Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
PLATÍ PRO: 
NoSQL
Tento článek vysvětluje, jak nakonfigurovat hraniční síť zabezpečení sítě na účtu služby Azure Cosmos DB.
Důležité
Perimetr síťové bezpečnosti je ve veřejné ukázce. Tato funkce je poskytována bez smlouvy o úrovni služeb. Další informace najdete v dodatečných podmínkách použití pro verze Preview v Microsoft Azure.
Přehled funkcí
Správci sítě můžou definovat hranici izolace sítě pro své služby PaaS, což umožňuje komunikaci mezi účtem služby Azure Cosmos DB a službou Keyvault, SQL a dalšími službami pomocí hraniční sítě Azure. Zabezpečení veřejného přístupu ve službě Azure je možné provést několika způsoby:
- Zabezpečení příchozích připojení: Omezte veřejné vystavení účtu služby Azure Cosmos DB tím, že explicitně udělujete příchozí přístup k prostředkům uvnitř perimeteru. Ve výchozím nastavení je přístup z neoprávněných sítí zamítnut a přístup z privátních koncových bodů do perimetru nebo k prostředkům v předplatném lze nakonfigurovat.
- Zabezpečení komunikace mezi službami: Všechny prostředky uvnitř hraniční sítě můžou komunikovat s jinými prostředky v rámci hraniční sítě, což brání exfiltraci dat.
- Zabezpečení odchozích připojení: Pokud síťový bezpečnostní perimetr nespravuje cílový tenant, blokuje přístup při pokusu o kopírování dat z jednoho tenant do druhého. Přístup je udělen na základě plně kvalifikovaného názvu domény nebo přístupu z jiných hraničních sítí; všechny ostatní pokusy o přístup jsou odepřeny.
Veškerá tato komunikace je automaticky řešena, jakmile je nastaven perimetr síťové bezpečnosti, a uživatelé se o ni nemusí starat. Místo nastavení privátního koncového bodu pro každý prostředek pro povolení komunikace nebo konfigurace virtuální sítě umožňuje bezpečnostní obvod sítě na nejvyšší úrovni tuto funkci.
Poznámka:
Síťový bezpečnostní perimetr Azure doplňuje to, co máme aktuálně implementováno, včetně privátního koncového bodu, který umožňuje přístup k privátnímu prostředku v rámci perimetru, a vložení virtuální sítě, které umožňuje spravovaným nabídkám virtuálních sítí přistupovat k prostředkům v rámci perimetru. V současné době nepodporujeme kombinaci bezpečnostního perimetru sítě Azure, klíčů spravovaných zákazníkem (CMK) a funkcí úložiště protokolů, jako je analytické úložiště, všechny verze a režim kanálu změn pro odstranění, materializovaná zobrazení a obnovení k bodu v čase. Pokud potřebujete provést obnovení účtu s podporou CMK s hraniční sítí Azure, budete dočasně muset uvolnit nastavení hraniční sítě v trezoru klíčů, abyste umožnili vašemu účtu Cosmos DB přístup ke klíči.
Začínáme
Důležité
Před nastavením hraniční sítě vytvořte spravovanou identitu v Azure.
- Na portálu Azure vyhledejte perimetry síťové bezpečnosti v seznamu prostředků a vyberte Vytvořit +.
- V seznamu prostředků vyberte prostředky, které chcete přidružit k hraniční síti.
- Přidejte příchozí pravidlo přístupu, typ zdroje může být IP adresa nebo předplatné.
- Přidejte pravidla odchozího přístupu, která umožňují prostředkům uvnitř hraniční sítě připojovat se k internetu a prostředkům mimo hraniční síť.
V případech, kdy máte existující účet služby Azure Cosmos DB a chcete přidat hraniční síť zabezpečení:
Vyberte Síť v Nastavení.
Potom výběrem možnosti Přidružit NSP pro přidružení tohoto prostředku k hraniční síti povolte komunikaci s jinými prostředky Azure ve stejné hraniční síti a omezte veřejný přístup tak, aby povolovala pouze zadaná připojení.
Poznámka:
Pokud provádíte požadavky na svůj účet pomocí rozhraní REST API, ujistěte se, že je v hlavičce x-ms-date a ve správném formátu data RFC 1123. Požadavky se můžou začít blokovat, pokud je hlavička nesprávná, pokud je účet přidružený k hraniční síti zabezpečení sítě.
Další kroky
- Přehled perimetru síťových služeb
- Naučte se monitorovat s diagnostickými protokoly v bezpečnostním perimetru sítě