Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Met netwerkbeveiligingsperimeter kunnen organisaties een logische netwerkisolatiegrens definiëren voor PaaS-resources (bijvoorbeeld Azure Blob Storage en SQL Database) die buiten hun virtuele netwerken worden geïmplementeerd. De functie beperkt de toegang van openbare netwerken tot PaaS-resources buiten de perimeter. U kunt echter toegang uitsluiten met behulp van expliciete toegangsregels voor openbaar binnenkomend en uitgaand verkeer. Dit helpt ongewenste gegevensexfiltratie van uw opslagbronnen te voorkomen. Binnen een netwerkbeveiligingsperimeter kunnen lidbronnen vrij communiceren met elkaar. Perimeterregels voor netwerkbeveiliging overschrijven de eigen firewallinstellingen van het opslagaccount. Toegang vanuit de perimeter heeft de hoogste prioriteit boven andere netwerkbeperkingen.
Hier vindt u de lijst met services die zijn toegevoegd aan de netwerkbeveiligingsperimeter. Als een service niet wordt vermeld, wordt deze nog niet onboarded. Als u toegang wilt verlenen tot een specifieke resource vanuit een niet-geïntegreerde service, kunt u een regel op basis van abonnement maken voor de netwerkbeveiligingsperimeter. Een regel op basis van een abonnement verleent toegang tot alle resources binnen dat abonnement. Raadpleeg deze documentatie voor meer informatie over het toevoegen van een toegangsregel op basis van een abonnement.
Toegangsmodi
Wanneer u opslagaccounts onboardt naar een netwerkbeveiligingsperimeter, kunt u beginnen in de overgangsmodus (voorheen leermodus) of rechtstreeks naar de modus Afgedwongen gaan. Met de overgangsmodus (de standaardinstelling) kan het opslagaccount terugvallen op de bestaande firewallregels of instellingen voor vertrouwde services als een perimeterregel nog geen verbinding toestaat. De afgedwongen modus blokkeert strikt alle openbare inkomende en uitgaande verkeer, tenzij dit expliciet is toegestaan door een netwerkbeveiligingsperimeterregel, waardoor maximale beveiliging voor uw opslagaccount wordt gegarandeerd. In de afgedwongen modus worden zelfs de uitzonderingen voor vertrouwde services van Azure niet nageleefd. Relevante Azure-resources of specifieke abonnementen moeten indien nodig expliciet worden toegestaan via perimeterregels.
Important
Het uitvoeren van opslagaccounts in de overgangsmodus (voorheen Learning) moet alleen dienen als een overgangsstap. Kwaadwillende actoren kunnen onbeveiligde resources misbruiken om gegevens te exfiltreren. Daarom is het van cruciaal belang om zo snel mogelijk over te stappen op een volledig beveiligde configuratie met de toegangsmodus die is ingesteld op Afgedwongen.
Netwerkprioriteit
Wanneer een opslagaccount deel uitmaakt van een netwerkbeveiligingsperimeter, overschrijven de toegangsregels van het relevante profiel de eigen firewallinstellingen van het account en worden ze de netwerkgatekeeper op het hoogste niveau. Toegang die door de perimeter is toegestaan of geweigerd, heeft voorrang en de instellingen 'Toegestane netwerken' van het account worden overgeslagen wanneer het opslagaccount is gekoppeld in de afgedwongen modus. Als u het opslagaccount van een netwerkbeveiligingsperimeter verwijdert, wordt de controle teruggezet naar de normale firewall. Netwerkbeveiligingsperimeters hebben geen invloed op privé-eindpuntverkeer. Verbindingen via private link slagen altijd. Voor interne Azure-services ('vertrouwde services') kunnen alleen services die expliciet worden toegevoegd aan de perimeterbeveiligingsperimeter , worden toegestaan via perimetertoegangsregels. Anders wordt het verkeer standaard geblokkeerd, zelfs wanneer deze als betrouwbaar worden beschouwd volgens de firewall-instellingen van het opslagaccount. Voor services die nog niet zijn ingebouwd, zijn alternatieven regels op het niveau van het abonnement voor binnenkomende toegang en FQDN's (Fully Qualified Domain Names) voor uitgaande toegang, of via privékoppelingen.
Important
Privé-eindpuntverkeer wordt beschouwd als zeer veilig en is daarom niet onderworpen aan regels voor netwerkbeveiligingsperimeter. Al het andere verkeer, inclusief vertrouwde services, is onderhevig aan perimeterregels voor netwerkbeveiliging als het opslagaccount is gekoppeld aan een perimeter.
Functiedekking onder netwerkbeveiligingsperimeter
Wanneer een opslagaccount is gekoppeld aan een netwerkbeveiligingsperimeter, worden alle standaardbewerkingen voor gegevensvlakbewerkingen voor blobs, bestanden, tabellen en wachtrijen ondersteund, tenzij opgegeven onder de bekende beperkingen. Alle HTTPS-bewerkingen voor Azure Blob Storage, Azure Data Lake Storage Gen2, Azure Files, Azure Table Storage en Azure Queue Storage kunnen worden beperkt met behulp van netwerkbeveiligingsperimeter.
Limitations
| Feature | Ondersteuningsstatus | Recommendations |
|---|---|---|
| Objectreplicatie voor Azure Blob Storage | Niet ondersteund. Objectreplicatie tussen opslagaccounts mislukt als het bron- of doelaccount is gekoppeld aan een netwerkbeveiligingsperimeter | Configureer geen netwerkbeveiligingsperimeter voor opslagaccounts die objectreplicatie nodig hebben. Schakel op dezelfde manier geen objectreplicatie in voor accounts die zijn gekoppeld aan de netwerkbeveiligingsperimeter totdat ondersteuning beschikbaar is. Als objectreplicatie al is ingeschakeld, kunt u een netwerkbeveiligingsperimeter niet koppelen. Als er al een netwerkbeveiligingsperimeter is gekoppeld, kunt u ook geen objectreplicatie inschakelen. Deze beperking voorkomt dat u een niet-ondersteund scenario configureert. |
| Toegang tot netwerkbestandssysteem (NFS) via Azure Blobs en Azure Files, SMB-toegang (Server Message Block) via Azure Files en SSH File Transfer Protocol (SFTP) via Azure Blobs | Alle andere protocollen dan HTTPS-toegang worden geblokkeerd wanneer het opslagaccount is gekoppeld aan een netwerkbeveiligingsperimeter | Als u een van deze protocollen moet gebruiken om toegang te krijgen tot uw opslagaccount, koppelt u het account niet aan een netwerkbeveiligingsperimeter |
| Azure Backup | Wordt niet ondersteund. Azure Backup-dienst is nog niet aangesloten op de netwerkbeveiligingsperimeter. | Het is raadzaam om een account niet te koppelen aan de perimeter van de netwerkbeveiliging als u back-ups hebt ingeschakeld of als u Azure Backup wilt gebruiken. Zodra Azure Backup is toegevoegd aan de netwerkbeveiligingsperimeter, kunt u beide functies samen gaan gebruiken |
| Niet-beheerde schijven | Niet-beheerde schijven respecteren geen regels voor netwerkbeveiligingsperimeter. | Vermijd het gebruik van niet-beheerde schijven op opslagaccounts die worden beveiligd door netwerkbeveiligingsperimeter |
| Statische website | Niet ondersteund | Statische website, die open is in de natuur, kan niet worden gebruikt met netwerkbeveiligingsperimeter. Als statische website al is ingeschakeld, kunt u geen netwerkbeveiligingsperimeter koppelen. Als er al een netwerkbeveiligingsperimeter is gekoppeld, kunt u ook geen statische website inschakelen. Deze beperking voorkomt dat u een niet-ondersteund scenario configureert. |
Warning
Voor opslagaccounts die zijn gekoppeld aan een netwerkbeveiligingsperimeter, moet u ervoor zorgen dat de Azure Key Vault toegankelijk is vanuit de perimeter waaraan het opslagaccount is gekoppeld, zodat cmk-scenario's (door de klant beheerde sleutels) werken.
Een netwerkbeveiligingsperimeter koppelen aan een opslagaccount
Als u een netwerkbeveiligingsperimeter wilt koppelen aan een opslagaccount, volgt u deze algemene instructies voor alle PaaS-resources.
Volgende stappen
- Meer informatie over Azure-netwerkservice-eindpunten.
- Dieper ingaan op beveiligingsaanaanveling voor Azure Blob Storage.
- Schakel diagnostische logboeken in voor netwerkbeveiligingsperimeter.