Habilitación de la seguridad de red para conectores de blobs de Azure Storage

En este artículo se proporcionan instrucciones paso a paso sobre cómo habilitar la seguridad de red en los recursos de almacenamiento integrados con el conector de Azure Storage. El perímetro de seguridad de red de Azure (NSP) es una característica nativa de Azure que crea un límite de aislamiento lógico para los recursos de PaaS. Al asociar recursos como cuentas de almacenamiento o bases de datos con un NSP, puede administrar de forma centralizada el acceso a la red mediante un conjunto de reglas simplificado. Para más información, consulte Conceptos del perímetro de seguridad de red.

Prerrequisitos

Antes de habilitar la seguridad de la red, cree los recursos del conector. Consulte Configuración del conector de Azure Storage para transmitir registros a Microsoft Sentinel, incluido el tema del sistema de Event Grid que se usa para transmitir eventos de creación de blobs a la cola de Azure Storage.

Para completar esta configuración, asegúrese de que tiene los permisos siguientes:

• Propietario de la suscripción o colaborador para crear recursos perimetrales de seguridad de red.
• Colaborador de la cuenta de almacenamiento para asociar la cuenta de almacenamiento con el NSP.
• Administrador de acceso de usuario o propietario de la cuenta de almacenamiento para asignar roles de RBAC a la identidad administrada de Event Grid.
• Colaborador de Event Grid para habilitar la identidad administrada y administrar suscripciones de eventos.

Habilitación de la seguridad de red

Para habilitar la seguridad de red en los recursos de almacenamiento integrados con el conector de Azure Storage, cree un perímetro de seguridad de red (NSP), asocie la cuenta de almacenamiento a ella y configure las reglas para permitir el tráfico desde Event Grid y otros orígenes necesarios al bloquear el acceso no autorizado. Siga estos pasos para completar la configuración.

Crear un perímetro de seguridad de red

1. En Azure Portal, busque Perímetros de seguridad de red.

2. Selecciona Crear.

3. Seleccione una suscripción y un grupo de recursos.

4. Escriba Nombre, por ejemplo. storageblob-connectors-nsp

5. Seleccione una región. La región debe ser la misma región que la cuenta de almacenamiento.

6. Escriba un nombre de perfil o acepte el valor predeterminado. El perfil define el conjunto de reglas que se aplican a los recursos asociados. Puede tener varios perfiles dentro de un único NSP para aplicar reglas diferentes a distintos recursos si es necesario.

7. Seleccione Revisar y crear y, a continuación, Crear.

   

Asociación de la cuenta de almacenamiento con el perímetro de seguridad de red

1. Abra el recurso perimetral de seguridad de red recién creado en Azure Portal.

2. Seleccione Perfiles y, a continuación, seleccione el nombre de perfil que usó al crear el recurso de NSP.

3. Seleccione Recursos asociados.

4. Selecciona Agregar.

5. Busque y agregue la cuenta de almacenamiento y seleccione Seleccionar.

6. Seleccione Asociar.

El modo de acceso se establece en Transición de forma predeterminada, lo que le permite validar la configuración antes de aplicar restricciones.

Habilitar System-Assigned Identity en el tema del sistema de Event Grid.

1. En la cuenta de almacenamiento, vaya a la pestaña Eventos .

2. Seleccione el Tema del Sistema utilizado para transmitir eventos de creación de blobs a la cola de almacenamiento.

   

3. Seleccione Identidad.

4. En la pestaña Asignado por el sistema, establezca el Estado en Activado.

5. Seleccione Guardar y, a continuación, copie el identificador de objeto de la identidad administrada para su uso posterior.

   

Conceder permisos de RBAC en la cola de almacenamiento

1. Vaya a la cuenta de almacenamiento.

2. Seleccione Access Control (IAM).

3. Selecciona Agregar.

4. Busque y seleccione el rol Remitente de mensajes de datos de cola de almacenamiento (ámbito: la cuenta de almacenamiento).

5. Seleccione la pestaña Miembros y, a continuación, Seleccione miembros.

6. En el panel Seleccionar miembros , pegue el identificador de objeto para la identidad administrada del tema del sistema de Event Grid creada en el paso anterior.

7. Seleccione la identidad administrada y, a continuación, seleccione Seleccionar.

8. Seleccione Revisar y asignar para completar la asignación de roles.

Habilitación de la identidad administrada en la suscripción de eventos

1. Abra el tema del sistema de Event Grid.

2. Seleccione la suscripción de eventos que tiene como destino la cola.

3. Seleccione la pestaña Configuración adicional.

4. Establezca Tipo de identidad administradaen Asignado por el sistema.

5. Haga clic en Guardar.

6. Revise las métricas de suscripción de Event Grid para validar que los mensajes se publican correctamente en la cola de almacenamiento después de esta actualización.

Configuración de reglas de acceso de entrada en el perfil perimetral de seguridad de red

Las reglas siguientes son necesarias para permitir que Event Grid entregue mensajes a la cuenta de almacenamiento al bloquear el acceso no autorizado. Según el sistema que envíe datos a la cuenta de almacenamiento o acceda a los recursos de almacenamiento, es posible que tenga que agregar reglas de entrada adicionales. Revise el escenario y los patrones de tráfico para aplicar de forma segura las reglas necesarias y permitir el tiempo de propagación de reglas.

Regla 1: Permitir la suscripción (Entrega de Event Grid)

La entrega de Event Grid no se origina en direcciones IP públicas fijas. El NSP valida la entrega mediante la identidad de suscripción.

1. Vaya a Perímetro de seguridad de red y seleccione el NSP.

2. Seleccione Perfiles y, a continuación, seleccione el perfil asociado a la cuenta de almacenamiento.

3. Seleccione Reglas de acceso de entrada y, a continuación, seleccione Agregar.

   

4. Escriba un nombre de regla, por ejemplo Allow-Subscription.

5. Seleccione Suscripción en la lista desplegable Tipo de origen .

6. Seleccione la suscripción en la lista desplegable Orígenes permitidos .

7. Para crear la regla, seleccione Agregar.

   

Nota:

Las reglas pueden tardar unos minutos en aparecer en la lista después de la creación.

Regla 2: Permitir intervalos de IP del servicio Scuba

1. Cree una segunda regla de acceso de entrada.

2. Escriba un nombre de regla, por ejemplo Allow-Scuba.

3. Seleccione Intervalos de direcciones IP en la lista desplegable Tipo de origen .

4. Abra la página de descarga de etiquetas de servicio .

5. Seleccione la nube, por ejemplo , Público de Azure.

6. Seleccione el botón Descargar y abra el archivo descargado para obtener la lista de intervalos IP.

7. Busque la etiqueta de Scuba servicio y copie los intervalos IPv4 asociados.

8. Pegue los intervalos IPv4 en el campo Orígenes permitidos después de quitar las comillas y comas finales.

9. Para crear la regla, seleccione Agregar.

   Importante

   Quite las comillas de los intervalos IP y asegúrese de que no haya ninguna coma final en la última entrada antes de pegarlas en el campo Orígenes permitidos . Los intervalos de etiquetas de servicio se actualizan con el tiempo; actualice periódicamente para mantener las reglas actualizadas.

   

Validar y aplicar

Después de configurar las reglas, supervise los registros de diagnóstico del perímetro de seguridad de red para validar que se permite el tráfico legítimo y no hay interrupciones. Una vez que haya confirmado que las reglas permiten correctamente el tráfico necesario, puede cambiar del modo transición al modo aplicado para bloquear el acceso no autorizado.

Modo de transición

Habilite los registros de diagnóstico perimetral de seguridad de red y revise la telemetría recopilada para validar los patrones de comunicación antes de la aplicación. Para obtener más información, consulte Registros de diagnóstico para el perímetro de seguridad de red.

Aplicar el modo de cumplimiento

Una vez que la validación se realiza correctamente, establezca el modo de acceso en Aplicado como se indica a continuación:

1. En la página Perímetro de seguridad de red, en Configuración, seleccione Recursos asociados.

2. Seleccione la cuenta de almacenamiento.

3. Seleccione Cambiar modo de acceso.

4. Seleccione Aplicar y, a continuación, Guardar.

   

Validación posterior a la aplicación

Después de la aplicación, supervise estrechamente el entorno para detectar cualquier tráfico bloqueado que pueda indicar configuraciones incorrectas. Validar que la configuración de Event Grid no se vea afectada revisando las métricas de suscripción del tema del sistema de Event Grid.

Use los registros de diagnóstico para investigar y resolver los problemas que surjan. Revise las métricas de la cuenta de almacenamiento (ingreso y errores de cola) y Event Grid (éxito de entrega) para detectar errores. Revierte al modo de transición si experimenta alguna interrupción y repite la investigación mediante los registros de diagnóstico.

Establecer protegido por perímetro en la cuenta de almacenamiento (opcional)

Establecer la cuenta de almacenamiento en Secured by Perimeter garantiza que todo el tráfico a la cuenta de almacenamiento se evalúe con respecto a las reglas del perímetro de seguridad de red y bloquee el acceso a la red pública.

1. Vaya a la cuenta de almacenamiento.

2. En Seguridad y redes en , seleccione Redes.

3. En Acceso a la red pública, seleccione Administrar.

4. Establezca Secured by Perimeter (Most restricted) (Protegido por perímetro [más restringido]).

5. Haga clic en Guardar.

Pasos siguientes

En este artículo, ha aprendido a habilitar la seguridad de red en los recursos de almacenamiento integrados con el conector de Azure Storage. Para obtener más información, consulte los artículos perímetro de seguridad de red .

• Revise las reglas de conexión de datos en data-connection-rules-reference-azure-storage.md.
• Solucionar problemas de conectividad del conector en azure-storage-blob-connector-troubleshoot.md.