij aan:
In veel gevallen is het dan ook beter of zelfs noodzakelijk om de PaaS-dienst In deze blog leggen we uit hoe ‘Private Link’ hierbij helpt en waar aan gedacht moet worden bij het gebruik van deze oplossing.
Waarom zijn PaaS-diensten niet standaard veilig?
Anders dan bij SaaS (Software as a Service), waar de leverancier verantwoordelijk is, of IaaS (Infrastructure as a Service), waar beveiliging bij de klant komt te liggen, vallen PaaS-diensten onder een model van gedeelde verantwoordelijkheid. Dit houdt in dat de cloud-leverancier verantwoordelijk is voor de veiligheid van het datacenter en de fysieke infrastructuur en de klant verantwoordelijk is voor het veilig inrichten van de diensten die worden afgenomen. Die inrichting is standaard vaak niet veilig.
Wat is Private Link?
Private Link is een dienst waarmee PaaS-diensten via het ‘Azure backbone’-netwerk verbonden kunnen worden met een VNet (Virtual Network). Deze PaaS-dienst wordt dan zichtbaar in dat VNet als een Private Endpoint. Een Private Endpoint is een IP-adres in de ‘private address space’.
Waar moet ik rekening mee houden als ik Private Link gebruik?
De volgende overweging lijkt simpel, maar wordt vaak over het hoofd gezien.
Als Private Link wordt gebruikt, is de desbetreffende PaaS-dienst niet meer te benaderen vanaf het internet. Dat was natuurlijk precies de bedoeling, maar hier moet wel op geanticipeerd worden! Zorg dus dat diensten die met deze PaaS-dienst moeten communiceren een veilige route hebben naar het VNet en Subnet waarin het Private Endpoint geconfigureerd is. Dit doet men als volgt:
Naast de connectiviteitsoverwegingen is het zaak per PaaS-dienst te controleren of Private Link beschikbaar is in de relevante Azure regio. Er zijn ook PaaS-diensten, waaronder Azure Functions, die alleen in de premium versies Private Link kunnen gebruiken. Dit kan tot complexere architecturen en hogere kosten leiden.
Een laatste overweging is die van beheer. De PaaS-dienst is na het configureren van Private Link niet meer te benaderen vanaf het internet, wat ertoe kan leiden dat een beheerder die niet via een VPN- of ExpressRoute verbinding kan werken, geen toegang meer heeft. In dat geval kan Azure Virtual Desktop, Windows 365 of Azure Dev Box uitkomst bieden.
Wat kost Private Link?
Hoewel de Private Link Service gratis is, zijn aan het Private Endpoint en de data die daar overheen stromen wel kosten kosten verbonden. Begin december 2022 zijn die kosten voor West-Europa:
*Petabytes (per uur voor het bestaan van een Private Endpoint)
Als de desbetreffende informatie beveiligd moet zijn en als een PaaS-dienst alleen vanaf het private netwerk benaderd hoeft te worden, is Private Link een must. In de meeste gevallen zijn de kosten marginaal. Er moet wel rekening gehouden worden met de netwerktopologie en limieten van de PaaS-dienst. Enige kennis van netwerken en routeren is dan ook vereist om Private Link in te regelen maar het is een zeer bruikbare oplossing.
Zelf ontdekken hoe je Private Link het beste kunt inzetten zodat je geen onnodige risico’s loopt? Neem snel contact op met Vincent Villerius, Managing Consultant, Azure & Integration.
Neem contact op