Freigeben über

Einschränken des ausgehenden Zugriffs von Ihrem Azure Data Explorer-Cluster

Das Einschränken des ausgehenden Zugriffs von ihrem Clusters ist wichtig, um Risiken wie Datenexfiltration zu verringern. Ein böswilliger Akteur könnte möglicherweise eine externe Tabelle zu einem Speicherkonto erstellen und große Datenmengen extrahieren. Sie können den ausgehenden Zugriff auf Clusterebene steuern, indem Sie eingeschränkten ausgehenden Zugriff aktivieren und entweder FQDN-basierte Zulassungslisten oder Popuprichtlinien konfigurieren.

Von Bedeutung

Sie können entweder die FQDN-basierte Zulassungsliste oder Legendenrichtlinien für eingeschränkten ausgehenden Zugriff konfigurieren. Die Konfiguration beider Optionen führt zu einem Fehler.

Schutz vor Datenexfiltration

Datenexfiltration ist für Unternehmen ein wichtiges Anliegen, insbesondere, wenn vertrauliche oder proprietäre Daten in Clustern gespeichert werden. Ohne ordnungsgemäße Kontrollen könnten böswillige Akteure oder falsch konfigurierte Systeme potenziell Daten an nicht autorisierte externe Ziele übertragen.

Das Feature für eingeschränkten ausgehenden Zugriff trägt dazu bei, dieses Risiko zu minimieren, indem Sie Folgendes ermöglichen:

  • Einschränken des ausgehenden Datenverkehrs: Verhindern Sie nicht autorisierte Datenübertragungen, indem Sie den gesamten ausgehenden Datenverkehr außer explizit zulässigen Zielen blockieren.
  • Steuern des Zugriffs mit FQDN-basierten Zulassungslisten: Geben Sie die genauen vollqualifizierten Domänennamen (Fully Qualified Domain Names, FQDNs) an, mit denen der Cluster kommunizieren kann, und stellen Sie sicher, dass Daten nur an vertrauenswürdige Endpunkte gesendet werden.
  • Durchsetzung von Verbindungsrichtlinien: Definieren Sie präzise Regeln für bestimmte Arten des ausgehenden Datenverkehrs, z. B. SQL- oder externen Datenanforderungen, um den Zugriff basierend auf den Sicherheitsanforderungen Ihrer Organisation zuzulassen oder zu verweigern.

Durch die Implementierung eingeschränkter ausgehender Zugriffe können Unternehmen sicherstellen, dass ihre Azure Data Explorer-Cluster vor Datenexfiltrationsrisiken geschützt sind, die den Compliance- und Sicherheitsstandards entsprechen.

Aktivieren oder Deaktivieren des eingeschränkten ausgehenden Zugriffs

Sie können den eingeschränkten ausgehenden Zugriff auf der ARM-Ebene aktivieren oder deaktivieren, indem Sie die Eigenschaft in der restrictOutboundNetworkAccess ARM-Vorlage Ihres Clusters konfigurieren.

Nachdem der eingeschränkte ausgehende Zugriff aktiviert ist, können Sie keine Änderungen an der Calloutrichtlinie vornehmen, indem Sie die Callout-Befehle .alter oder .alter-merge Clusterrichtlinienbefehle verwenden. Um Änderungen an der Callout-Richtlinie vorzunehmen, aktualisieren Sie die Eigenschaft allowedFqdnList oder allowedCallout in der ARM-Vorlage oder verwenden Sie die Azure CLI.

Beispiel: Aktivieren des eingeschränkten ausgehenden Zugriffs

Die folgende ARM-Vorlage ermöglicht den eingeschränkten ausgehenden Zugriff für Ihren Cluster:

Ersetzen Sie <im folgenden Beispiel "ClusterName> " und <"ClusterRegion> " durch ihre eigenen Werte.

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "resources": [
    {
      "type": "Microsoft.Kusto/Clusters",
      "apiVersion": "2021-02-01",
      "name": "<ClusterName>",
      "location": "<ClusterRegion>",
      "properties": {
        "restrictOutboundNetworkAccess": "Enabled"
      }
    }
  ]
}

Beispiel: Deaktivieren des eingeschränkten ausgehenden Zugriffs

Um den eingeschränkten ausgehenden Zugriff zu deaktivieren, legen Sie die restrictOutboundNetworkAccess Eigenschaft auf :Disabled

Ersetzen Sie <im folgenden Beispiel "ClusterName> " und <"ClusterRegion> " durch ihre eigenen Werte.

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "resources": [
    {
      "type": "Microsoft.Kusto/Clusters",
      "apiVersion": "2021-02-01",
      "name": "<ClusterName>",
      "location": "<ClusterRegion>",
      "properties": {
        "restrictOutboundNetworkAccess": "Disabled"
      }
    }
  ]
}

Beispiel: Aktivieren des eingeschränkten ausgehenden Zugriffs mithilfe des Azure-Portals

  1. Navigieren Sie im Azure-Portal zu Ihrem Cluster.

  2. Navigieren Sie zu "Sicherheit +>>Einschränken des ausgehenden Zugriffs".

  3. Wählen Sie "Aktiviert" aus, um den eingeschränkten ausgehenden Zugriff zu aktivieren.

    Screenshot der Netzwerkkonfigurationsseite mit der Konfiguration des eingeschränkten ausgehenden Zugriffs ohne konfigurierte FQDNs.

  4. Wählen Sie Speichern aus, um die Konfiguration zu übermitteln.

Konfigurieren von FQDN-basierten Zulassungslisten

Wenn der eingeschränkte ausgehende Zugriff aktiviert ist, können Sie bestimmte FQDNs zulassen, indem Sie diese der Eigenschaft in der allowedFqdnList ARM-Vorlage Ihres Clusters hinzufügen.

Beispiel: Zulassen bestimmter FQDNs mithilfe von ARM-Vorlagen

Die folgende ARM-Vorlage ermöglicht ausgehenden Zugriff auf bestimmte FQDNs, während der eingeschränkte ausgehende Zugriff aktiviert bleibt:

Ersetzen Sie <im folgenden Beispiel "ClusterName> " und <"ClusterRegion> " durch ihre eigenen Werte.

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "resources": [
    {
      "type": "Microsoft.Kusto/Clusters",
      "apiVersion": "2021-02-01",
      "name": "<ClusterName>",
      "location": "<ClusterRegion>",
      "properties": {
        "restrictOutboundNetworkAccess": "Enabled",
        "allowedFqdnList": [
          "example.sql.azuresynapse.net",
          "example.blob.core.windows.net"
        ]
      }
    }
  ]
}

Beispiel: Zulassen bestimmter FQDNs mithilfe des Azure-Portals

  1. Navigieren Sie im Azure-Portal zu Ihrem Cluster.

  2. Navigieren Sie zu "Sicherheit +>>Einschränken des ausgehenden Zugriffs".

  3. Wählen Sie "Aktiviert" aus, um den eingeschränkten ausgehenden Zugriff zu aktivieren und die FQDNs zu konfigurieren.

    Screenshot der Netzwerkkonfigurationsseite mit der Konfiguration des eingeschränkten ausgehenden Zugriffs mit konfigurierten FQDNs.

  4. Wählen Sie Speichern aus, um die Konfiguration zu übermitteln.

Konfigurieren von Calloutrichtlinien (Vorschau)

Alternativ können Sie Popuprichtlinien direkt in der ARM-Vorlage oder mithilfe der Azure CLI konfigurieren. Mit Richtlinien für Verbindungsanforderungen können Sie bestimmte Regeln für ausgehende Zugriffe auf SQL, Speicherdienste oder andere Endpunkte definieren.

Hinweis

Sie können Popuprichtlinien nicht mit eingeschränktem ausgehendem Zugriff direkt über das Azure-Portal konfigurieren.

Beispiel: Konfigurieren von Anruferrichtlinien unter Verwendung der ARM-Vorlage

Die folgende ARM-Vorlage konfiguriert Callout-Richtlinien zusammen mit eingeschränktem ausgehendem Zugriff.

Ersetzen Sie <im folgenden Beispiel "ClusterName> " und <"ClusterRegion> " durch ihre eigenen Werte.

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "resources": [
    {
      "type": "Microsoft.Kusto/Clusters",
      "apiVersion": "2021-02-01",
      "name": "<ClusterName>",
      "location": "<ClusterRegion>",
      "properties": {
        "restrictOutboundNetworkAccess": "Enabled",
        "calloutPolicies": [
          {
            "calloutType": "sql",
            "calloutUriRegex": "[a-z0-9][a-z0-9\\-]{0,61}[a-z0-9]?\\.database\\.windows\\.net/?$",
            "outboundAccess": "Allow"
          },
          {
            "calloutType": "external_data",
            "calloutUriRegex": ".*",
            "outboundAccess": "Deny"
          }
        ]
      }
    }
  ]
}

Beispiel: Konfigurieren von Calloutrichtlinien mit Azure CLI

Sie können Benachrichtigungsrichtlinien auch mithilfe der Azure CLI konfigurieren. Mit dem folgenden Befehl werden die Callout-Richtlinien für einen Cluster festgelegt:

Im folgenden Beispiel ersetzen Sie <ResourceGroupName> und <ClusterName> mit Ihren eigenen Werten.

az resource update --resource-group <ResourceGroupName> \
  --name <ClusterName> \
  --resource-type Microsoft.Kusto/clusters \
  --set properties.calloutPolicies='[
  {
    "calloutType": "sql",
    "calloutUriRegex": "sqlname\\.database\\.azure\\.com/?$",
    "outboundAccess": "Allow"
  }
]'

Einschränkungen beim ausgehenden Zugriff und die dazugehörigen Richtlinien überprüfen

Nachdem Sie eingeschränkten ausgehenden Zugriff aktiviert oder Popuprichtlinien konfiguriert haben, können Sie die Konfiguration überprüfen, indem Sie den folgenden Verwaltungsbefehl in der Azure Data Explorer-Webbenutzeroberfläche ausführen:

.show cluster policy callout

Dieser Befehl zeigt die aktuellen Hinweisrichtlinien und zulässigen voll qualifizierten Domainnamen (FQDNs) an.

Hinweis

Es gibt Standardrichtlinien, die für einen Cluster festgelegt sind, um mit seiner internen Speicherebene zu kommunizieren, was kein Risiko für datenexfiltration darstellt.

Einschränkungen

Während der eingeschränkte ausgehende Zugriff eine stabile Sicherheit bietet, ist es wichtig, einige Einschränkungen zu beachten:

  • FQDN-basierte Zulassungslisten unterstützen keine webapi-Aufrufe.
  • Sie können entweder FQDN-basierte Allowlists oder Callout-Richtlinien konfigurieren, aber nicht beides. Der Versuch, beide zu konfigurieren, führt zu einem Konfigurationsfehler.
  • Cluster verfügen über eine Reihe von Standardrichtlinien für die interne Kommunikation mit ihrer Speicherschicht. Diese Richtlinien können nicht geändert werden und stellen kein Risiko für die Datenexfiltration dar.
  • Sie können Popuprichtlinien nicht mit eingeschränktem ausgehendem Zugriff direkt über das Azure-Portal konfigurieren.

Zugehöriger Inhalt

  • Last updated on