White paper de suporte à Virtual Network

A sua organização pode usar o Azure Virtual Network para garantir que os seus serviços Power Platform operam num ambiente de rede seguro e controlado, reduzindo o risco de violações de dados e acessos não autorizados. Este white paper fornece uma análise aprofundada do suporte ao Azure Virtual Network no Power Platform. Destaca os principais benefícios, descreve o processo de implementação e a arquitetura técnica, discute casos de uso reais e oferece insights práticos a partir de um estudo de caso bem-sucedido. É um recurso valioso para profissionais de TI e decisores que procuram melhorar a segurança da rede e a eficiência operacional.

Principais benefícios

• Segurança aprimorada: hospede os serviços do Power Platform em uma rede segura, protegendo dados confidenciais contra acesso não autorizado e violações potenciais.

• Conectividade melhorada: Estabelecer ligações seguras e fiáveis entre os serviços Power Platform e outros recursos Azure, melhorando a conectividade global.

• Gestão de rede simplificada: Simplifique a gestão de rede com uma abordagem centralizada e consistente para configurar e gerir definições de rede para os serviços Power Platform.

• Escalabilidade: Dimensione os serviços do Power Platform de forma eficiente, garantindo que os recursos da rede possam crescer conforme as necessidades do negócio.

• Conformidade: satisfaça os requisitos regulamentares e de conformidade para segurança de rede e proteção de dados.

Fundo

Microsoft Power Platform é uma plataforma líder low-code/no-code que capacita as pessoas a construir aplicações, automatizar fluxos de trabalho e analisar dados — mesmo que não sejam programadores profissionais — para criar soluções personalizadas adaptadas a necessidades específicas do negócio, promovendo a inovação e aumentando a produtividade. Power Platform engloba os seguintes serviços da Microsoft:

• Dataverse serve como a plataforma de dados subjacente, o que fornece um ambiente seguro e dimensionável para armazenar e gerir dados.
• Power Apps oferece uma interface amigável para construir aplicações personalizadas.
• Power Automate oferece uma interface de arrastar e largar para automatizar tarefas e fluxos de trabalho repetitivos.
• Power BI oferece capacidades robustas de visualização e análise de dados.
• Power Pages oferece uma interface fácil de usar para construir websites de nível profissional.
• Copilot Studio facilita a criação de bots e agentes inteligentes sem conhecimento aprofundado de engenharia de IA.

A integração destes componentes com recursos do Azure através de redes virtuais melhora a funcionalidade e segurança global da Power Platform. As redes virtuais fornecem um ambiente de rede seguro e isolado no qual Power Platform os serviços podem operar, permitindo que sua organização controle e gerencie o tráfego de rede e, ao mesmo tempo, garanta que os dados sejam protegidos em conformidade com os requisitos regulamentares.

Segurança de rede e integração com Virtual Network

A segurança da rede é um aspeto crítico de qualquer infraestrutura digital. Proteger o tráfego de saída dos serviços do Power Platform é essencial para evitar acesso não autorizado, falha de segurança de dados e outras ameaças à segurança. A integração com Virtual Network desempenha um papel vital. Ao proporcionar um caminho seguro para a transmissão de dados e garantir que todo o tráfego proveniente da Power Platform serve passa por um ambiente de rede controlado e monitorizado, reduz-se o risco de exposição a potenciais ameaças.

Ao implementar suporte à Virtual Network, a sua organização pode aplicar políticas de segurança rigorosas, monitorizar o tráfego de rede e detetar quaisquer anomalias em tempo real. Este nível de controlo é crucial para manter a integridade e a confidencialidade dos dados confidenciais. Ao mesmo tempo, a integração com o Virtual Network simplifica a arquitetura geral da rede e melhora a fiabilidade ao permitir que os serviços Power Platform se conectem perfeitamente com outros recursos do Azure.

Visão geral do suporte à Virtual Network na Power Platform

O suporte à Virtual Network é uma melhoria significativa que traz segurança robusta e conectividade melhorada ao Power Platform. As redes virtuais são um componente fundamental das capacidades de rede da Azure, permitindo à sua organização ligar os serviços Power Platform a recursos nas suas redes privadas empresariais. Estabelecem comunicação segura entre os serviços Power Platform, outros recursos do Azure e redes, como serviços on-premises, bases de dados, contas de armazenamento e um cofre de chaves.

Ao rotear todo o tráfego de saída dos serviços do Power Platform por meio de uma rede virtual, a sua organização pode garantir que os dados sejam transmitidos com segurança e permaneçam protegidos contra acesso não autorizado. Uma rede virtual também melhora a conectividade, fornecendo um ambiente de rede confiável e consistente. Estabelecer ligações seguras entre os serviços Power Platform e outros recursos do Azure assegura um fluxo de dados fluido e uma utilização mais eficiente dos recursos de rede.

Nos bastidores

A infraestrutura Power Platform consiste numa camada de orquestração de contentores serverless que executa cargas de trabalho com um limite de segurança rigoroso e garante disponibilidade individual, ao nível da carga de trabalho e escalabilidade. A camada de orquestração de contentores lida com todas as cargas de trabalho que necessitam de isolamento, incluindo cargas internas da Microsoft como conectores e cargas de clientes como plug-ins.

A carga de trabalho containerizada permite ao Power Platform suportar isolamento ao nível da rede usando uma combinação de delegação de subredes do Azure e funcionalidades de injeção do Virtual Network. Com a injeção de Rede Virtual, um contentor pode ser injetado numa rede virtual ligando uma placa de interface de rede. Qualquer carga de trabalho em execução nesse contentor é executada na rede do cliente e pode usar endereços IP privados dentro da rede. As cargas de trabalho plug-in podem aceder a serviços de utilizador, recursos ou recursos do Azure com uma ligação privada exposta à mesma rede virtual. Da mesma forma, um workload do conector pode aceder ao recurso ou endpoint de destino dentro da mesma rede virtual.

Delegação de sub-rede do Azure

O suporte da Virtual Network para a Power Platform baseia-se na delegação de sub-redes do Azure. As empresas delegam uma sub-rede para ser utilizada pelos serviços Power Platform, como plug-ins e conectores do Dataverse, para processar solicitações em execução. Os contentores usam o endereço IP da sub-rede delegada para processar estes pedidos.

Como o contentor opera dentro dos limites da sub-rede delegada e usa seu endereço IP, qualquer chamada de saída do contentor permanece dentro dos limites de rede da empresa, ou seja, a chamada permanece na rede virtual que faz parte dessa sub-rede. Essa configuração permite que sua organização tenha controle total sobre as políticas, regras e pacotes de rede para contêineres. Você pode aplicar os mesmos controles à sub-rede delegada que aplica à sua própria rede.

O Power Platform não gere a configuração da sub-rede delegada. O único requisito é que a sub-rede delegada não possa ser usada para outros recursos ou delegada a outros serviços. Depois que uma sub-rede é delegada, os endereços IP dentro dessa sub-rede são reservados para Power Platform.

O acesso à Internet a partir dos contentores não é restrito por defeito. É possível limitar ou controlar a saída do tráfego de rede através da configuração aplicada à rede virtual. Para informações sobre como restringir o acesso à internet, consulte Melhores práticas para proteger ligações de saída.

A tabela a seguir resume a propriedade da sub-rede delegada e os controles disponíveis para clientes e Microsoft.

Arquitetura técnica

O diagrama a seguir da arquitetura técnica de uma Power Platform solução mostra como componentes como fontes de dados, conectores, serviços e aplicativos interagem e se integram na solução. O diagrama destaca o uso de redes virtuais para melhorar a segurança e a conectividade, permitindo que Power Platform os serviços se conectem a recursos privados e protegidos sem expô-los à Internet. A arquitetura demonstra como as solicitações de execução são roteadas para contêineres na rede virtual, mantendo os limites de isolamento de contentor.

Numa configuração Virtual Network, o contentor que executa o plug-in ou conector faz parte da virtual network da organização. A comunicação com os pontos finais na rede virtual permanece dentro do limite da rede virtual. Pode estender a fronteira para outras redes virtuais ou redes locais utilizando o emparelhamento de Rede Virtual e o ExpressRoute ou o Gateway VPN.

Power Platform Os componentes em uma carga de trabalho conteinerizada de uma rede virtual devem ser capazes de se comunicar com outros componentes na carga de trabalho. Por exemplo, o Power Platform pode precisar acionar um plug-in ou chamar um conector na carga de trabalho.

Como o contentor não está diretamente conectado à infraestrutura de rede principal, um caminho de comunicação especial, ou canal, é estabelecido entre o contentor e a camada de orquestração. O canal usa um endereço IP local especial, chamado de endereço APIPA, para enviar instruções ou sinais específicos para a carga de trabalho em execução dentro do contentor. Apenas certos tipos de mensagens têm permissão para alcançar a carga de trabalho, garantindo que o contentor e sua carga de trabalho permaneçam seguros e isolados.

O diagrama a seguir ilustra como os contêineres são isolados uns dos outros e do sistema host usando redes virtuais que roteiam solicitações de execução para contêineres, mantendo limites de isolamento.

Ative o suporte da Virtual Network para o Power Platform

Siga as instruções em Configurar suporte de Virtual Network no Power Platform.

Casos de uso comuns e exemplos do mundo real

Nesta secção, você aprenderá sobre casos de uso comuns para redes virtuais com Power Platform soluções. Você também explora exemplos do mundo real de como vários setores se beneficiaram ao usá-los.

Casos de utilização

Integração segura de dados: A sua organização pode usar Virtual Network suporte para ligar de forma segura os serviços Power Platform às suas fontes de dados privadas, como Azure SQL Database, Azure Storage e recursos locais. Uma rede virtual garante que os dados permaneçam dentro dos limites de rede da organização e não sejam expostos à Internet pública.

Endpoints privados para conectores: Os conectores do Power Platform podem usar suporte de rede virtual para estabelecer endpoints privados para comunicações seguras. A rede privada elimina a necessidade de endereços IP públicos e reduz o risco de falha de segurança de dados.

Integrações Seguras do Copilot Studio: Pode usar suporte para Redes Virtuais com os conectores Power Platform no Copilot Studio para estabelecer uma conectividade segura com as fontes de dados. A rede privada elimina os riscos associados à exposição das fontes de dados à internet pública e mitiga os riscos de exfiltração de dados.

Exemplos do mundo real

Organizações de vários setores podem beneficiar do suporte da Virtual Network para a Power Platform. Ao conectar Power Platform serviços com segurança a fontes de dados privadas, as organizações podem aprimorar sua postura de segurança, melhorar a conectividade e garantir a conformidade com os requisitos regulamentares.

Instituições financeiras: Um grande banco pode usar uma rede virtual para ligar de forma segura soluções Power Platform e aplicações de Dynamics 365 às suas bases de dados e serviços protegidos. Essa configuração permite que o banco crie fluxos de trabalho seguros e automatize processos sem expor informações confidenciais à internet pública, garantindo que os dados dos clientes estejam protegidos e em conformidade com os requisitos regulatórios.

Prestadores de cuidados de saúde: Uma organização de saúde pode usar uma rede virtual para ligar soluções Power Platform e aplicações de Dynamics 365 aos seus sistemas eletrónicos de registos de saúde. A rede privada pode ser usada para acesso seguro aos dados dos pacientes e para criar canais de comunicação seguros entre departamentos e entre o fornecedor e parceiros externos.

Empresas de retalho: Uma empresa de retalho pode usar uma rede virtual para ligar de forma segura soluções Power Platform e aplicações de Dynamics 365 aos seus sistemas de gestão de inventário e bases de dados de clientes. As ligações privadas permitem que a empresa simplifique as operações, melhore o rastreamento do inventário e melhore o suporte ao cliente, garantindo que os dados confidenciais permanecem protegidos.

agências governamentais: As agências governamentais podem usar uma rede virtual para ligar de forma segura as soluções Power Platform e as aplicações de Dynamics 365 aos seus sistemas internos e bases de dados. As conexões privadas permitem que as agências automatizem processos, melhorem o compartilhamento de dados e aprimorem a colaboração, mantendo rígidos padrões de segurança e conformidade.

Padrões de integração

Os tipos de cargas de trabalho que você deseja executar em um ambiente determinam o padrão Power Platform de integração. Pode usar o suporte da Virtual Network para Power Platform como padrão de integração no seu ambiente, com algumas exceções.

Cargas de trabalho de API: se você planeja executar cargas de trabalho de API como plug-ins, conectores ou pontos de extremidade de serviço, uma rede virtual é a única maneira suportada de integrá-las com segurança com fontes de dados dentro da rede. As redes virtuais não suportam um subconjunto de conectores que tenham requisitos de drivers que não sejam da Microsoft ou que utilizam Windows authentication. Esses conectores não são amplamente utilizados e devem usar um gateway de dados local em vez de uma rede virtual. Os seguintes plug-ins e conectores estão geralmente disponíveis para uso em uma rede virtual:

• Complementos do Dataverse
• Conectores personalizados
• Azure Blob Storage
• Azure File Storage
• Azure Key Vault
• Azure Queues
• Azure SQL Data Warehouse
• HTTP com Microsoft Entra ID (pré-autorizado)
• SQL Server

Cargas de trabalho ETL: Cargas de extração, transformação e carregamento (ETL) em fluxos de dados Power BI e fluxos de dados Power Platform utilizam gateways de dados de rede virtual de dados.

O diagrama a seguir ilustra os padrões de integração para cargas de trabalho de API e ETL.

Questões de configuração

Tenha em mente as seguintes considerações ao configurar suporte para a Virtual Network para o Power Platform.

Regiões e localizações

As subredes delegadas nas regiões do Azure devem corresponder à localização do ambiente Power Platform. Por exemplo, se o seu ambiente Power Platform estiver no United States, então cada uma das duas redes virtuais e sub-redes deve estar nas regiões eastus e westus Azure. Consulte a lista de regiões suportadas e mapas de localização para obter as informações mais recentes sobre Azure regiões e locais.

Se os seus recursos Azure estiverem em regiões diferentes do Azure, deve ainda assim implementar as suas redes virtuais para ambientes Power Platform na localização Azure apropriada para cada ambiente. Use o peering da Virtual Network ou uma opção de conectividade semelhante, com alta velocidade e baixa latência, para ligar os recursos às suas redes virtuais. A rede global da Microsoft oferece várias opções para estabelecer conectividade entre a rede virtual e a Power Platform rede virtual da sua empresa.

Tamanho da sub-rede

O tamanho da sub-rede delegada em uma rede virtual deve acomodar o crescimento futuro no uso e a adição de novos serviços. O dimensionamento adequado da sub-rede garante que os pedidos não sejam limitados. Para obter mais informações sobre como dimensionar sua sub-rede, vá para Estimando o tamanho da sub-rede para Power Platform ambientes.

Azure NAT Gateway

Azure NAT Gateway fornece conectividade de saída segura e escalável para contentores numa sub-rede delegada. Quando ligado a uma subrede, o NAT Gateway torna-se o próximo salto para todo o tráfego destinado à internet, traduzindo endereços IP privados para um endereço IP público estático. Isto dá à sua organização um ponto centralizado de controlo para gerir o acesso à internet de saída.

Monitorização da rede

O monitoramento de rede rastreia e analisa o fluxo de tráfego na sub-rede delegada, o que é essencial para identificar e resolver possíveis problemas. Ao fornecer informações sobre o desempenho e a integridade dos componentes da rede, o monitoramento ajuda a garantir que a rede esteja a operar de forma eficiente e segura. As ferramentas de monitoramento podem detetar anomalias, como padrões de tráfego incomuns ou tentativas de acesso não autorizado, permitindo intervenção e mitigação oportunas.

Grupos de segurança de rede

Os grupos de segurança de rede (NSGs) permitem-lhe definir regras de segurança que controlam o tráfego de e para os seus recursos Azure. Ao delegar uma sub-rede, você pode configurar NSGs para garantir que apenas o tráfego autorizado seja permitido, ajudando a manter a segurança e a integridade da rede. Os NSGs podem ser aplicados a sub-redes e interfaces de rede individuais ao proporcionar flexibilidade na gestão de tráfego em diferentes níveis.

As melhores práticas para proteger ligações de saída dos serviços do Power Platform

As seguintes melhores práticas ajudam-no a proteger as ligações de saída dos serviços Power Platform, que são cruciais para mitigar os riscos de exfiltração de dados e garantir a conformidade com as políticas de segurança.

• Restringir o acesso à internet: Por defeito, os contentores têm acesso irrestrito à internet de saída. Anexe um NAT Gateway à sub-rede delegada para forçar todo o tráfego ligado à internet a passar por um caminho controlado, garantindo que todas as ligações são encaminhadas pela sua rede privada.

• Restringa o tráfego de saída: Assim que o seu NAT Gateway estiver implementado, limite o tráfego de saída dos recursos do Power Platform para endpoints específicos. Use grupos de segurança de rede e o Azure Firewall para aplicar regras de tráfego e controlar o acesso.

• Use pontos finais privados: Use pontos finais privados para comunicação segura entre os serviços Power Platform e os recursos Azure. Os endpoints privados garantem que o tráfego permanece dentro da rede Azure e não atravessa a internet pública.

• Monitorizar e auditar o tráfego: Use Azure Network Watcher e Microsoft Sentinel para monitorizar e auditar o tráfego de saída dos serviços Power Platform, ajudando-o a identificar e responder a potenciais ameaças de segurança em tempo real.

• Aplique políticas de segurança: Aplique políticas de segurança usando Azure Policy e Azure Firewall para garantir que todas as ligações de saída cumprem os requisitos de segurança da sua organização. Para controlar o fluxo de dados, aplique políticas de prevenção de perda de dados e filtragem de ponto final aos conectores.

Exemplos de configurações da Virtual Network

Nesta secção, fornecemos exemplos de configurações para suporte ao Virtual Network no Power Platform. Estas configurações ilustram como configurar redes virtuais e sub-redes para diferentes cenários, garantindo conectividade segura entre os serviços Power Platform e os recursos do Azure.

Quando os seus recursos Azure estão numa região Azure emparelhada e o ambiente Power Platform está nos Estados Unidos

Neste cenário, fazemos as seguintes suposições:

• O seu ambiente Power Platform está localizado nos Estados Unidos.
• A região Azure para a rede virtual está definida como Oeste dos EUA e Este dos EUA.
• Os recursos da sua empresa estão em uma rede virtual, VNET1, na região Oeste dos EUA.

A seguinte configuração mínima é necessária para configurar suporte à Virtual Network neste cenário:

1. Crie uma rede virtual, VNet1, no oeste dos EUA e configure sub-redes para delegação.
2. Crie uma segunda rede virtual, VNet2, no Leste dos EUA e configure sub-redes para delegação.
3. Estabeleça uma conexão de emparelhamento entre VNet1 e VNet2.
4. Configure a integração do Power Platform Virtual Network para os ambientes desejados usando as subredes que criou nos passos 1 e 2.

Quando os seus recursos do Azure estão na região Central do Azure dos EUA e o ambiente Power Platform está nos Estados Unidos

Neste cenário, fazemos as seguintes suposições:

• O seu ambiente Power Platform está localizado nos Estados Unidos.
• As regiões Azure para as redes virtuais estão definidas como Oeste dos EUA e Este dos EUA.
• Os recursos da sua empresa estão em uma rede virtual, VNet1, na região dos EUA Central.

A seguinte configuração mínima é necessária para configurar suporte à Virtual Network neste cenário:

1. Crie uma rede virtual, VNet2, no oeste dos EUA e configure sub-redes para delegação.
2. Crie outra rede virtual, VNet3, no Leste dos EUA e configure sub-redes para delegação.
3. Estabeleça uma conexão de emparelhamento entre VNet1 e VNet2.
4. Estabeleça uma conexão de emparelhamento entre VNet1 e VNet3.
5. Configure a integração do Power Platform Virtual Network para os ambientes desejados usando as subredes que criou nos passos 1 e 2.

Caso prático

O estudo de caso seguinte ilustra como um cliente da Microsoft implementou com sucesso o suporte da Virtual Network para o Power Platform para melhorar a segurança e a conectividade, garantindo ao mesmo tempo o cumprimento dos requisitos regulamentares.

Uma empresa melhora a agilidade do seu negócio com IA generativa e integração segura através do Azure Virtual Network

Para explorar casos práticos de uso de negócios para IA generativa, nosso cliente realizou um hackathon. O evento reuniu vários programadores cidadãos, que construíram um protótipo bem-sucedido em apenas um mês usando Power Platform e Azure AI Services. O hackathon não só mostrou o potencial da IA generativa, como também proporcionou valiosa experiência prática aos participantes, promovendo a inovação e a colaboração dentro da organização.

Desafios do cliente: A transição do protótipo para a produção impôs desafios significativos. O principal obstáculo foi estabelecer uma arquitetura de rede privada segura no Power Platform e no Azure que cumprisse as rigorosas políticas de segurança interna da empresa. Garantir a privacidade e a segurança dos dados, mantendo a agilidade e a escalabilidade, era crucial para o cliente.

Solução: O cliente utilizou Azure delegação de sub-rede — ou seja, uma rede virtual — com um ambiente gerido para estabelecer uma arquitetura de rede privada entre a Power Platform e os recursos privados de Azure. Utilizando esta arquitetura, o cliente ligava de forma segura as suas aplicações Power Platform aos serviços do Azure sem expor dados sensíveis à internet pública.

Benefícios: A implementação desta solução rendeu vários benefícios importantes.

• O cliente construiu uma base de integração segura e ágil entre a Power Platform e a Azure, acelerando a concretização do valor empresarial. A integração permitiu um fluxo de dados contínuo e uma colaboração aprimorada entre departamentos.

• A nova arquitetura eliminou custos e limitações associados a gateways de dados no local. Ao evitar a necessidade de infraestrutura no local, o cliente pode reduzir as despesas operacionais e simplificar a manutenção.

• O cliente está agora preparado para integrar outras fontes de dados internas, como Amazon Web Services privados e APIs on-premises, através desta plataforma com o Azure ExpressRoute. A expansão permite que o cliente use uma gama mais ampla de dados e serviços, impulsionando ainda mais a inovação e a eficiência.

Conclusão

Neste white paper, explorámos vários aspetos da integração do suporte da Virtual Network com a Power Platform. Discutimos os benefícios de segurança do uso de uma rede virtual, como proteger dados confidenciais contra acesso não autorizado e garantir uma comunicação segura entre Power Platform serviços e recursos privados. Discutimos casos de uso comuns e exemplos do mundo real, fornecemos padrões de integração para diferentes cenários e apresentámos considerações para configurar o suporte ao Virtual Network. Compartilhamos as melhores práticas para proteger as conexões de saída nos serviços do Power Platform, incluindo:

• Restringir o tráfego de saída
• Utilizar pontos finais privados e delegação de sub-rede
• Monitorizar e auditar tráfego
• Aplicar políticas de segurança

Por fim, analisámos um estudo de caso de um cliente da Microsoft que implementou com sucesso o suporte da Virtual Network para o Power Platform para melhorar a segurança e a conectividade, garantindo ao mesmo tempo o cumprimento dos requisitos regulamentares.

O suporte da Virtual Network para o Power Platform é uma funcionalidade crucial que permite às organizações melhorar a segurança da sua rede, otimizar a conectividade e garantir o cumprimento dos requisitos regulamentares. As organizações que utilizam suporte à Virtual Network podem ligar de forma segura os serviços Power Platform às suas fontes de dados privadas, eliminando os riscos associados à exposição dessas fontes à internet pública.

Conteúdos relacionados

• Visão geral do suporte de Rede Virtual
• Configurar suporte a Rede Virtual para Power Platform
• O que é delegação de sub-rede?
• Compreender a Preços de Rede do Azure
• Resolver problemas de rede virtual