網路安全性周邊 可讓組織為部署在其虛擬網路外部的 PaaS 資源(例如 Azure Blob 記憶體和 SQL Database)定義邏輯網路隔離界限。 此功能會限制對界限外部 PaaS 資源的公用網路存取。 不過,您可以使用公用輸入和輸出流量的明確存取規則來豁免存取。 這有助於防止不想要的數據從記憶體資源外洩。 在網路安全性周邊內,成員資源可以自由地彼此通訊。 網路安全範圍規則會覆蓋儲存帳戶自身的防火牆設定。 從周邊存取的優先順序高於其他網路限制。
您可以 在這裡找到已上線至網路安全性周邊的服務清單。 如果未列出服務,則尚未上線。 若要允許從非上線服務存取特定資源,您可以建立網路安全性周邊的訂用帳戶型規則。 以訂用帳戶為基礎的規則會授與該訂用帳戶內所有資源的存取權。 如需如何新增訂用帳戶型存取規則的詳細資訊,請參閱 此檔。
存取模式
將記憶體帳戶上線至網路安全性周邊時,您可以從轉換模式(先前稱為學習模式)開始,或直接移至 [強制] 模式。 轉換模式(預設值)可讓記憶體帳戶在周邊規則尚未允許連線時回復到其現有的防火牆規則或 「受信任的服務」 設定。 強制模式會嚴格封鎖所有公用輸入和輸出流量,除非網路安全性周邊規則明確允許,以確保記憶體帳戶的最大保護。 在強制模式中,即使是 Azure 的「受信任服務」例外狀況也不會受到遵守。 如有需要,必須透過周邊規則明確允許相關的 Azure 資源或特定訂用帳戶。
Important
在 過渡(先前稱為學習) 模式下操作儲存帳戶僅應作為過渡步驟。 惡意行為者可能會利用不安全的資源來竊取資料。 因此,在存取模式設定為 [強制] 的情況下,儘快轉換為完全安全的組態非常重要。
網路優先順序
當儲存體帳戶成為網路安全邊界的一部分時,相關設定檔的存取規則會覆寫帳戶本身的防火牆設定,成為最上層的網路守門人。 邊界允許或拒絕的存取具有優先權,當儲存體帳戶以強制模式關聯時,帳戶的「允許的網路」設定會被略過。 從網路安全邊界中移除儲存體帳戶會將控制權交還給其一般防火牆。 網路安全邊界不會影響私人端點的流量。 透過私人連結的連線一律會成功。 針對內部 Azure 服務(「信任的服務」),只有明確納入網路安全邊界的服務才能透過邊界存取規則來獲得允許。 否則,即使已在儲存體帳戶的防火牆規則中標記為信任,其流量仍會在預設情況下遭到封鎖。 對於尚未上線的服務,替代方案包括:針對傳入流量使用訂用帳戶層級的規則,針對傳出流量則可使用完整網域名稱 (FQDN) 或透過私人連結進行存取。
Important
私人端點流量被視為高度安全,因此不受網路安全界限規則約束。 如果記憶體帳戶與周邊相關聯,所有其他流量,包括受信任的服務,都會受限於網路安全性周邊規則。
網路安全邊界下的功能涵蓋範圍
當儲存體帳戶與網路安全邊界相關聯時,除非已知限制另有明確說明,否則所有針對 Blob、檔案、資料表和佇列的標準資料平面作業皆受到支援。 Azure Blob 儲存、Azure Data Lake 儲存 Gen2、Azure 檔案儲存、Azure 表格儲存和 Azure 佇列儲存的所有以HTTPS為基礎的操作都可以透過網路安全邊界來進行限制。
Limitations
| Feature | 支援狀態 | Recommendations |
|---|---|---|
| Azure Blob 儲存體的物件複寫 | 不支援。 如果來源或目的地帳戶與網路安全性周邊相關聯,記憶體帳戶之間的物件複寫會失敗 | 請勿在需要物件複寫的儲存體帳戶上設定網路安全邊界。 同樣地,在支援可用之前,請勿在與網路安全性周邊相關聯的帳戶上啟用物件複寫。 如果已啟用物件複寫,則您無法關聯網路安全邊界。 同樣地,如果已關聯網路安全邊界,則您無法啟用物件複寫。 這項限制可防止您設定不支援的案例。 |
| 透過 Azure Blob 和 Azure 檔案儲存體提供的網路檔案系統 (NFS) 存取、透過 Azure 檔案儲存體提供的伺服器訊息區塊 (SMB) 存取,以及透過 Azure Blob 提供的 SSH 檔案傳輸協定 (SFTP) | 當記憶體帳戶與網路安全性周邊相關聯時,會封鎖 HTTPS 型存取以外的所有通訊協定 | 如果您需要使用這些通訊協定來存取記憶體帳戶,請勿將帳戶與網路安全周邊產生關聯 |
| Azure 備份 | 不支援。 「Azure 備份即服務」尚未上線到網路安全邊界。 | 如果您已啟用備份,或打算使用 Azure 備份,建議您不要將帳戶與網路安全性周邊建立關聯。 一旦 Azure 備份加入網路安全邊界,您就可以開始一同使用這兩項功能 |
| 非受控磁碟 | 非受控磁碟 不接受網路安全性周邊規則。 | 避免在受網路安全性周邊保護的記憶體帳戶上使用非受控磁碟 |
| 靜態網站 | 不支援 | 靜態網站,本質上是開放的,不能與網路安全界限一起使用。 如果已啟用靜態網站,則您無法關聯網路安全界限。 同樣地,如果已關聯網路安全界限,則您無法啟用靜態網站。 這項限制可防止您設定不支援的案例。 |
Warning
對於與網路安全邊界相關聯的儲存體帳戶,為了讓客戶管理的金鑰 (CMK) 案例能夠運作,請確定可從儲存體帳戶相關聯的邊界存取 Azure Key Vault。
建立網路安全界限與儲存體帳戶的關聯
若要將網路安全性周邊與記憶體帳戶產生關聯,請遵循所有 PaaS 資源的 常見指示 。
後續步驟
- 深入瞭解 Azure 網路服務端點。
- 深入瞭解 Azure Blob 記憶體的安全性建議。
- 啟用網路安全界限的診斷記錄。