Zásady koncového bodu služby pro virtuální síť pro službu Azure Storage

  • Článek

Zásady koncového bodu služby pro virtuální síť umožňují filtrovat odchozí provoz virtuální sítě do účtů Azure Storage přes koncový bod služby a povolit exfiltraci dat pouze konkrétním účtům Azure Storage. Zásady koncových bodů poskytují podrobné řízení přístupu pro provoz virtuální sítě do Azure Storage při připojování přes koncový bod služby.

Diagram of Securing Virtual network outbound traffic to Azure Storage accounts.

Tato funkce je obecně dostupná pro Azure Storage ve všech globálních oblastech Azure.

Klíčové výhody

Zásady koncových bodů služby pro virtuální síť nabízejí následující výhody:

  • Vylepšené zabezpečení provozu virtuální sítě do Služby Azure Storage

    Značky služeb Azure pro skupiny zabezpečení sítě umožňují omezit odchozí provoz virtuální sítě na konkrétní oblasti Azure Storage. Tento proces ale umožňuje provoz do libovolného účtu ve vybrané oblasti Azure Storage.

    Zásady koncových bodů umožňují zadat účty Azure Storage, které mají povolený odchozí přístup virtuální sítě, a omezují přístup ke všem ostatním účtům úložiště. Tento proces poskytuje mnohem podrobnější řízení zabezpečení pro ochranu exfiltrace dat z vaší virtuální sítě.

  • Škálovatelné, vysoce dostupné zásady pro filtrování přenosů u služeb Azure

    Zásady koncových bodů nabízejí horizontálně škálovatelné, vysoce dostupné řešení, které umožňuje filtrovat přenosy dat služeb Azure ve virtuálních sítích s pomocí koncových bodů služeb. K údržbě centrálních síťových zařízení pro tento provoz ve virtuálních sítích se nevyžaduje žádná režie.

Objekt JSON pro zásady koncového bodu služby

Pojďme se rychle podívat na objekt zásad koncového bodu služby.

"serviceEndpointPolicyDefinitions": [
    {
            "description": null,
            "name": "MySEP-Definition",
            "resourceGroup": "MySEPDeployment",
            "service": "Microsoft.Storage",
            "serviceResources": [ 
                    "/subscriptions/subscriptionID/resourceGroups/MySEPDeployment/providers/Microsoft.Storage/storageAccounts/mystgacc"
            ],
            "type": "Microsoft.Network/serviceEndpointPolicies/serviceEndpointPolicyDefinitions"
    }
]

Konfigurace

  • Zásady koncových bodů můžete nakonfigurovat tak, aby omezovaly provoz virtuální sítě na konkrétní účty Azure Storage.

  • Zásady koncových bodů jsou nakonfigurované v podsíti virtuální sítě. Aby se zásady použily, měly by být v podsíti povolené koncové body služby pro Azure Storage.

  • Zásady koncového bodu umožňují přidat konkrétní účty Azure Storage, které se mají přidat do seznamu povolených pomocí formátu RESOURCEID. Přístup můžete omezit na:

    • Všechny účty úložiště v předplatném
      E.g. /subscriptions/subscriptionId

    • Všechny účty úložiště ve skupině prostředků
      E.g. subscriptions/subscriptionId/resourceGroups/resourceGroupName

    • Jednotlivé účty úložiště výpisem odpovídajícího ID prostředku Azure Resource Manageru. Tím pokryjete přenosy objektů blob, tabulek, front, souborů a Azure Data Lake Storage Gen2.
      E.g. /subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.Storage/storageAccounts/storageAccountName

  • Pokud nejsou k podsíti s koncovými body připojené žádné zásady, můžete ve výchozím nastavení přistupovat ke všem účtům úložiště ve službě. Jakmile v dané podsíti nakonfigurujete zásadu, budou mít k prostředkům zadaným v zásadě přístup jenom výpočetní instance dané podsítě. Přístup ke všem ostatním účtům úložiště je odepřen.

  • Při použití zásad koncového bodu služby v podsíti se obor koncového bodu služby Azure Storage upgraduje z oblasti na globální. Tento proces znamená, že veškerý provoz do služby Azure Storage je následně zabezpečený přes koncový bod služby. Zásady koncového bodu služby platí také globálně. Všechny účty úložiště, které nejsou explicitně povolené, mají odepřený přístup.

  • V podsíti můžete použít více zásad. Pokud je k podsíti přidruženo více zásad, je povolený provoz virtuální sítě k prostředkům zadaným v rámci některé z těchto zásad. Přístup ke všem ostatním prostředkům služby, které nejsou zadány v žádné ze zásad, jsou odepřeny.

Poznámka:

Zásady koncového bodu služby jsou povolené, takže kromě zadaných prostředků jsou všechny ostatní prostředky omezené. Ujistěte se, že jsou v zásadách identifikovány a uvedeny všechny závislosti prostředků služby pro vaše aplikace.

  • Zásada koncového bodu může určovat jenom účty úložiště, které používají Azure Resource Model. Klasické účty Azure Storage nepodporují zásady koncových bodů služby Azure.

  • Sekundární přístup RA-GRS se automaticky povolí, pokud je uvedený primární účet.

  • Účty úložiště můžou být ve stejném nebo jiném předplatném nebo v tenantovi Microsoft Entra jako virtuální síť.

Scénáře

  • Partnerské, propojené nebo vícenásobné virtuální sítě: Pokud chcete filtrovat přenosy v partnerských virtuálních sítích, měli byste zásady koncových bodů použít v těchto jednotlivých virtuálních sítích.

  • Filtrování internetového provozu pomocí síťových zařízení nebo brány Azure Firewall: Filtrování provozu služeb Azure pomocí zásad, přes koncové body služby a filtrování zbytku internetu nebo provozu Azure prostřednictvím zařízení nebo brány Azure Firewall.

  • Filtrování provozu ve službách Azure nasazených ve virtuálních sítích: V tuto chvíli nejsou zásady koncových bodů služby Azure podporované pro žádné spravované služby Azure nasazené ve vaší virtuální síti.

  • Filtrování přenosů dat z místního prostředí do služeb Azure: Zásady koncových bodů služeb platí jenom pro přenosy z podsítí přidružených k zásadám. Pokud chcete povolit přístup k určitým prostředkům služeb Azure z místního prostředí, musíte k filtrování přenosů požít síťová virtuální zařízení nebo brány firewall.

Protokolování a řešení potíží

Zásady koncových bodů služeb nepodporují centrální přihlašování. Informace o protokolech prostředků služby najdete v tématu Protokolování koncových bodů služby.

Scénáře řešení potíží

  • Přístup byl odepřen účtům úložiště, které fungovaly ve verzi Preview (ne v geograficky spárované oblasti)

    • S upgradem služby Azure Storage na používání globálních značek služeb je rozsah koncového bodu služby a zásady koncového bodu služby nyní globální. Veškerý provoz do služby Azure Storage je proto šifrovaný přes koncové body služby a povolený přístup jsou jenom účty úložiště, které jsou explicitně uvedené v zásadách.

    • Explicitně povolte seznam všech požadovaných účtů úložiště pro obnovení přístupu.

    • Kontaktujte podporu Azure.

  • Účty uvedené v zásadách koncových bodů mají zakázaný přístup

    • Přístup mohou blokovat skupiny zabezpečení sítě nebo filtry brány firewall.

    • Pokud odebrání nebo opětovné použití zásady vede ke ztrátě připojení:

      • Ověřte, jestli je služba Azure nakonfigurovaná tak, aby umožňovala přístup z virtuální sítě přes koncové body, nebo jestli je výchozí zásada prostředku nastavená na Povolit vše.

      • Ověřte, jestli diagnostika služby zobrazuje provoz v koncových bodech.

      • Zkontrolujte, jestli se v protokolech toků skupin zabezpečení sítě zobrazuje očekávaný přístup nebo jestli se zobrazuje v protokolech úložišť (v koncových bodech služby).

      • Kontaktujte podporu Azure.

  • Přístup se zamítne účtům, které nejsou uvedené v zásadách koncového bodu služby

    • Ověřte, jestli je služba Azure Storage nakonfigurovaná tak, aby umožňovala přístup z virtuální sítě přes koncové body, nebo jestli je výchozí zásada pro prostředek nastavená na Povolit vše.

    • Ujistěte se, že účty nejsou klasické účty úložiště se zásadami koncového bodu služby v podsíti.

  • Spravovaná služba Azure přestala fungovat po použití zásad koncového bodu služby v podsíti

    • U koncových bodů služby se v současné době nepodporují spravované služby jiné než Azure SQL Managed Instance.

  • Po použití zásad koncového bodu služby v podsíti přestal fungovat přístup ke spravovaným účtům úložiště

    • Spravované účty úložiště nejsou podporovány zásadami koncového bodu služby. Pokud jsou nakonfigurované, zásady ve výchozím nastavení odepře přístup ke všem spravovaným účtům úložiště. Pokud vaše aplikace potřebuje přístup ke spravovaným účtům úložiště, zásady koncových bodů by se pro tento provoz neměly používat.

Zřizování

Uživatel s přístupem k zápisu do virtuální sítě konfiguruje zásady koncových bodů služby v podsítích. Další informace o předdefinovaných rolích Azure a přiřazení konkrétních oprávnění k vlastním rolím.

Virtuální sítě a účty Azure Storage můžou být ve stejném nebo jiném předplatném nebo v tenantech Microsoft Entra.

Omezení

  • Zásady koncového bodu služby můžete nasadit jenom ve virtuálních sítích nasazených prostřednictvím modelu Azure Resource Manageru.

  • Virtuální sítě musí být ve stejné oblasti jako zásada koncového bodu služby.

  • Zásadu koncového bodu služby můžete v podsíti použít, jen když jsou koncové body služby nakonfigurované pro služby Azure uvedené v zásadě.

  • Zásady koncových bodů služeb nemůžete použít pro přenosy dat z místní sítě do služeb Azure.

  • Spravované služby Azure jiné než Azure SQL Managed Instance v současné době nepodporují zásady koncových bodů. Toto omezení zahrnuje spravované služby nasazené do sdílených podsítí (jako jsou Azure Batch, Microsoft Entra Domain Services, Aplikace Azure Gateway, Azure VPN Gateway, Azure Firewall) nebo do vyhrazených podsítí (jako jsou Aplikace Azure Service Environment, Azure Redis Cache, Azure API Management, klasické spravované služby).

Upozorňující

Služby Azure nasazené ve vaší virtuální síti, jako je Azure HDInsight, přistupují k jiným službám Azure, jako je Azure Storage, kvůli požadavkům na infrastrukturu. Pokud zásadou koncového bodu omezíte přístup jenom k určitým prostředkům, můžete u služeb Azure nasazených ve své virtuální síti rozdělit přístup k těmto prostředkům infrastruktury.

  • Klasické účty úložiště se v zásadách koncových bodů nepodporují. Zásady ve výchozím nastavení zakazují přístup ke všem klasickým účtům úložiště. Pokud vaše aplikace potřebuje přístup k Azure Resource Manageru a klasickým účtům úložiště, zásady koncových bodů by se pro tento provoz neměly používat.

Ceny a omezení

Za používání zásad koncového bodu služby se neúčtují žádné další poplatky. Pro služby Azure (jako je Azure Storage) poskytované přes koncové body služeb platí aktuální cenový model.

Pro zásady koncových bodů služeb platí následující limity:

Prostředek Výchozí omezení
ServiceEndpointPoliciesPerSubscription 500
ServiceEndpointPoliciesPerSubnet 100
ServiceEndpointPoliciesPerVirtualNetwork 100
ServiceResourcesPerServiceEndpointPolicyDefinition 200

Další kroky