Freigeben über


Was ist ein Netzwerksicherheitsperimeter?

Der Netzwerksicherheitsperimeter ermöglicht Organisationen das Definieren einer logischen Netzwerkisolationsgrenze für PaaS-Ressourcen (z. B. Azure Storage-Konto und SQL-Datenbank-Server), die außerhalb der virtuellen Netzwerke Ihrer Organisation bereitgestellt werden. Er schränkt den Zugriff über öffentliche Netzwerke auf PaaS-Ressourcen innerhalb des Perimeters ein. Der Zugriff kann mit expliziten Zugriffsregeln für öffentliche eingehende und ausgehende Daten ausgenommen werden.

Informationen zu Zugriffsmustern, die Datenverkehr von virtuellen Netzwerken zu PaaS-Ressourcen umfassen, finden Sie unter Was ist Azure Private Link?.

Zu den Features eines Netzwerksicherheitsperimeters gehören:

  • Die Zugriffskommunikation von Ressource zu Ressource innerhalb von Perimetermitgliedern verhindert die Datenexfiltration an nicht autorisierte Ziele.
  • Die Verwaltung des externen öffentlichen Zugriffs mit expliziten Regeln für PaaS-Ressourcen, die dem Perimeter zugeordnet sind.
  • Zugreifen auf Protokolle für Überwachung und Compliance.
  • Einheitliche Benutzeroberfläche über PaaS-Ressourcen hinweg.

Diagramm zum Sichern eines Diensts mit dem Netzwerksicherheitsperimeter.

Wichtig

Der Netzwerksicherheitsperimeter befindet sich in der öffentlichen Vorschauversion und ist in allen Regionen der öffentlichen Azure-Cloud verfügbar. Diese Vorschauversion wird ohne Vereinbarung zum Servicelevel bereitgestellt und ist nicht für Produktionsworkloads vorgesehen. Manche Features werden möglicherweise nicht unterstützt oder sind nur eingeschränkt verwendbar. Weitere Informationen finden Sie unter Zusätzliche Nutzungsbestimmungen für Microsoft Azure-Vorschauen.

Komponenten eines Netzwerksicherheitsperimeters

Ein Netzwerksicherheitsperimeter umfasst die folgenden Komponenten:

Komponente Beschreibung
Netzwerksicherheitsperimeter Ressource auf oberster Ebene, die logische Netzwerkgrenze definiert, um PaaS-Ressourcen zu sichern.
Profil Sammlung von Zugriffsregeln, die für dem Profil zugeordnete Ressourcen gelten.
Zugriffsregel Eingehende und ausgehende Regeln für Ressourcen in einem Perimeter, um den Zugriff außerhalb des Perimeters zu ermöglichen.
Ressourcenzuordnung Perimetermitgliedschaft für eine PaaS-Ressource.
Diagnoseeinstellungen Erweiterungsressource, die von Microsoft Insights gehostet wird, um Protokolle und Metriken für alle Ressourcen im Perimeter zu sammeln.

Hinweis

Fügen Sie für die Organisations- und Informationssicherheit keine persönlich identifizierbaren oder vertraulichen Daten in die Regeln des Netzwerksicherheitsperimeters oder andere Konfigurationen des Netzwerksicherheitsperimeters ein.

Eigenschaften von Netzwerksicherheitsperimetern

Beim Erstellen eines Netzwerksicherheitsperimeters können Sie die folgenden Eigenschaften angeben:

Eigenschaft Beschreibung
Name Ein eindeutiger Name innerhalb der Ressourcengruppe.
Ort Eine unterstützte Azure-Region, in der sich die Ressource befindet.
Ressourcengruppenname Name der Ressourcengruppe, in welcher der Netzwerksicherheitsperimeter vorhanden sein soll.

Zugriffsmodi im Netzwerksicherheitsperimeter

Administratoren fügen PaaS-Ressourcen zu einem Perimeter hinzu, indem sie Ressourcenzuordnungen erstellen. Diese Zuordnungen können in zwei Zugriffsmodi erfolgen. Die Zugriffsmodi sind:

Modus Beschreibung
Übergangsmodus (ehemals Lernmodus) - Standardzugriffsmodus.
– Hilft Netzwerkadministratoren, die vorhandenen Zugriffsmuster ihrer PaaS-Ressourcen zu verstehen.
– Empfohlener Verwendungsmodus vor dem Übergang zum erzwungenen Modus.
Erzwungener Modus - Muss vom Administrator festgelegt werden.
– Standardmäßig wird der gesamte Datenverkehr mit Ausnahme des Intraperimeterdatenverkehrs in diesem Modus verweigert, es sei denn, es ist eine Zulassungszugriffsregel vorhanden.

Weitere Informationen zum Übergang vom Übergangsmodus (ehemals Lernmodus) zum erzwungenen Modus finden Sie im Artikel Übergang zu einem Netzwerksicherheitsperimeter.

Warum sollte man Netzwerksicherheitsperimeter verwenden?

Der Netzwerksicherheitsperimeter stellt einen sicheren Perimeter für die Kommunikation von PaaS-Diensten bereit, die außerhalb des virtuellen Netzwerks bereitgestellt werden. Dadurch können Sie den Netzwerkzugriff auf Azure PaaS-Ressourcen steuern. Zu den häufigsten Anwendungsfällen gehören:

  • Erstellen einer sicheren Grenze um PaaS-Ressourcen.
  • Verhindern der Datenexfiltration, indem Sie PaaS-Ressourcen dem Perimeter zuordnen.
  • Aktivieren der Zugriffsregeln, um Zugriff außerhalb des sicheren Perimeters zu gewähren.
  • Verwalten Sie Zugriffsregeln für alle PaaS-Ressourcen innerhalb des Netzwerksicherheitsperimeters in einem einzigen Glasbereich.
  • Aktivieren Sie Diagnoseeinstellungen, um Zugriffsprotokolle von PaaS-Ressourcen innerhalb des Perimeters für Überwachung und Compliance zu generieren.
  • Privaten Endpunktdatenverkehr zulassen, ohne dass explizite Zugriffsregeln erforderlich sind.

Wie funktioniert ein Netzwerksicherheitsperimeter?

Wenn ein Netzwerksicherheitsperimeter erstellt wird und die PaaS-Ressourcen dem Perimeter im erzwungenen Modus zugeordnet sind, wird standardmäßig der gesamte öffentliche Datenverkehr verweigert, wodurch Datenexfiltration außerhalb des Perimeters verhindert wird.

Zugriffsregeln können verwendet werden, um öffentlichen eingehenden und ausgehenden Datenverkehr außerhalb des Perimeters zu genehmigen. Der öffentliche eingehende Zugriff kann mithilfe von Netzwerk- und Identitätsattributen des Clients genehmigt werden, z. B. Quell-IP-Adressen, Abonnements. Der öffentliche ausgehende Zugriff kann mithilfe von FQDNs (vollqualifizierte Domänennamen) der externen Ziele genehmigt werden.

Wenn Sie beispielsweise einen Netzwerksicherheitsperimeter erstellen und dem Perimeter eine Reihe von PaaS-Ressourcen wie Azure Key Vault und SQL DB im erzwungenen Modus zuordnen, wird diesen PaaS-Ressourcen standardmäßig der gesamte eingehende und ausgehende öffentliche Datenverkehr verweigert. Um den Zugriff außerhalb des Perimeters zuzulassen, können erforderliche Zugriffsregeln erstellt werden. Innerhalb desselben Perimeters können Profile erstellt werden, um PaaS-Ressourcen mit ähnlichen Anforderungen für eingehenden und ausgehenden Zugriff zu gruppieren.

Eine Private Link-Ressource für Netzwerksicherheitsperimeter ist eine PaaS-Ressource, die einem Netzwerksicherheitsperimeter zugeordnet werden kann. Derzeit ist die Liste der integrierten Private Link-Ressourcen wie folgt:

Name der Private Link-Ressource Ressourcentyp Ressourcen
Azure Monitor. Microsoft.Insights/dataCollectionEndpoints
Microsoft.Insights/ScheduledQueryRules
Microsoft.Insights/actionGroups
Microsoft.OperationalInsights/workspaces
Log Analytics Workspace, Application Insights, Alerts, Notification Service
Azure KI-Suche Microsoft.Search/searchServices -
Cosmos DB Microsoft.DocumentDB/databaseAccounts -
Event Hubs Microsoft.EventHub/namespaces -
Schlüsseltresor Microsoft.KeyVault/vaults -
SQL DB Microsoft.Sql/servers -
Speicher Microsoft.Storage/storageAccounts -

Hinweis

Informationen zu derzeit nicht unterstützten Szenarios finden Sie in der entsprechenden Dokumentation zu Private Link-Ressourcen.

Unterstützte Zugriffsregelntypen

Der Netzwerksicherheitsperimeter unterstützt die folgenden Zugriffsregeltypen:

Richtung Zugriffsregeltyp
Eingehend Abonnementbasierte Regeln
Eingehend IP-basierte Regeln (überprüfen Sie die entsprechenden integrierten privaten Linkressourcen für den v6-Support)
Ausgehend FQDN-basierte Regeln

Einschränkungen eines Netzwerksicherheitsperimeters

Protokollierungseinschränkungen

Der Netzwerksicherheitsperimeter ist derzeit in allen öffentlichen Azure-Cloudregionen verfügbar. Beim Aktivieren von Zugriffsprotokollen für den Netzwerksicherheitsperimeter muss sich der Log Analytics-Arbeitsbereich, der dem Netzwerksicherheitsperimeter zugeordnet werden soll, jedoch in einer der unterstützten Azure Monitor-Regionen befinden.

Hinweis

Verwenden Sie für PaaS-Ressourcenprotokolle Log Analytics Workspace, Storage oder Event Hub als das Protokollziel, das demselben Umkreis zugeordnet ist wie die PaaS-Ressource.

Einschränkungen bei der Skalierung

Durch die Funktionalität „Netzwerksicherheitsperimeter“ können Bereitstellungen von PaaS-Ressourcen mit allgemeinen Steuerelementen öffentlicher Netzwerke unterstützt werden, wobei folgende Skalierungsbegrenzungen bestehen:

Einschränkung Beschreibung
Anzahl der Netzwerksicherheitsperimeter Unterstützt bis zu 100 als empfohlenen Grenzwert pro Abonnement.
Profile pro Netzwerksicherheitsperimeter Unterstützt bis zu 200 als empfohlenen Grenzwert.
Anzahl der Regelelemente pro Profil Wird bis zu 200 für eingehende und ausgehende Elemente als harte Grenze unterstützt.
Anzahl der PaaS-Ressourcen über Abonnements hinweg, die dem gleichen Netzwerksicherheitsperimeter zugeordnet sind Unterstützt bis zu 1000 als empfohlenen Grenzwert.

Weitere Einschränkungen

Der Netzwerksicherheitsperimeter hat folgende weitere Einschränkungen:

Einschränkung/Probleme Beschreibung
Fehlendes Feld in Netzwerksicherheitsperimeter-Zugriffsprotokollen Netzwerksicherheitsperimeterzugriffsprotokolle wurden möglicherweise aggregiert. Wenn die Felder "count" und "timeGeneratedEndTime" fehlen, berücksichtigen Sie die Aggregationsanzahl als 1.
Zuordnungserstellung über SDK schlägt mit Berechtigungsproblem fehl Status: 403 (Unzulässig); ErrorCode: AuthorizationFailed, kann empfangen werden, während die Aktion „Microsoft.Network/locations/networkSecurityPerimeterOperationStatuses/read” über den Bereich „/subscriptions/xyz/providers/Microsoft.Network/locations/xyz/networkSecurityPerimeterOperationStatuses/xyz” ausgeführt wird.

Verwenden Sie bis zum Fix die Berechtigung "Microsoft.Network/locations/*/read", oder verwenden Sie WaitUntil.Started in CreateOrUpdateAsync SDK-API für Zuordnungserstellungen.
Ressourcennamen dürfen nicht länger als 44 Zeichen sein, um den Netzwerksicherheitsperimeter zu unterstützen Die aus dem Azure-Portal erstellte Netzwerksicherheitsressourcenzuordnung weist das Format {resourceName}-{perimeter-guid} auf. Um das Namensfeld an den Anforderungen auszurichten, darf es nicht mehr als 80 Zeichen enthalten, und Ressourcennamen müssen auf 44 Zeichen beschränkt sein.
Der Dienstendpunktdatenverkehr wird nicht unterstützt. Es wird empfohlen, private Endpunkte für IaaS-zu PaaS-Kommunikation zu verwenden. Derzeit kann der Datenverkehr des Dienstendpunkts verweigert werden, auch wenn eine eingehende Regel 0.0.0.0/0 zulässt.

Hinweis

Verweisen Sie auf die jeweilige PaaS-Dokumentation für spezifische Einschränkungen der einzelnen Dienste.

Nächste Schritte