Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Obwód zabezpieczeń sieci platformy Azure tworzy granice sieci logicznej wokół zasobów typu "platforma jako usługa" (PaaS), które są wdrażane poza sieciami wirtualnymi. Obwód zabezpieczeń sieci ułatwia kontrolowanie dostępu sieci publicznej do zasobów, takich jak konta usługi Azure Storage i usługa Azure Key Vault, przez ustanowienie bezpiecznego obwodu.
Domyślnie obwód zabezpieczeń sieci ogranicza publiczny dostęp do zasobów PaaS w granicach. Wyjątki można udzielać za pomocą jawnych reguł dostępu dla ruchu przychodzącego i wychodzącego. Takie podejście pomaga zapobiegać eksfiltracji danych przy zachowaniu niezbędnej łączności dla aplikacji.
Aby uzyskać wzorce dostępu obejmujące ruch z sieci wirtualnych do zasobów PaaS, zobacz Co to jest usługa Azure Private Link?.
Funkcje obwodu zabezpieczeń sieci obejmują:
- Komunikacja między zasobami w ramach członków obwodu, uniemożliwiająca eksfiltrację danych do nieautoryzowanych miejsc docelowych.
- Zewnętrzne zarządzanie dostępem publicznym z jawnymi regułami dla zasobów PaaS skojarzonych z obwodem.
- Dzienniki dostępu do audytu i zgodności.
- Ujednolicone doświadczenie w korzystaniu z zasobów PaaS.
Important
Obwód zabezpieczeń sieci jest teraz ogólnie dostępny we wszystkich regionach chmury publicznej platformy Azure. Aby uzyskać informacje na temat obsługiwanych usług, zobacz Dołączane zasoby łącza prywatnego dla obsługiwanych usług PaaS.
Składniki obwodu zabezpieczeń sieci
Obwód zabezpieczeń sieci obejmuje następujące składniki:
| Component | Description |
|---|---|
| Obwód zabezpieczeń sieci | Zasób najwyższego poziomu definiujący granicę sieci logicznej w celu zabezpieczenia zasobów PaaS. |
| Profile | Kolekcja reguł dostępu, które mają zastosowanie do zasobów skojarzonych z profilem. |
| Reguła dostępu | Reguły ruchu przychodzącego i wychodzącego dla zasobów w obwodzie umożliwiające dostęp poza obwodem. |
| Skojarzenie zasobów | Członkostwo w strefie dla zasobu PaaS. |
| Ustawienia diagnostyki | Rozszerzenie zasobów hostowane przez Microsoft Insights w celu zbierania dzienników i metryk dla wszystkich zasobów w obrębie perymetru. |
Note
W przypadku bezpieczeństwa organizacyjnego i informacyjnego nie należy uwzględniać żadnych danych osobowych ani poufnych w regułach obwodu zabezpieczeń sieci ani innych konfiguracjach obwodowych zabezpieczeń sieci.
Właściwości obwodu zabezpieczeń sieci
Podczas tworzenia obwodu zabezpieczeń sieci można określić następujące właściwości:
| Property | Description |
|---|---|
| Name | Unikatowa nazwa w grupie zasobów. |
| Location | Obsługiwany region świadczenia usługi Azure, w którym znajduje się zasób. |
| Nazwa grupy zasobów | Nazwa grupy zasobów, w której powinien znajdować się obwód zabezpieczeń sieci. |
Tryby dostępu w obwodzie zabezpieczeń sieci
Administratorzy dodają zasoby PaaS do obwodu, tworząc skojarzenia zasobów. Te skojarzenia można wykonać w dwóch trybach dostępu. Tryby dostępu to:
| Mode | Description |
|---|---|
| Tryb przejścia (dawniej tryb uczenia) | - Domyślny tryb dostępu. — Pomaga administratorom sieci zrozumieć istniejące wzorce dostępu swoich zasobów PaaS. - Zalecany tryb użytkowania przed przejściem do trybu wymuszonego. |
| Tryb wymuszony | — Musi być ustawiany przez administratora. — Domyślnie cały ruch z wyjątkiem ruchu wewnątrz obwodowego jest blokowany w tym trybie, chyba że istnieje reguła Zezwalaj na dostęp. |
Dowiedz się więcej na temat przechodzenia z trybu przejścia (dawniej trybu uczenia) do trybu wymuszonego w artykule Przechodzenie do obwodu zabezpieczeń sieci .
Dlaczego warto używać obwodu zabezpieczeń sieci?
Obwód zabezpieczeń sieci zapewnia bezpieczny obwód komunikacji usług PaaS wdrożonych poza siecią wirtualną. Umożliwia kontrolowanie dostępu sieciowego do zasobów PaaS platformy Azure. Oto niektóre typowe przypadki użycia:
- Utwórz bezpieczną granicę wokół zasobów PaaS.
- Zapobiegaj eksfiltracji danych przez skojarzenie zasobów PaaS z obwodem.
- Włącz reguły dostępu, aby udzielić dostępu poza bezpiecznym obwodem.
- Zarządzaj regułami dostępu dla wszystkich zasobów PaaS w obrębie obwodu zabezpieczeń sieci w jednym okienku szkła.
- Włącz ustawienia diagnostyczne, aby wygenerować dzienniki dostępu zasobów PaaS w obrębie obwodu na potrzeby inspekcji i zgodności.
- Zezwalaj na ruch prywatnych punktów końcowych bez konieczności jawnego używania reguł dostępu.
Jak działa obwód zabezpieczeń sieci?
Po utworzeniu obwodu zabezpieczeń sieci, a zasoby PaaS są skojarzone z obwodem w trybie wymuszonym, cały ruch publiczny jest domyślnie blokowany, co uniemożliwia eksfiltrację danych poza obwodem.
Reguły dostępu mogą służyć do zatwierdzania publicznego ruchu przychodzącego i wychodzącego poza obwodem. Publiczny dostęp przychodzący można zatwierdzić przy użyciu atrybutów sieci i tożsamości klienta, takich jak źródłowe adresy IP, subskrypcje. Publiczny dostęp wychodzący można zatwierdzić przy użyciu nazw FQDN (w pełni kwalifikowanych nazw domen) zewnętrznych miejsc docelowych.
Na przykład podczas tworzenia obwodu zabezpieczeń sieci i kojarzenia zestawu zasobów PaaS z obwodem, takiego jak usługa Azure Key Vault i usługa Azure Storage w trybie wymuszonym, cały ruch przychodzący i wychodzący jest domyślnie blokowany dla tych zasobów PaaS. Aby zezwolić na dostęp poza obwodem, można utworzyć niezbędne reguły dostępu. W obrębie tego samego obwodu można utworzyć profile w celu grupowania zasobów PaaS z podobnym zestawem wymagań dotyczących dostępu przychodzącego i wychodzącego.
Wdrożone zasoby łącza prywatnego
Zasób łącza prywatnego z uwzględnieniem perymetru zabezpieczeń sieci to zasób PaaS, który może być powiązany z perymetrem zabezpieczeń sieci. Obecnie lista dołączonych zasobów łącza prywatnego jest następująca:
| Nazwa zasobu łącza prywatnego | Typ zasobu | Resources | Dostępność |
|---|---|---|---|
| Azure Monitor | Microsoft.Insights/dataCollectionEndpoints Microsoft.Insights/ScheduledQueryRules Microsoft.Insights/actionGroups Microsoft.OperationalInsights/workspaces |
Obszar roboczy usługi Log Analytics, wgląd w aplikacje, alerty, usługa powiadomień | Ogólnie dostępne |
| Wyszukiwanie AI w usłudze Azure | Microsoft.Search/searchServices | Dostępne ogólnie | |
| Cosmos DB | Microsoft.DocumentDB/databaseAccounts | Podgląd publiczny | |
| Event Hubs | Microsoft.EventHub/namespaces | Dostępne ogólnie | |
| Key Vault | Microsoft.KeyVault/vaults | Dostępne ogólnie | |
| BAZA danych SQL | Microsoft.Sql/servers | Podgląd publiczny | |
| Storage | Microsoft.Storage/storageAccounts | Dostępne ogólnie | |
| Usługa Azure OpenAI | Microsoft.CognitiveServices(kind="OpenAI") | Podgląd publiczny | |
| Microsoft Foundry | Microsoft.CognitiveServices(kind="AIServices") | Dostępne ogólnie |
Important
Następujące dołączone usługi są w publicznej wersji zapoznawczej z obwodem zabezpieczeń sieci:
- Cosmos DB
- BAZA danych SQL
- Azure Open AI Service
Te wersje zapoznawcze są udostępniane bez umowy dotyczącej poziomu usług i nie są zalecane w przypadku obciążeń produkcyjnych. Niektóre funkcje mogą być nieobsługiwane lub ograniczone. Aby uzyskać więcej informacji, zobacz Uzupełniające warunki korzystania z wersji zapoznawczych platformy Microsoft Azure.
Note
Zapoznaj się z dokumentacją odpowiedniego zasobu łącza prywatnego, aby uzyskać informacje na temat scenariuszy, które nie są obecnie obsługiwane.
Obsługiwane typy reguł dostępu
Obwód zabezpieczeń sieci obsługuje następujące typy reguł dostępu:
| Direction | Typ reguły dostępu |
|---|---|
| Inbound | Reguły oparte na subskrypcji |
| Inbound | Reguły oparte na adresach IP (sprawdź odpowiednie zasoby prywatnego łącza włączone do systemu pod kątem obsługi wersji 6) |
| Outbound | Reguły oparte na nazwach FQDN |
Note
Ruch wewnątrz obwodowy i reguły dostępu przychodzącego, które są oparte na subskrypcji, nie obsługują uwierzytelniania za pośrednictwem tokenu sygnatury dostępu współdzielonego (SAS). W tych scenariuszach żądania używające tokenu SAS są odrzucane i wyświetlają błąd uwierzytelniania. Użyj alternatywnej obsługiwanej metody uwierzytelniania dla określonego zasobu.
Ograniczenia obwodu zabezpieczeń sieci
Ograniczenia rejestrowania
Obwód zabezpieczeń sieci jest obecnie dostępny we wszystkich regionach chmury publicznej platformy Azure. Jednak podczas włączania dzienników dostępu dla obwodu zabezpieczeń sieci obszar roboczy usługi Log Analytics, który ma być skojarzony z obwodem zabezpieczeń sieci, musi znajdować się w jednym z obsługiwanych regionów usługi Azure Monitor.
Note
W przypadku dzienników zasobów PaaS użyj obszaru roboczego usługi Log Analytics, magazynu lub centrum zdarzeń jako miejsca docelowego dziennika skojarzonego z tym samym obwodem co zasób PaaS.
Ograniczenia skalowania
Funkcje obwodu zabezpieczeń sieci mogą służyć do obsługi wdrożeń zasobów PaaS z typowymi mechanizmami kontroli sieci publicznej z następującymi ograniczeniami skalowania:
| Limitation | Description |
|---|---|
| Liczba obwodów zabezpieczeń sieci | Obsługiwane jest do 100 jako zalecany limit na subskrypcję. |
| Profile dla poszczególnych obwodów zabezpieczeń sieci | Obsługiwane do 200 jako zalecany maksymalny limit. |
| Liczba elementów reguły na profil | Obsługuje do 200 dla ruchu przychodzącego i wychodzącego każdy jako twardy limit. |
| Liczba zasobów PaaS w subskrypcjach skojarzonych z tym samym obwodem zabezpieczeń sieci | Obsługiwany jest do 1000 jako zalecany limit. |
Inne ograniczenia
Obwód zabezpieczeń sieci ma inne ograniczenia w następujący sposób:
| Limitation/Issue | Description |
|---|---|
| Brakujące pole w dziennikach dostępu obwodu bezpieczeństwa sieci | Dzienniki dostępu obwodowego zabezpieczeń sieci można agregować. Jeśli brakuje pól "count" i "timeGeneratedEndTime", rozważ liczbę agregacji jako 1. |
| Tworzenie skojarzeń za pośrednictwem zestawu SDK kończy się niepowodzeniem z problemem z uprawnieniami | "Stan: 403 (Zabronione); Kod błędu: AuthorizationFailed może być otrzymany podczas wykonywania czynności Microsoft.Network/locations/networkSecurityPerimeterOperationStatuses/read w zakresie /subscriptions/xyz/providers/Microsoft.Network/locations/xyz/networkSecurityPerimeterOperationStatuses/xyz." Do momentu naprawienia użyj uprawnienia "Microsoft.Network/locations/*/read" lub użyj polecenia WaitUntil.Started w interfejsie API zestawu SDK CreateOrUpdateAsync do tworzenia skojarzeń. |
| Nazwy zasobów nie mogą być dłuższe niż 44 znaki do obsługi obwodu zabezpieczeń sieci | Skojarzenie zasobów obwodowych zabezpieczeń sieci utworzone w portalu Azure ma format {resourceName}-{perimeter-guid}. Aby dostosować się do ograniczenia, że nazwa wymagania nie może mieć więcej niż 80 znaków, nazwy zasobów musiałyby być ograniczone do 44 znaków. |
| Ruch punktu końcowego usługi nie jest obsługiwany. | Zaleca się używanie prywatnych punktów końcowych dla komunikacji IaaS z usługą PaaS. Obecnie ruch punktu końcowego usługi można zablokować nawet wtedy, gdy reguła przychodząca zezwala na 0.0.0.0/0. |
Note
Aby uzyskać odpowiednie ograniczenia dla każdej usługi, zapoznaj się z dokumentacją usługi PaaS.