你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure 网络安全外围为部署在虚拟专用网络之外的平台即服务 (PaaS) 资源创建逻辑网络边界。 网络安全外围通过建立安全外围来帮助控制对 Azure 存储帐户和 Azure Key Vault 等资源的公用网络访问。
默认情况下,网络安全外围限制对边界内 PaaS 资源的公共访问。 可以通过针对入站和出站流量的显式访问规则授予例外权限。 此方法有助于防止数据外泄,同时维护应用程序所需的连接。
有关涉及从虚拟网络到 PaaS 资源的流量的访问模式,请参阅什么是 Azure 专用链接?。
网络安全外围的功能包括:
- 在外围成员内进行资源到资源访问通信,可防止数据外泄到未经授权的目标。
- 使用适用于与外围关联的 PaaS 资源的显式规则进行外部公共访问管理。
- 访问用于审核和合规性的日志。
- 跨 PaaS 资源的统一体验。
Important
网络安全外围现已在所有 Azure 公有云区域全面可用。 有关支持的服务的信息,请参阅支持的 PaaS 服务的“载入专用链接资源”。
网络安全外围的组件
网络安全外围包括以下组件:
| Component | Description |
|---|---|
| 网络安全外围 | 定义逻辑网络边界来保护 PaaS 资源的顶级资源。 |
| Profile | 应用于与配置文件关联的资源的访问规则的集合。 |
| 访问规则 | 外围中允许在外围之外进行访问的入站和出站资源规则。 |
| 资源关联 | PaaS 资源的外围成员身份。 |
| 诊断设置 | Microsoft Insights 托管的扩展资源,用于收集外围中所有资源的日志和指标。 |
Note
为确保组织和信息安全,不要在网络安全外围规则或其他网络安全外围配置中添加任何个人身份信息或敏感数据。
网络安全外围属性
创建网络安全外围时,可以指定以下属性:
| Property | Description |
|---|---|
| Name | 资源组内的唯一名称。 |
| Location | 资源所在的受支持的 Azure 区域。 |
| 资源组名称 | 应存在网络安全外围的资源组的名称。 |
网络安全外围中的访问模式
管理员通过创建资源关联将 PaaS 资源添加到外围。 可通过两种访问模式创建这些关联。 访问模式如下:
| Mode | Description |
|---|---|
| 转换模式(以前是学习模式) | - 默认访问模式。 - 帮助网络管理员了解其 PaaS 资源的现有访问模式。 - 在转换为强制模式之前建议的使用模式。 |
| 强制模式 | - 必须由管理员设置。 - 默认情况下,除非 存在“允许 访问规则”,否则在此模式下拒绝除外围流量之外的所有流量。 |
详细了解如何从转换模式(以前是学习模式)移到过渡到网络安全外围一文中的强制模式。
为何使用网络安全外围?
网络安全外围为部署在虚拟网络外部的 PaaS 服务通信提供一个安全外围。 它让你能够控制对 Azure PaaS 资源的网络访问。 一些常见用例包括:
- 在 PaaS 资源周围创建一个安全边界。
- 通过将 PaaS 资源关联到外围来防止数据外泄。
- 启用访问规则以授予安全外围外部的访问权限。
- 在单一控制面板中管理网络安全外围内所有 PaaS 资源的访问规则。
- 启用诊断设置,生成外围内的 PaaS 资源的访问日志用于审核和合规性。
- 允许专用终结点流量,而无需显式访问规则。
网络安全外围的工作原理?
创建网络安全外围,并且 PaaS 资源在强制模式下与外围关联时,默认情况下会拒绝所有公共流量,从而防止外围外部的数据外泄。
访问规则可用于批准外围外部的公共入站和出站流量。 可以使用客户端的网络和标识属性(例如源 IP 地址、订阅)批准公共入站访问。 可以使用外部目标的 FQDN(完全限定的域名)批准公共出站访问。
例如,创建网络安全外围并在强制模式下将一组 PaaS 资源与 Azure Key Vault 和 Azure 存储等外围相关联后,默认情况下,将会拒绝所有传入和传出公共流量访问这些 PaaS 资源。 若要允许外围外部的任何访问,可以创建必要的访问规则。 在同一外围内,可以创建配置文件,以对具有一组相似的入站和出站访问要求的 PaaS 资源进行分组。
加入的专用链接资源
网络安全外围感知专用链接资源是可与网络安全外围关联的 PaaS 资源。 目前,加入的专用链接资源列表如下所示:
| 专用链接资源名称 | 资源类型 | Resources | 可用性 |
|---|---|---|---|
| Azure Monitor | Microsoft.Insights/dataCollectionEndpoints Microsoft.Insights/ScheduledQueryRules Microsoft.Insights/actionGroups Microsoft.OperationalInsights/workspaces |
Log Analytics 工作区、Application Insights、警报、通知服务 | 普遍可用 |
| Azure AI 搜索 | Microsoft.Search/searchServices | 正式版 | |
| Cosmos DB | Microsoft.DocumentDB/databaseAccounts | 公共预览版 | |
| 事件中心 | Microsoft.EventHub/namespaces | 正式版 | |
| 密钥保管库 | Microsoft.KeyVault/vaults | 正式版 | |
| SQL DB | Microsoft.Sql/servers | 公共预览版 | |
| Storage | Microsoft.Storage/storageAccounts | 正式版 | |
| Azure OpenAI 服务 | Microsoft.CognitiveServices(kind=“OpenAI”) | 公共预览版 | |
| Microsoft Foundry | Microsoft.CognitiveServices(kind=“AIServices”) | 正式版 |
Important
网络安全外围中加入的以下服务为公共预览版:
- Cosmos DB
- SQL 数据库
- Azure Open AI 服务
这些预览版在提供时没有附带服务级别协议,不建议用于生产工作负载。 某些功能可能不受支持或者受限。 有关详细信息,请参阅 Microsoft Azure 预览版补充使用条款。
Note
如需当前不支持的方案的相关信息,请参阅相应的专用链接资源文档。
支持的访问规则类型
网络安全外围支持以下访问规则类型:
| Direction | 访问规则类型 |
|---|---|
| Inbound | 基于订阅的规则 |
| Inbound | 基于 IP 的规则(检查已加入的相应专用链接资源是否支持 v6) |
| Outbound | 基于 FQDN 的规则 |
Note
基于订阅的外围流量和入站访问规则不支持通过共享访问签名 (SAS) 令牌进行身份验证。 在这些情况下,拒绝使用 SAS 令牌的请求,并显示身份验证错误。 根据您的特定资源,使用其他受支持的身份验证方法。
网络安全外围的局限性
日志记录限制
网络安全外围现在所有 Azure 公有云区域中可用。 但是,在为网络安全外围启用访问日志时,要与网络安全外围关联的 Log Analytics 工作区需要位于 Azure Monitor 支持的区域之一。
Note
对于 PaaS 资源日志,请使用 Log Analytics 工作区、存储或事件中心 作为与 PaaS 资源关联的日志目标。
缩放限制
网络安全外围功能可用于支持具有常见公用网络控制的 PaaS 资源部署,但存在以下缩放限制:
| Limitation | Description |
|---|---|
| 网络安全外围的数量 | 每个订阅最多支持 100 个(这是推荐的限制)。 |
| 每个网络安全外围的配置文件数 | 最多支持 200 个(这是推荐的限制)。 |
| 每个配置文件的规则元素数 | 入站和出站硬限制各支持最多 200。 |
| 订阅中与同一网络安全外围关联的 PaaS 资源数 | 最多支持 1000 个(这是推荐的限制)。 |
其他限制
网络安全外围具有其他限制,如下所示:
| Limitation/Issue | Description |
|---|---|
| 网络安全外围访问日志中缺少字段 | 可以聚合网络安全外围访问日志。 如果缺少字段“count”和“timeGeneratedEndTime”,请考虑聚合计数为 1。 |
| 通过 SDK 创建关联失败并出现权限问题 | “状态:403(禁止);错误代码:AuthorizationFailed”。在范围“/subscriptions/xyz/providers/Microsoft.Network/locations/xyz/networkSecurityPerimeterOperationStatuses/xyz”内执行操作“Microsoft.Network/locations/networkSecurityPerimeterOperationStatuses/read”时,可能会收到“授权失败”。 在修复之前,请使用权限“Microsoft.Network/locations/*/read”或使用 CreateOrUpdateAsync SDK API 中的 WaitUntil.Started 进行关联创建。 |
| 为了支持网络安全外围,资源名称不能超过 44 个字符 | 在 Azure 门户中创建的网络安全外围资源关联采用 {resourceName}-{perimeter-guid} 格式。 若要符合名称字段不能超过 80 个字符这一要求,资源名称必须限制为 44 个字符。 |
| 不支持服务终结点流量。 | 建议将专用终结点用于 IaaS 到 PaaS 通信。 目前,即使入站规则允许 0.0.0.0/0,服务终结点流量也可能会被拒绝。 |
Note
有关每项服务的相应限制,请参阅单独的 PaaS 文档。