Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule dowiesz się więcej o różnych trybach dostępu i sposobach przejścia na obwód zabezpieczeń sieci na platformie Azure. Tryby dostępu kontrolują zachowanie dostępu do zasobów i rejestrowania, pomagając zabezpieczyć zasoby platformy Azure.
[! UWZGLĘDNIJ komunikat network-security-perimeter-preview-message]
Punkt konfiguracji trybu dostępu w powiązaniach zasobów
Punkt konfiguracji trybu dostępu jest częścią skojarzenia zasobów w obwodzie i dlatego może zostać ustawiony przez administratora obwodu.
Właściwość accessMode można ustawić w skojarzeniu zasobów, aby kontrolować dostęp do sieci publicznej zasobu.
Możliwe wartości accessMode to obecnie Wymuszone i Przejściowy.
| Tryb dostępu | Opis |
|---|---|
| Przejście | Jest to domyślny tryb dostępu. Ocena w tym trybie używa konfiguracji obwodowej zabezpieczeń sieci jako punktu odniesienia. Jeśli nie znajdzie zgodnej reguły, ocena wraca do konfiguracji zapory zasobów, która może następnie zatwierdzić dostęp przy użyciu istniejących ustawień. |
| Egzekwowany | Przy ustawieniu jawnym zasób przestrzega tylko reguł dostępu do perymetru zabezpieczeń sieci. |
Zapobieganie przerwom w łączności podczas wdrażania obwodu zabezpieczeń sieci
Włącz tryb przejścia
Aby zapobiec niepożądanym przerwom w łączności podczas wdrażania obwodu zabezpieczeń sieci do istniejących zasobów PaaS i zapewnienia bezproblemowego przejścia do bezpiecznych konfiguracji, administratorzy mogą dodać zasoby PaaS do obwodu zabezpieczeń sieci w trybie przejścia (wcześniej tryb uczenia). Chociaż ten krok nie zabezpiecza zasobów PaaS, wykona następujące czynności:
- Zezwalaj na nawiązywanie połączeń zgodnie z konfiguracją obwodu zabezpieczeń sieci. Zasoby w tej konfiguracji odwołują się do przestrzegania reguł zapory definiowanych przez zasoby oraz zaufanych zasad dostępu, gdy połączenia nie są dozwolone według zasad dostępu w obszarze bezpieczeństwa sieci.
- Po włączeniu dzienników diagnostycznych program generuje dzienniki zawierające szczegółowe informacje o tym, czy połączenia zostały zatwierdzone na podstawie konfiguracji obwodowej zabezpieczeń sieci, czy konfiguracji zasobu. Administratorzy mogą następnie analizować te dzienniki, aby zidentyfikować luki w regułach dostępu, brakujące członkostwa obwodu oraz niepożądane połączenia.
Ważne
Obsługa zasobów PaaS w trybie przejściowym (dawniej Uczenie) powinna służyć tylko jako krok przejściowy. Złośliwi aktorzy mogą wykorzystywać niezabezpieczone zasoby do eksfiltrowania danych. W związku z tym niezwykle ważne jest, aby przejść do w pełni bezpiecznej konfiguracji tak szybko, jak to możliwe, przy użyciu trybu dostępu ustawionego na Wymuszone.
Przejście do trybu wymuszonego dla istniejących zasobów
Aby w pełni zabezpieczyć dostęp publiczny, niezbędne jest przejście do trybu egzekwowania w obwodzie bezpieczeństwa sieciowego. Kwestie, które należy wziąć pod uwagę przed przejściem do trybu wymuszonego, to wpływ na dostęp publiczny, prywatny, zaufany i obwodowy. W trybie wymuszania zachowanie dostępu do sieci na skojarzonych zasobach PaaS w różnych typach zasobów PaaS można podsumować w następujący sposób:
- Dostęp publiczny: dostęp publiczny odnosi się do żądań przychodzących lub wychodzących wysyłanych za pośrednictwem sieci publicznych. Zasoby PaaS zabezpieczone przez obwód zabezpieczeń sieci mają domyślnie wyłączony przychodzący i wychodzący dostęp publiczny, ale reguły dostępu obwodowego zabezpieczeń sieci mogą być używane do selektywnego zezwalania na ruch publiczny, który jest do nich zgodny.
- Dostęp obwodowy: dostęp obwodowy odnosi się do żądań przychodzących lub wychodzących między częścią zasobów tego samego obwodu zabezpieczeń sieci. Aby zapobiec infiltracji i eksfiltracji danych, taki ruch obwodowy nigdy nie przekroczy granic obwodowych, chyba że jawnie zatwierdzony jako ruch publiczny zarówno w trybie źródłowym, jak i docelowym w trybie wymuszonym. Tożsamość zarządzana musi być przypisana do zasobów w celu uzyskania dostępu do zasobów na poziomie obwodowym.
- Zaufany dostęp: dostęp do zaufanej usługi odnosi się do funkcji kilku usług platformy Azure, które umożliwiają dostęp za pośrednictwem sieci publicznych, gdy jej pochodzenie jest określonymi usługami platformy Azure, które są uznawane za zaufane. Ponieważ obwód zabezpieczeń sieci zapewnia bardziej szczegółową kontrolę niż zaufany dostęp, zaufany dostęp nie jest obsługiwany w trybie wymuszanym.
- Dostęp prywatny: Dostęp za pośrednictwem linków prywatnych nie ma wpływu na obwód zabezpieczeń sieci.
Przenoszenie nowych zasobów do obwodu zabezpieczeń sieci
Obwód zabezpieczeń sieci domyślnie obsługuje bezpieczne zachowanie przez wprowadzenie nowej właściwości w obszarze publicNetworkAccess o nazwie SecuredbyPerimeter. Po ustawieniu blokuje dostęp publiczny i uniemożliwia uwidocznienie zasobów PaaS w sieciach publicznych.
Podczas tworzenia zasobu, jeśli publicNetworkAccess jest ustawione na SecuredByPerimeter, zasób zostanie utworzony w trybie blokady, nawet jeśli nie jest skojarzony z perymetrem. W przypadku skonfigurowania będzie dozwolony tylko ruch łącza prywatnego. Po przypisaniu do obwodu obwód zabezpieczeń sieci zarządza zachowaniem dostępu do zasobów. W poniższej tabeli przedstawiono podsumowanie zachowania dostępu w różnych trybach i konfiguracji dostępu do sieci publicznej:
| Profil nie jest połączony | Tryb dostępu do skojarzenia: Przejście na inny tryb | Tryb dostępu do połączenia: wymuszony | |
|---|---|---|---|
| Dostęp do sieci publicznej: włączony |
Przychodzące: Reguły zasobów Wychodzące: Dozwolone |
Ruch przychodzący: Granica zabezpieczeń sieci + reguły zasobów Wychodzące: Reguły dotyczące obwodu zabezpieczeń sieciowych + Dozwolone |
Przychodzących: Reguły perymetru zabezpieczeń sieci Wychodzące: Reguły perymetra zabezpieczeń sieciowych |
| Dostęp do sieci publicznej: wyłączony |
Ruch przychodzący: Zablokowany Wychodzące: Dozwolone |
Ruch przychodzący: Reguły perymetru zabezpieczeń sieci Wychodzące: Reguły perymetru zabezpieczeń sieci + Dozwolone |
Przychodzących: Reguły obwodu zabezpieczeń sieci Wychodzące: Reguły obwodowe bezpieczeństwa sieci |
| Dostęp do sieci publicznej: SecuredByPerimeter |
Ruch przychodzący: Zablokowany Połączenia wychodzące: Odmowa |
Przychodzące: Reguły perymetru zabezpieczeń sieci Wychodzące: Reguły bezpieczeństwa obwodowego sieci |
Ruch przychodzący: Reguły obwodu zabezpieczeń sieci Wychodzące: Zasady peryferii bezpieczeństwa sieci |
Kroki konfigurowania właściwości publicNetworkAccess i accessMode
Właściwości publicNetworkAccess i accessMode można ustawić za pomocą portalu Azure, wykonując następujące kroki:
Przejdź do zasobu perymetru zabezpieczeń sieci w portalu Azure.
Wybierz pozycję Ustawienia>Skojarzone zasoby , aby wyświetlić listę zasobów skojarzonych z obwodem.
Wybierz ... (trzy kropki) obok zasobu, który chcesz skonfigurować.
Z menu rozwijanego wybierz pozycję Konfiguruj dostęp do sieci publicznej, a następnie wybierz żądany tryb dostępu z trzech dostępnych opcji: Włączone, Wyłączone lub SecuredByPerimeter.
Aby ustawić tryb dostępu, wybierz pozycję Zmień tryb dostępu z menu rozwijanego, a następnie wybierz żądany tryb dostępu z dwóch dostępnych opcji: Nauka lub Wymuszone.
