Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Het beperken van uitgaande toegang tot uw cluster is belangrijk om risico's zoals gegevensexfiltratie te beperken. Een kwaadwillende actor kan mogelijk een externe tabel maken voor een opslagaccount en grote hoeveelheden gegevens extraheren. U kunt uitgaande toegang op clusterniveau beheren door beperkte uitgaande toegang in te schakelen en op FQDN gebaseerde acceptatielijsten of bijschriftbeleid te configureren.
Belangrijk
U kunt ofwel de op FQDN gebaseerde allowlist configureren of oproepbeleid voor beperkte uitgaande toegang. Het configureren van beide resultaten resulteert in een fout.
Bescherming tegen gegevensexfiltratie
Gegevensexfiltratie is een belangrijke zorg voor ondernemingen, met name wanneer gevoelige of bedrijfseigen gegevens worden opgeslagen in clusters. Zonder de juiste controles kunnen kwaadwillende actoren of onjuist geconfigureerde systemen mogelijk gegevens overdragen naar niet-geautoriseerde externe bestemmingen.
Met de functie voor beperkte uitgaande toegang kunt u dit risico beperken door het volgende mogelijk te maken:
- Uitgaand verkeer beperken: voorkom niet-geautoriseerde gegevensoverdracht door al het uitgaande verkeer te blokkeren, met uitzondering van expliciet toegestane bestemmingen.
- Toegang beheren met op FQDN gebaseerde acceptatielijsten: geef de exacte FQDN's (Fully Qualified Domain Names) op waarmee het cluster kan communiceren, zodat gegevens alleen naar vertrouwde eindpunten worden verzonden.
- Bijschriftbeleid afdwingen: definieer gedetailleerde regels voor specifieke typen uitgaand verkeer, zoals SQL- of externe gegevensoproepen, om toegang toe te staan of te weigeren op basis van de beveiligingsvereisten van uw organisatie.
Door beperkte uitgaande toegang te implementeren, kunnen ondernemingen ervoor zorgen dat hun Azure Data Explorer-clusters worden beschermd tegen risico's van gegevensexfiltratie, in overeenstemming met nalevings- en beveiligingsstandaarden.
Beperkte uitgaande toegang in- of uitschakelen
U kunt beperkte uitgaande toegang op de ARM-laag in- of uitschakelen door de eigenschap in de restrictOutboundNetworkAccess ARM-sjabloon van uw cluster te configureren.
Zodra beperkte uitgaande toegang is ingeschakeld, kunt u geen wijzigingen aanbrengen in het callout beleid met behulp van de cluster callout opdrachten .alter of .alter-merge. Als u wijzigingen wilt aanbrengen in het oproepprotocol, werkt u de eigenschap allowedFqdnList of allowedCallout in de ARM-sjabloon bij, of gebruik de Azure CLI.
Voorbeeld: beperkte uitgaande toegang inschakelen
Met de volgende ARM-sjabloon is beperkte uitgaande toegang voor uw cluster mogelijk:
Vervang in het volgende voorbeeld <ClusterName> en <ClusterRegion> door uw eigen waarden.
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"resources": [
{
"type": "Microsoft.Kusto/Clusters",
"apiVersion": "2021-02-01",
"name": "<ClusterName>",
"location": "<ClusterRegion>",
"properties": {
"restrictOutboundNetworkAccess": "Enabled"
}
}
]
}
Voorbeeld: beperkte uitgaande toegang uitschakelen
Als u beperkte uitgaande toegang wilt uitschakelen, stelt u de restrictOutboundNetworkAccess eigenschap Disabledin op:
Vervang in het volgende voorbeeld <ClusterName> en <ClusterRegion> door uw eigen waarden.
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"resources": [
{
"type": "Microsoft.Kusto/Clusters",
"apiVersion": "2021-02-01",
"name": "<ClusterName>",
"location": "<ClusterRegion>",
"properties": {
"restrictOutboundNetworkAccess": "Disabled"
}
}
]
}
Voorbeeld: beperkte uitgaande toegang inschakelen met behulp van Azure Portal
Ga naar uw cluster in de Azure Portal.
Navigeer naar Beveiliging en netwerknetwerken>>uitgaande toegang beperken.
Selecteer Ingeschakeld om de beperkte uitgaande toegang in te schakelen.
Selecteer Opslaan om de configuratie te verzenden.
Op FQDN gebaseerde acceptatielijsten configureren
Wanneer beperkte uitgaande toegang is ingeschakeld, kunt u specifieke FQDN's toestaan door deze toe te voegen aan de eigenschap in de allowedFqdnList ARM-sjabloon van uw cluster.
Voorbeeld: Specifieke FQDN's toestaan met ARM-sjablonen
Met de volgende ARM-sjabloon is uitgaande toegang tot specifieke FQDN's toegestaan, terwijl beperkte uitgaande toegang is ingeschakeld:
Vervang in het volgende voorbeeld <ClusterName> en <ClusterRegion> door uw eigen waarden.
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"resources": [
{
"type": "Microsoft.Kusto/Clusters",
"apiVersion": "2021-02-01",
"name": "<ClusterName>",
"location": "<ClusterRegion>",
"properties": {
"restrictOutboundNetworkAccess": "Enabled",
"allowedFqdnList": [
"example.blob.core.windows.net"
]
}
}
]
}
Voorbeeld: Specifieke FQDN's toestaan met behulp van Azure Portal
Ga naar uw cluster in de Azure Portal.
Navigeer naar Beveiliging en netwerknetwerken>>uitgaande toegang beperken.
Selecteer Ingeschakeld om de beperkte uitgaande toegang in te schakelen en de FQDN's te configureren.
Selecteer Opslaan om de configuratie te verzenden.
Beleid voor callouts configureren (preview)
U kunt ook callout-beleidsregels rechtstreeks configureren in de ARM-sjabloon of met behulp van de Azure CLI. Met bijschriftbeleid kunt u specifieke regels definiëren voor uitgaande toegang tot SQL, opslag of andere eindpunten.
Opmerking
U kunt call-out beleid met beperkte uitgaande toegang niet rechtstreeks configureren via de Azure portal.
Voorbeeld: Callout-beleidsregels configureren met behulp van een ARM-sjabloon
De volgende ARM-sjabloon configureert callout-beleid samen met beperkte uitgaande toegang.
Vervang in het volgende voorbeeld <ClusterName> en <ClusterRegion> door uw eigen waarden.
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"resources": [
{
"type": "Microsoft.Kusto/Clusters",
"apiVersion": "2021-02-01",
"name": "<ClusterName>",
"location": "<ClusterRegion>",
"properties": {
"restrictOutboundNetworkAccess": "Enabled",
"calloutPolicies": [
{
"calloutType": "sql",
"calloutUriRegex": "[a-z0-9][a-z0-9\\-]{0,61}[a-z0-9]?\\.database\\.windows\\.net/?$",
"outboundAccess": "Allow"
},
{
"calloutType": "external_data",
"calloutUriRegex": ".*",
"outboundAccess": "Deny"
}
]
}
}
]
}
Configuratievoorbeeld: Callout-beleidsregels configureren met behulp van Azure CLI
U kunt ook oproepbeleid configureren met de Azure CLI. Met de volgende opdracht stelt u het bijschriftbeleid voor een cluster in:
Vervang in het volgende voorbeeld <ResourceGroupName> en <ClusterName> door uw eigen waarden.
az resource update --resource-group <ResourceGroupName> \
--name <ClusterName> \
--resource-type Microsoft.Kusto/clusters \
--set properties.calloutPolicies='[
{
"calloutType": "sql",
"calloutUriRegex": "sqlname\\.database\\.azure\\.com/?$",
"outboundAccess": "Allow"
}
]'
Beperkte uitgaande toegang en beleid verifiëren
Nadat u beperkte uitgaande toegang hebt ingeschakeld of beleidsregels voor bijschriften hebt geconfigureerd, kunt u de configuratie controleren door de volgende beheeropdracht uit te voeren in de webgebruikersinterface van Azure Data Explorer:
.show cluster policy callout
Met deze opdracht worden de huidige oproepprocedures en toegestane FQDN's weergegeven.
Opmerking
Er zijn standaardbeleidsregels ingesteld voor een cluster om te communiceren met de interne opslaglaag, waardoor er geen risico op gegevensexfiltratie ontstaat.
Beperkingen
Hoewel beperkte uitgaande toegang robuuste beveiliging biedt, is het belangrijk om rekening te houden met enkele beperkingen:
- Op FQDN-gebaseerde acceptatielijsten bieden geen ondersteuning voor webapi-oproepen.
- U kunt op FQDN gebaseerde toegestane lijsten of oproepbeleid configureren, maar niet beide. Het configureren van beide resultaten resulteert in een configuratiefout.
- Clusters hebben een set standaardbeleidsregels voor interne communicatie met de bijbehorende opslaglaag. Dit beleid kan niet worden gewijzigd en vormt geen risico voor gegevensexfiltratie.
- U kunt call-out beleid met beperkte uitgaande toegang niet rechtstreeks configureren via de Azure portal.