Aktivér netværkssikkerhed for Azure Storage-blob-connectors

Denne artikel indeholder en trinvis vejledning i, hvordan du aktiverer netværkssikkerhed for de lagerressourcer, der er integreret med din Azure Storage-connector. Azure NSP (Network Security Perimeter) er en indbygget Azure funktion, der opretter en logisk isolationsgrænse for Dine PaaS-ressourcer. Ved at knytte ressourcer som lagerkonti eller databaser til en NSP kan du centralt administrere netværksadgang ved hjælp af et forenklet regelsæt. Du kan få flere oplysninger under Netværkssikkerhedsperimeterbegreber.

Forudsætninger

Før du aktiverer netværkssikkerhed, skal du oprette dine connectorressourcer. Se Konfigurer din Azure Storage Connector for at streame logge til Microsoft Sentinel, herunder emnet Event Grid system, der bruges til at streame hændelser for bloboprettelse til Azure Storage-køen.

Hvis du vil fuldføre denne konfiguration, skal du sikre dig, at du har følgende tilladelser:

  • Abonnementsejer eller bidragyder for at oprette perimeterressourcer til netværkssikkerhed.
  • Bidragyder til lagerkonto for at knytte lagerkontoen til NSP'en.
  • Brugeradgangsadministrator for lagerkonto eller ejer for at tildele RBAC-roller til det administrerede id for hændelsesgitteret.
  • Bidragyder til hændelsesgitter for at aktivere administreret identitet og administrere hændelsesabonnementer.

Aktivér netværkssikkerhed

Hvis du vil aktivere netværkssikkerhed for de lagerressourcer, der er integreret med din Azure Storage-connector, skal du oprette en NSP (Network Security Perimeter), knytte lagerkontoen til den og konfigurere reglerne for at tillade trafik fra hændelsesgitteret og andre påkrævede kilder, samtidig med at uautoriseret adgang blokeres. Benyt følgende fremgangsmåde for at fuldføre konfigurationen.

Opret en netværkssikkerhedsperimeter

  1. I Azure Portal skal du søge efter Netværkssikkerhedsperimeter

  2. Vælg Opret.

  3. Vælg et abonnement og en ressourcegruppe.

  4. Angiv navn, f.eks. storageblob-connectors-nsp

  5. Vælg et område. Området skal være det samme område som lagerkontoen.

  6. Angiv et profilnavn , eller acceptér standarden. Profilen definerer det sæt regler, der anvendes på tilknyttede ressourcer. Du kan have flere profiler i en enkelt NSP for at anvende forskellige regler på forskellige ressourcer, hvis det er nødvendigt.

  7. Vælg Gennemse + opret , og vælg derefter Opret.

    Et skærmbillede, der viser oprettelsen af en netværkssikkerhedsperimeter i Azure Portal.

Knyt lagerkontoen til netværkssikkerhedsperimeteren

  1. Åbn den nyoprettede netværkssikkerhedsperimeterressource i Azure Portal.

  2. Vælg Profiler, og vælg derefter det profilnavn, du brugte, da du oprettede NSP-ressourcen.

  3. Vælg Tilknyttede ressourcer.

  4. Vælg Tilføj.

  5. Søg efter og tilføj din lagerkonto, og vælg derefter Vælg.

  6. Vælg Tilknyt.

Adgangstilstanden er som standard angivet til Overgang , hvilket giver dig mulighed for at validere konfigurationen, før du gennemtvinger begrænsninger.

Et skærmbillede, der viser, hvordan du knytter en lagerkonto til netværkssikkerhedsperimeteren i Azure Portal.

Aktivér System-Assigned identitet på emnet Event Grid System

  1. Gå til fanen Hændelser fra din lagerkonto.

  2. Vælg det systememne , der bruges til at streame hændelser for bloboprettelse til lagerkøen.

    Et skærmbillede, der viser fanen Hændelse for Lagerkonti i Azure Portal.

  3. Vælg Identitet.

  4. På fanen Systemtildeling skal du angive Status til Til.

  5. Vælg Gem, og kopiér derefter objekt-id'et for den administrerede identitet til senere brug.

    Et skærmbillede, der viser oprettelsen af en administreret identitet for et emne i hændelsesgittersystemet i Azure Portal.

Tildel RBAC-tilladelser til lagerkøen

  1. Gå til din lagerkonto.

  2. Vælg Access Control (IAM).

  3. Vælg Tilføj.

  4. Søg efter og vælg rollen Afsender af meddelelse om lagerkødata (omfang: lagerkontoen).

  5. Vælg fanen Medlemmer , og vælg derefter Vælg medlemmer.

  6. I ruden Vælg medlemmer skal du indsætte objekt-id'et for emnet Administreret identitet for hændelsesgittersystemet, der blev oprettet i det forrige trin.

  7. Vælg den administrerede identitet, og vælg derefter Vælg.

  8. Vælg Gennemse + tildel for at fuldføre rolletildelingen. Et skærmbillede, der viser tildelingen af rollen Afsender af lagerkødatameddelelse til en administreret identitet i Azure Portal.

Aktivér administreret identitet på hændelsesabonnementet

  1. Åbn emnet Event Grid System.

  2. Vælg det hændelsesabonnement, der er målrettet køen.

  3. Vælg fanen Flere indstillinger .

  4. Angiv Administreret identitetstype til System-tildelt.

  5. Vælg Gem.

  6. Gennemse målepunkterne for Event Grid-abonnementet for at validere, at meddelelser er publiceret til lagerkøen efter denne opdatering.

Et skærmbillede, der viser aktiveringen af administreret identitet for et Event Grid-abonnement i Azure Portal.

Konfigurer regler for indgående adgang på perimeterprofilen Netværkssikkerhed

Følgende regler er påkrævet for at give Hændelsesgitter tilladelse til at levere meddelelser til lagerkontoen, mens uautoriseret adgang blokeres. Afhængigt af systemet, der sender data til lagerkontoen eller tilgår lagerressourcerne, skal du muligvis tilføje yderligere indgående regler. Gennemse dit scenarie og dine trafikmønstre for at anvende de nødvendige regler på en sikker måde og give tid til regeloverførsel.

Regel 1: Tillad abonnementet (levering af hændelsesgitter)

Levering af hændelsesgitter stammer ikke fra faste offentlige IP-adresser. NSP validerer levering ved hjælp af abonnementsidentitet.

  1. Gå til Netværkssikkerhedsperimeter, og vælg din NSP.

  2. Vælg Profiler , og vælg derefter den profil, der er knyttet til din lagerkonto.

  3. Vælg Indgående adgangsregler , og vælg derefter Tilføj.

    Et skærmbillede, der viser siden med regler for indgående adgang i Azure Portal.

  4. Angiv et regelnavn, f.eks Allow-Subscription. .

  5. Vælg Abonnement på rullelisten Kildetype .

  6. Vælg dit abonnement på rullelisten Tilladte kilder .

  7. Vælg Tilføj for at oprette reglen.

    Et skærmbillede, der viser oprettelsen af en regel for indgående adgang for at tillade et abonnement i Azure Portal.

Bemærk!

Det kan tage et par minutter, før regler vises på listen efter oprettelsen.

Regel 2: Tillad ip-intervaller for sportstjeneste

  1. Opret endnu en regel for indgående adgang.

  2. Angiv et regelnavn, f.eks Allow-Scuba. .

  3. Vælg IP-adresseområder på rullelisten Kildetype .

  4. Åbn downloadsiden for tjenestemærket .

  5. Vælg din cloud, f.eks. Azure Offentlig.

  6. Vælg knappen Download , og åbn den downloadede fil for at få vist en liste over IP-intervaller.

  7. Scuba Find tjenestekoden, og kopiér de tilknyttede IPv4-områder.

  8. Indsæt IPv4-områder i feltet Tilladte kilder , når du har fjernet anførselstegn og efterstillede kommaer.

  9. Vælg Tilføj for at oprette reglen.

    Vigtigt!

    Fjern anførselstegnene fra IP-intervaller, og sørg for, at der ikke er noget efterstillet komma i den sidste post, før du indsætter dem i feltet Tilladte kilder . Tjenestemærkeintervaller opdateres over tid. opdateres regelmæssigt for at holde reglerne opdaterede.

    Et skærmbillede, der viser en del af filen ServiceTags_Public.json med servicemærket Dykning og IPv4-intervaller fremhævet.

Valider og gennemtving

Når du har konfigureret reglerne, skal du overvåge diagnosticeringslogfilerne for netværkssikkerhedsperimeteren for at validere, at legitim trafik er tilladt, og at der ikke er nogen afbrydelser. Når du har bekræftet, at reglerne tillader nødvendig trafik korrekt, kan du skifte fra overgangstilstand til gennemtvunget tilstand for at blokere uautoriseret adgang.

Overgangstilstand

Aktivér logfiler for perimeterdiagnosticering for netværkssikkerhed, og gennemse indsamlet telemetri for at validere kommunikationsmønstre før håndhævelse. Du kan finde flere oplysninger under Diagnosticeringslogge for Perimeter til netværkssikkerhed.

Anvend gennemtvingelsestilstand

Når valideringen er fuldført, skal du angive adgangstilstanden til Gennemtvunget på følgende måde:

  1. På siden Netværkssikkerhedsperimeter under Indstillinger skal du vælge Tilknyttede ressourcer.

  2. Vælg lagerkontoen.

  3. Vælg Skift adgangstilstand.

  4. Vælg Gennemtvunget og derefter Gem.

    Et skærmbillede, der viser, hvordan du ændrer adgangstilstanden for en lagerkonto, der er knyttet til en netværkssikkerhedsperimeter i Azure Portal.

Validering efter håndhævelse

Efter håndhævelse skal du overvåge miljøet nøje for blokeret trafik, der kan indikere fejlkonfigurationer. Valider, at konfigurationen af hændelsesgitteret ikke påvirkes ved at gennemse emneabonnementsdata for Event Grid-systemet.

Brug diagnosticeringslogfilerne til at undersøge og løse eventuelle problemer, der opstår. Gennemse målepunkterne på lagerkontoen (indgående og fejl i kø) og Hændelsesgitter (leveringsbekræftelse) for at validere for eventuelle fejl. Gå tilbage til overgangstilstand, hvis du oplever afbrydelser, og gentag undersøgelsen ved hjælp af diagnosticeringslogfilerne.

Angiv Sikret af perimeter på lagerkontoen (valgfrit)

Angivelse af lagerkontoen til Secured by Perimeter sikrer, at al trafik til lagerkontoen evalueres i forhold til reglerne for netværkssikkerhedsperimeter og blokerer offentlig netværksadgang.

  1. Gå til din lagerkonto.

  2. Under Sikkerhed + netværk skal du vælge Netværk.

  3. Under Offentlig netværksadgang skal du vælge Administrer.

  4. Angiv Secured by Perimeter (Most restricted).

  5. Vælg Gem.

Et skærmbillede, der viser, hvordan du angiver en lagerkonto til 'Beskyttet ved perimeter' i Azure Portal.

Næste trin

I denne artikel har du lært, hvordan du aktiverer netværkssikkerhed for de lagerressourcer, der er integreret med din Azure Storage-connector. Du kan få flere oplysninger i artiklen Netværkssikkerhedsperimeter .

  • Last updated on