Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Obwód zabezpieczeń sieci umożliwia organizacjom zdefiniowanie granicy izolacji sieci logicznej dla zasobów PaaS (na przykład usługi Azure Blob Storage i usługi SQL Database), które są wdrażane poza sieciami wirtualnymi. Funkcja ogranicza dostęp do sieci publicznej do zasobów PaaS poza obwodem. Można jednak wykluczyć dostęp przy użyciu jawnych reguł dostępu dla publicznego ruchu przychodzącego i wychodzącego. Pomaga to zapobiec niepożądanej eksfiltracji danych z zasobów magazynu. W ramach obwodu zabezpieczeń sieci zasoby członkowskie mogą swobodnie komunikować się ze sobą. Reguły perimetru zabezpieczeń sieci zastępują własne ustawienia zapory konta magazynowego. Dostęp z poziomu obwodu ma najwyższy priorytet przed innymi ograniczeniami sieci.
Listę usług dołączonych do obwodu zabezpieczeń sieci można znaleźć tutaj. Jeśli usługa nie znajduje się na liście, nie jest jeszcze dołączona. Aby umożliwić dostęp do określonego zasobu z usługi, która nie została dodana do systemu, możesz utworzyć regułę bazującą na subskrypcji dla granicy zabezpieczeń sieciowych. Reguła oparta na subskrypcji udziela dostępu do wszystkich zasobów w ramach tej subskrypcji. Aby uzyskać szczegółowe informacje na temat dodawania reguły dostępu opartej na subskrypcji, zobacz tę dokumentację.
Tryby dostępu
Podczas dołączania kont magazynu do obwodu zabezpieczeń sieci można uruchomić tryb przejścia (dawniej tryb uczenia) lub przejść bezpośrednio do trybu Wymuszone. Tryb przejścia (ustawienie domyślne) umożliwia kontu magazynu powrót do istniejących reguł zapory lub ustawień "zaufanych usług" , jeśli reguła obwodowa nie zezwala jeszcze na połączenie. Tryb wymuszony ściśle blokuje cały publiczny ruch przychodzący i wychodzący, chyba że jawnie dozwolony przez zasadę ochrony obwodowej sieci, zapewniając maksymalną ochronę konta magazynowego. W trybie wymuszonym nawet wyjątki "zaufanej usługi" platformy Azure nie są uznawane. Odpowiednie zasoby platformy Azure lub określone subskrypcje muszą być jawnie dozwolone za pośrednictwem reguł obwodowych w razie potrzeby.
Important
Konta pamięci operacyjnej w trybie przejścia (dawniej Uczenie) powinny służyć wyłącznie jako krok przejściowy. Złośliwi aktorzy mogą wykorzystywać niezabezpieczone zasoby do eksfiltrowania danych. W związku z tym niezwykle ważne jest, aby przejść do w pełni bezpiecznej konfiguracji tak szybko, jak to możliwe, przy użyciu trybu dostępu ustawionego na Wymuszone.
Priorytet sieci
Gdy konto magazynu jest częścią obwodu zabezpieczeń sieci, reguły dostępu odpowiedniego profilu zastępują własne ustawienia zapory konta, stając się strażnikiem sieci najwyższego poziomu. Dostęp dozwolony lub zablokowany przez system obwodowy ma pierwszeństwo, a ustawienia "Dozwolone sieci" konta są pomijane, gdy konto usługi magazynującej jest skojarzone w trybie wymuszonym. Usunięcie konta magazynu z obwodu zabezpieczeń sieci przywraca kontrolę do swojej standardowej zapory. Obwody zabezpieczeń sieci nie wpływają na ruch prywatnego punktu końcowego. Połączenia za pośrednictwem łącza prywatnego zawsze kończą się powodzeniem. W przypadku wewnętrznych usług platformy Azure ("zaufane usługi"), tylko usługi jawnie dołączone do obwodu zabezpieczeń sieci mogą być dozwolone za pośrednictwem reguł dostępu obwodowego. W przeciwnym razie ruch jest domyślnie blokowany, nawet jeśli jest dodany jako zaufany w regułach zapory konta magazynowego. W przypadku usług, które nie zostały jeszcze dołączone, alternatywy obejmują reguły na poziomie subskrypcji dla ruchu przychodzącego oraz w pełni kwalifikowane nazwy domen (FQDN) dla dostępu wychodzącego lub przez linki prywatne.
Important
Ruch prywatnego punktu końcowego jest uważany za wysoce bezpieczny i dlatego nie podlega regułom obwodowym zabezpieczeń sieci. Cały inny ruch, w tym zaufane usługi, podlega regułom perymetru zabezpieczeń sieciowego, jeśli konto magazynowe jest skojarzone z perymetrem.
Pokrycie funkcji w ramach perymetru zabezpieczeń sieci
Jeśli konto magazynu jest skojarzone z granicą bezpieczeństwa sieci, wszystkie standardowe operacje na płaszczyźnie danych dla obiektów blob, plików, tabel i kolejek są obsługiwane, chyba że określono je zgodnie ze znanymi ograniczeniami. Wszystkie operacje oparte na protokole HTTPS dla usług Azure Blob Storage, Azure Data Lake Storage Gen2, Azure Files, Azure Table Storage i Azure Queue Storage można ograniczyć przy użyciu obwodu zabezpieczeń sieci.
Limitations
| Feature | Stan pomocy technicznej | Recommendations |
|---|---|---|
| Replikacja obiektów dla usługi Azure Blob Storage | Nieobsługiwane. Replikacja obiektów między kontami przechowywania zawodzi, jeśli konto źródłowe lub docelowe jest skojarzone z perymetrem bezpieczeństwa sieciowego. | Nie konfiguruj perymetru zabezpieczeń sieciowych na kontach magazynu, które wymagają replikacji obiektów. Podobnie nie włączaj replikacji obiektów na kontach skojarzonych z obwodem zabezpieczeń sieci, dopóki nie będzie dostępna obsługa. Jeśli replikacja obiektów jest już włączona, nie można skojarzyć obwodu zabezpieczeń sieci. Podobnie, jeśli obwód zabezpieczeń sieci jest już skojarzony, nie można włączyć replikacji obiektów. To ograniczenie uniemożliwia skonfigurowanie nieobsługiwanego scenariusza. |
| Dostęp do sieciowego systemu plików (NFS) za pośrednictwem usług Azure Blobs i Azure Files, dostępu bloku komunikatów serwera (SMB) za pośrednictwem usługi Azure Files i protokołu transferu plików SSH (SFTP) za pośrednictwem usługi Azure Blobs | Wszystkie protokoły inne niż dostęp oparty na protokole HTTPS są blokowane, gdy konto magazynowe jest skojarzone z granicą zabezpieczeń sieciowych. | Jeśli chcesz użyć dowolnego z tych protokołów w celu uzyskania dostępu do konta magazynowego, nie skojarz konta z granicą zabezpieczeń sieciowych. |
| Azure Backup | Niewspierane. Usługa Azure Backup jako usługa nie jest jeszcze dołączona do obwodu zabezpieczeń sieci. | Zalecamy, aby nie skojarzyć konta z obwodem zabezpieczeń sieci, jeśli masz włączone kopie zapasowe lub jeśli planujesz używać usługi Azure Backup. Po dołączeniu usługi Azure Backup do obwodu zabezpieczeń sieci można rozpocząć korzystanie z obu tych funkcji razem |
| dyski niezarządzane | Dyski niezarządzane nie przestrzegają reguł obwodu zabezpieczeń sieci. | Unikaj używania dysków niezarządzanych na kontach magazynu chronionych przez perymetr zabezpieczeń sieci |
| Statyczna witryna internetowa | Niewspierane | Statyczna witryna internetowa, która jest otwarta w naturze, nie może być używana z obwodem zabezpieczeń sieci. Jeśli statyczna witryna internetowa jest już włączona, nie można skojarzyć obwodu zabezpieczeń sieci. Podobnie, jeśli obwód zabezpieczeń sieci jest już skojarzony, nie można włączyć statycznej witryny internetowej. To ograniczenie uniemożliwia skonfigurowanie nieobsługiwanego scenariusza. |
Warning
W przypadku kont magazynu skojarzonych z obwodem zabezpieczeń sieci, aby scenariusze kluczy zarządzanych przez klienta działały, upewnij się, że usługa Azure Key Vault jest dostępna z poziomu obwodu, z którym jest skojarzone konto magazynu.
Powiąż perymetr bezpieczeństwa sieciowego z kontem magazynu danych
Aby skojarzyć obwód zabezpieczeń sieci z kontem magazynu, postępuj zgodnie z tymi typowymi instrukcjami dotyczącymi wszystkich zasobów PaaS.
Dalsze kroki
- Dowiedz się więcej o punktach końcowych usługi sieci platformy Azure.
- Zgłębiaj zalecenia dotyczące zabezpieczeń usługi Azure Blob Storage.
- Włącz dzienniki diagnostyczne dla obwodu zabezpieczeń sieci.