Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Der Netzwerksicherheitsperimeter ermöglicht Organisationen das Definieren einer logischen Netzwerkisolationsgrenze für PaaS-Ressourcen (z. B. Azure Storage-Konto und SQL-Datenbank-Server), die außerhalb der virtuellen Netzwerke Ihrer Organisation bereitgestellt werden. Er schränkt den Zugriff über öffentliche Netzwerke auf PaaS-Ressourcen innerhalb des Perimeters ein. Der Zugriff kann mit expliziten Zugriffsregeln für öffentliche eingehende und ausgehende Daten ausgenommen werden.
Informationen zu Zugriffsmustern, die Datenverkehr von virtuellen Netzwerken zu PaaS-Ressourcen umfassen, finden Sie unter Was ist Azure Private Link?.
Zu den Features eines Netzwerksicherheitsperimeters gehören:
- Die Zugriffskommunikation von Ressource zu Ressource innerhalb von Perimetermitgliedern verhindert die Datenexfiltration an nicht autorisierte Ziele.
- Die Verwaltung des externen öffentlichen Zugriffs mit expliziten Regeln für PaaS-Ressourcen, die dem Perimeter zugeordnet sind.
- Zugreifen auf Protokolle für Überwachung und Compliance.
- Einheitliche Benutzeroberfläche über PaaS-Ressourcen hinweg.
Wichtig
Der Netzwerksicherheitsperimeter befindet sich in der öffentlichen Vorschauversion und ist in allen Regionen der öffentlichen Azure-Cloud verfügbar. Diese Vorschauversion wird ohne Vereinbarung zum Servicelevel bereitgestellt und ist nicht für Produktionsworkloads vorgesehen. Manche Features werden möglicherweise nicht unterstützt oder sind nur eingeschränkt verwendbar. Weitere Informationen finden Sie unter Zusätzliche Nutzungsbestimmungen für Microsoft Azure-Vorschauen.
Komponenten eines Netzwerksicherheitsperimeters
Ein Netzwerksicherheitsperimeter umfasst die folgenden Komponenten:
| Komponente | Beschreibung |
|---|---|
| Netzwerksicherheitsperimeter | Ressource auf oberster Ebene, die logische Netzwerkgrenze definiert, um PaaS-Ressourcen zu sichern. |
| Profil | Sammlung von Zugriffsregeln, die für dem Profil zugeordnete Ressourcen gelten. |
| Zugriffsregel | Eingehende und ausgehende Regeln für Ressourcen in einem Perimeter, um den Zugriff außerhalb des Perimeters zu ermöglichen. |
| Ressourcenzuordnung | Perimetermitgliedschaft für eine PaaS-Ressource. |
| Diagnoseeinstellungen | Erweiterungsressource, die von Microsoft Insights gehostet wird, um Protokolle und Metriken für alle Ressourcen im Perimeter zu sammeln. |
Hinweis
Fügen Sie für die Organisations- und Informationssicherheit keine persönlich identifizierbaren oder vertraulichen Daten in die Regeln des Netzwerksicherheitsperimeters oder andere Konfigurationen des Netzwerksicherheitsperimeters ein.
Eigenschaften von Netzwerksicherheitsperimetern
Beim Erstellen eines Netzwerksicherheitsperimeters können Sie die folgenden Eigenschaften angeben:
| Eigenschaft | Beschreibung |
|---|---|
| Name | Ein eindeutiger Name innerhalb der Ressourcengruppe. |
| Ort | Eine unterstützte Azure-Region, in der sich die Ressource befindet. |
| Ressourcengruppenname | Name der Ressourcengruppe, in welcher der Netzwerksicherheitsperimeter vorhanden sein soll. |
Zugriffsmodi im Netzwerksicherheitsperimeter
Administratoren fügen PaaS-Ressourcen zu einem Perimeter hinzu, indem sie Ressourcenzuordnungen erstellen. Diese Zuordnungen können in zwei Zugriffsmodi erfolgen. Die Zugriffsmodi sind:
| Modus | Beschreibung |
|---|---|
| Übergangsmodus (ehemals Lernmodus) | - Standardzugriffsmodus. – Hilft Netzwerkadministratoren, die vorhandenen Zugriffsmuster ihrer PaaS-Ressourcen zu verstehen. – Empfohlener Verwendungsmodus vor dem Übergang zum erzwungenen Modus. |
| Erzwungener Modus | - Muss vom Administrator festgelegt werden. – Standardmäßig wird der gesamte Datenverkehr mit Ausnahme des Intraperimeterdatenverkehrs in diesem Modus verweigert, es sei denn, es ist eine Zulassungszugriffsregel vorhanden. |
Weitere Informationen zum Übergang vom Übergangsmodus (ehemals Lernmodus) zum erzwungenen Modus finden Sie im Artikel Übergang zu einem Netzwerksicherheitsperimeter.
Warum sollte man Netzwerksicherheitsperimeter verwenden?
Der Netzwerksicherheitsperimeter stellt einen sicheren Perimeter für die Kommunikation von PaaS-Diensten bereit, die außerhalb des virtuellen Netzwerks bereitgestellt werden. Dadurch können Sie den Netzwerkzugriff auf Azure PaaS-Ressourcen steuern. Zu den häufigsten Anwendungsfällen gehören:
- Erstellen einer sicheren Grenze um PaaS-Ressourcen.
- Verhindern der Datenexfiltration, indem Sie PaaS-Ressourcen dem Perimeter zuordnen.
- Aktivieren der Zugriffsregeln, um Zugriff außerhalb des sicheren Perimeters zu gewähren.
- Verwalten Sie Zugriffsregeln für alle PaaS-Ressourcen innerhalb des Netzwerksicherheitsperimeters in einem einzigen Glasbereich.
- Aktivieren Sie Diagnoseeinstellungen, um Zugriffsprotokolle von PaaS-Ressourcen innerhalb des Perimeters für Überwachung und Compliance zu generieren.
- Privaten Endpunktdatenverkehr zulassen, ohne dass explizite Zugriffsregeln erforderlich sind.
Wie funktioniert ein Netzwerksicherheitsperimeter?
Wenn ein Netzwerksicherheitsperimeter erstellt wird und die PaaS-Ressourcen dem Perimeter im erzwungenen Modus zugeordnet sind, wird standardmäßig der gesamte öffentliche Datenverkehr verweigert, wodurch Datenexfiltration außerhalb des Perimeters verhindert wird.
Zugriffsregeln können verwendet werden, um öffentlichen eingehenden und ausgehenden Datenverkehr außerhalb des Perimeters zu genehmigen. Der öffentliche eingehende Zugriff kann mithilfe von Netzwerk- und Identitätsattributen des Clients genehmigt werden, z. B. Quell-IP-Adressen, Abonnements. Der öffentliche ausgehende Zugriff kann mithilfe von FQDNs (vollqualifizierte Domänennamen) der externen Ziele genehmigt werden.
Wenn Sie beispielsweise einen Netzwerksicherheitsperimeter erstellen und dem Perimeter eine Reihe von PaaS-Ressourcen wie Azure Key Vault und SQL DB im erzwungenen Modus zuordnen, wird diesen PaaS-Ressourcen standardmäßig der gesamte eingehende und ausgehende öffentliche Datenverkehr verweigert. Um den Zugriff außerhalb des Perimeters zuzulassen, können erforderliche Zugriffsregeln erstellt werden. Innerhalb desselben Perimeters können Profile erstellt werden, um PaaS-Ressourcen mit ähnlichen Anforderungen für eingehenden und ausgehenden Zugriff zu gruppieren.
Onboarded Private Link-Ressourcen
Eine Private Link-Ressource für Netzwerksicherheitsperimeter ist eine PaaS-Ressource, die einem Netzwerksicherheitsperimeter zugeordnet werden kann. Derzeit ist die Liste der integrierten Private Link-Ressourcen wie folgt:
| Name der Private Link-Ressource | Ressourcentyp | Ressourcen |
|---|---|---|
| Azure Monitor. | Microsoft.Insights/dataCollectionEndpoints Microsoft.Insights/ScheduledQueryRules Microsoft.Insights/actionGroups Microsoft.OperationalInsights/workspaces |
Log Analytics Workspace, Application Insights, Alerts, Notification Service |
| Azure KI-Suche | Microsoft.Search/searchServices | - |
| Cosmos DB | Microsoft.DocumentDB/databaseAccounts | - |
| Event Hubs | Microsoft.EventHub/namespaces | - |
| Schlüsseltresor | Microsoft.KeyVault/vaults | - |
| SQL DB | Microsoft.Sql/servers | - |
| Speicher | Microsoft.Storage/storageAccounts | - |
Hinweis
Informationen zu derzeit nicht unterstützten Szenarios finden Sie in der entsprechenden Dokumentation zu Private Link-Ressourcen.
Unterstützte Zugriffsregelntypen
Der Netzwerksicherheitsperimeter unterstützt die folgenden Zugriffsregeltypen:
| Richtung | Zugriffsregeltyp |
|---|---|
| Eingehend | Abonnementbasierte Regeln |
| Eingehend | IP-basierte Regeln (überprüfen Sie die entsprechenden integrierten privaten Linkressourcen für den v6-Support) |
| Ausgehend | FQDN-basierte Regeln |
Einschränkungen eines Netzwerksicherheitsperimeters
Protokollierungseinschränkungen
Der Netzwerksicherheitsperimeter ist derzeit in allen öffentlichen Azure-Cloudregionen verfügbar. Beim Aktivieren von Zugriffsprotokollen für den Netzwerksicherheitsperimeter muss sich der Log Analytics-Arbeitsbereich, der dem Netzwerksicherheitsperimeter zugeordnet werden soll, jedoch in einer der unterstützten Azure Monitor-Regionen befinden.
Hinweis
Verwenden Sie für PaaS-Ressourcenprotokolle Log Analytics Workspace, Storage oder Event Hub als das Protokollziel, das demselben Umkreis zugeordnet ist wie die PaaS-Ressource.
Einschränkungen bei der Skalierung
Durch die Funktionalität „Netzwerksicherheitsperimeter“ können Bereitstellungen von PaaS-Ressourcen mit allgemeinen Steuerelementen öffentlicher Netzwerke unterstützt werden, wobei folgende Skalierungsbegrenzungen bestehen:
| Einschränkung | Beschreibung |
|---|---|
| Anzahl der Netzwerksicherheitsperimeter | Unterstützt bis zu 100 als empfohlenen Grenzwert pro Abonnement. |
| Profile pro Netzwerksicherheitsperimeter | Unterstützt bis zu 200 als empfohlenen Grenzwert. |
| Anzahl der Regelelemente pro Profil | Wird bis zu 200 für eingehende und ausgehende Elemente als harte Grenze unterstützt. |
| Anzahl der PaaS-Ressourcen über Abonnements hinweg, die dem gleichen Netzwerksicherheitsperimeter zugeordnet sind | Unterstützt bis zu 1000 als empfohlenen Grenzwert. |
Weitere Einschränkungen
Der Netzwerksicherheitsperimeter hat folgende weitere Einschränkungen:
| Einschränkung/Probleme | Beschreibung |
|---|---|
| Fehlendes Feld in Netzwerksicherheitsperimeter-Zugriffsprotokollen | Netzwerksicherheitsperimeterzugriffsprotokolle wurden möglicherweise aggregiert. Wenn die Felder "count" und "timeGeneratedEndTime" fehlen, berücksichtigen Sie die Aggregationsanzahl als 1. |
| Zuordnungserstellung über SDK schlägt mit Berechtigungsproblem fehl | Status: 403 (Unzulässig); ErrorCode: AuthorizationFailed, kann empfangen werden, während die Aktion „Microsoft.Network/locations/networkSecurityPerimeterOperationStatuses/read” über den Bereich „/subscriptions/xyz/providers/Microsoft.Network/locations/xyz/networkSecurityPerimeterOperationStatuses/xyz” ausgeführt wird. Verwenden Sie bis zum Fix die Berechtigung "Microsoft.Network/locations/*/read", oder verwenden Sie WaitUntil.Started in CreateOrUpdateAsync SDK-API für Zuordnungserstellungen. |
| Ressourcennamen dürfen nicht länger als 44 Zeichen sein, um den Netzwerksicherheitsperimeter zu unterstützen | Die aus dem Azure-Portal erstellte Netzwerksicherheitsressourcenzuordnung weist das Format {resourceName}-{perimeter-guid} auf. Um das Namensfeld an den Anforderungen auszurichten, darf es nicht mehr als 80 Zeichen enthalten, und Ressourcennamen müssen auf 44 Zeichen beschränkt sein. |
| Der Dienstendpunktdatenverkehr wird nicht unterstützt. | Es wird empfohlen, private Endpunkte für IaaS-zu PaaS-Kommunikation zu verwenden. Derzeit kann der Datenverkehr des Dienstendpunkts verweigert werden, auch wenn eine eingehende Regel 0.0.0.0/0 zulässt. |
Hinweis
Verweisen Sie auf die jeweilige PaaS-Dokumentation für spezifische Einschränkungen der einzelnen Dienste.