Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Hraniční síť zabezpečení sítě umožňuje organizacím definovat hranici izolace logické sítě pro prostředky PaaS (například Azure Blob Storage a SQL Database), které jsou nasazené mimo jejich virtuální sítě. Tato funkce omezuje přístup veřejné sítě k prostředkům PaaS mimo hraniční síť. Přístup ale můžete vyloučit pomocí explicitních pravidel přístupu pro veřejný příchozí a odchozí provoz. To pomáhá zabránit nežádoucí exfiltraci dat z vašich úložných zdrojů. V rámci síťového bezpečnostního perimetru mohou členské zdroje vzájemně volně komunikovat. Pravidla bezpečnostního perimetru sítě přepíší vlastní nastavení brány firewall účtu úložiště. Přístup z hraniční sítě má nejvyšší prioritu před jinými omezeními sítě.
Seznam služeb, které jsou připojené k síťovému bezpečnostnímu perimetru, najdete tady. Pokud služba není uvedená, ještě není onboardovaná. Pokud chcete povolit přístup ke konkrétnímu prostředku ze služby, která není součástí sítě, můžete vytvořit pravidlo na základě předplatného pro perimetr zabezpečení sítě. Pravidlo založené na předplatném uděluje přístup ke všem prostředkům v rámci tohoto předplatného. Podrobnosti o tom, jak přidat pravidlo přístupu na základě předplatného, najdete v této dokumentaci.
Režimy přístupu
Při přidávání účtů úložiště k bezpečnostnímu perimetru sítě můžete začít v Přechodném režimu (dříve v Učebním režimu) nebo přejít přímo do Vynuceného režimu. Režim přechodu (výchozí) umožňuje účtu úložiště vrátit se ke stávajícím pravidlům brány firewall nebo nastavení důvěryhodných služeb , pokud hraniční pravidlo ještě nepovoluje připojení. Vynucený režim přísně blokuje veškerý veřejný příchozí a odchozí provoz, pokud to explicitně nepovoluje pravidlo hraniční sítě, které zajišťuje maximální ochranu vašeho účtu úložiště. V vynuceném režimu nejsou dodrženy ani výjimky "důvěryhodné služby" Azure. Relevantní prostředky Azure nebo konkrétní předplatná musí být explicitně povolená prostřednictvím hraničních pravidel v případě potřeby.
Important
Provozní účty úložiště v režimu přechodu (dříve Learning) by měly sloužit pouze jako přechodný krok. Aktéři se zlými úmysly mohou zneužít nezabezpečené prostředky k exfiltraci dat. Proto je nezbytné co nejdříve přejít na plně zabezpečenou konfiguraci s režimem přístupu nastaveným na Vynuceno.
Priorita sítě
Pokud je účet úložiště součástí zabezpečovacího perimetru sítě, pravidla přístupu příslušného profilu přepisují vlastní nastavení firewallu účtu a stanou se bránou sítě nejvyšší úrovně. Přístup povolený nebo odepřený obvodovou sítí má přednost, a nastavení „Povolené sítě“ účtu jsou ignorována, když je účet úložiště ve vynuceném režimu. Odebrání účtu úložiště z obvodu síťové bezpečnosti vrátí kontrolu zpět na standardní bránu firewall. Síťové bezpečnostní perimetry nemají vliv na datový provoz privátního koncového bodu. Připojení přes privátní propojení jsou vždy úspěšná. U interních služeb Azure ("důvěryhodných služeb") můžou být prostřednictvím pravidel hraničního přístupu povoleny pouze služby explicitně připojené k hraniční síti. Jejich provoz je ve výchozím nastavení zablokován, i když je označen jako důvěryhodný v pravidlech brány firewall účtu úložiště. U služeb, které ještě nejsou nasazené, zahrnují alternativy pravidla na úrovni předplatného pro příchozí a plně kvalifikované názvy domén (FQDN) pro odchozí přístup nebo prostřednictvím privátních propojení.
Important
Provoz privátního koncového bodu se považuje za vysoce zabezpečený, a proto se na ně nevztahují pravidla zabezpečení sítě. Všechen ostatní provoz, včetně důvěryhodných služeb, podléhá pravidlům bezpečnostního perimetru sítě, pokud je účet úložiště přidružen k perimetru.
Pokrytí funkcí v rámci perimetru zabezpečení sítě
Pokud je účet úložiště přidružený k síťové bezpečnostní bariéře, podporují se všechny standardní operace datové roviny pro objekty blob, soubory, tabulky a fronty, pokud nejsou uvedené v rámci známých omezení. Všechny operace založené na protokolu HTTPS pro Azure Blob Storage, Azure Data Lake Storage Gen2, Azure Files, Azure Table Storage a Azure Queue Storage je možné omezit pomocí hraniční sítě.
Limitations
| Feature | Stav podpory | Recommendations |
|---|---|---|
| Replikace objektů pro Azure Blob Storage | Nepodporuje se. Replikace objektů mezi účty úložiště selže, pokud je zdrojový nebo cílový účet přidružený k hraniční síti zabezpečení sítě. | Nekonfigurujte síťový bezpečnostní perimetr na úložných účtech, které potřebují replikaci objektů. Podobně neaktivujte replikaci objektů u účtů přidružených k bezpečnostnímu perimetru sítě, dokud nebude k dispozici podpora. Pokud je už povolená replikace objektů, nemůžete přidružit bezpečnostní perimetr sítě. Podobně, pokud je už přidružený bezpečnostní perimetr sítě, nemůžete povolit replikaci objektů. Toto omezení vám brání v konfiguraci nepodporovaného scénáře. |
| Přístup k systému souborů NFS (Network File System) přes objekty blob Azure a Soubory Azure, přístup k bloku zpráv serveru (SMB) přes Azure Files a SSH File Transfer Protocol (SFTP) přes objekty blob Azure | Všechny protokoly kromě přístupu založeného na protokolu HTTPS se zablokují, když je účet úložiště přidružený k hraniční síti zabezpečení sítě. | Pokud potřebujete pro přístup k účtu úložiště použít některý z těchto protokolů, nepřidružujte tento účet k hraniční síti. |
| Azure Backup | Není podporováno. Azure Backup jako služba ještě není integrována do perimetru zabezpečení sítě. | Pokud máte povolené zálohování nebo pokud plánujete používat Azure Backup, doporučujeme nepřidružit účet k perimetru síťové bezpečnosti. Po začlenění služby Azure Backup do sítě s bezpečnostními opatřeními můžete začít společně používat obě funkce. |
| Nespravované disky | Nespravované disky nedodržují pravidla síťového zabezpečení. | Nepoužívejte nespravované disky na účtech úložiště chráněných perimetrem síťové bezpečnosti. |
| Statický web | Není podporováno | Statický web, který je otevřený v přírodě, nelze použít s hraniční sítí zabezpečení sítě. Pokud je statický web již povolený, nemůžete přidružit hraniční síť zabezpečení sítě. Podobně platí, že pokud už je přidružená hraniční síť zabezpečení sítě, nemůžete povolit statický web. Toto omezení vám brání v konfiguraci nepodporovaného scénáře. |
Warning
Pro účty úložiště, které jsou přidružené k hraniční síti, aby scénáře klíčů spravovaných zákazníkem (CMK) fungovaly, zajistěte, aby služba Azure Key Vault byla přístupná z hraniční sítě, ke které je přidružený účet úložiště.
Přidružit síťový bezpečnostní perimetr k účtu úložiště
Chcete-li přidružit síťový bezpečnostní perimetr k účtu úložiště, řiďte se těmito běžnými pokyny pro všechny prostředky PaaS.
Další kroky
- Přečtěte si další informace o koncových bodech síťových služeb Azure.
- Podrobnější informace o doporučeních zabezpečení pro úložiště objektů blob v Azure
- Povolte diagnostické protokoly pro perimetr zabezpečení sítě.