Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A hálózati biztonsági szegély lehetővé teszi a szervezetek számára, hogy logikai hálózatelkülönítési határt határozzanak meg a virtuális hálózatokon kívül üzembe helyezett PaaS-erőforrásokhoz (például az Azure Blob Storage-hoz és az SQL Database-hez). A funkció korlátozza a nyilvános hálózati hozzáférést a paaS-erőforrásokhoz a peremhálózaton kívül. A nyilvános bejövő és kimenő forgalomra vonatkozó explicit hozzáférési szabályokkal azonban mentesítheti a hozzáférést. Ez segít megelőzni a felesleges adatkiszivárgást a tárolási erőforrásokból. A hálózati biztonsági peremhálózaton belül a tagerőforrások szabadon kommunikálhatnak egymással. A hálózati biztonsági szegélyszabályok felülbírálják a tárfiók saját tűzfalbeállítását. A peremhálózaton belüli hozzáférés elsőbbséget élvez más hálózati korlátozásokkal szemben.
Itt találja a hálózati biztonsági peremhez csatlakoztatott szolgáltatások listáját. Ha egy szolgáltatás nem szerepel a listában, akkor még nincs integrálva. Ha engedélyezni szeretné egy adott erőforrás elérését egy nem előkészített szolgáltatásból, létrehozhat egy előfizetés-alapú szabályt a hálózati biztonsági szegélyhez. Az előfizetés-alapú szabály hozzáférést biztosít az előfizetésen belüli összes erőforráshoz. Az előfizetésalapú hozzáférési szabály hozzáadásának részleteiért tekintse meg ezt a dokumentációt.
Hozzáférési módok
A tárfiókok hálózati biztonsági peremterülethez történő csatlakozás során átmeneti módban (korábbi nevén Tanulási módban) vagy közvetlenül a Kényszerített módba léphet. Az áttűnési mód (az alapértelmezett) lehetővé teszi, hogy a tárfiók visszaessen a meglévő tűzfalszabályokra vagy a "megbízható szolgáltatások" beállításaira, ha egy szegélyszabály még nem engedélyezi a kapcsolatot. A kényszerített mód szigorúan blokkolja az összes nyilvános bejövő és kimenő forgalmat, kivéve, ha egy hálózati biztonsági szegélyszabály kifejezetten engedélyezi, így biztosítva a tárfiók maximális védelmét. Kényszerített módban még az Azure "megbízható szolgáltatása" kivételeit sem tartják be. Ha szükséges, a vonatkozó Azure-erőforrásokat vagy adott előfizetéseket explicit módon engedélyezni kell a peremhálózati szabályokon keresztül.
Important
Az átmeneti (korábbi nevén Learning) módban működő tárfiókok csak átmeneti lépésként szolgálhatnak. A rosszindulatú szereplők kihasználhatják a nem biztonságos erőforrásokat az adatok kiszűréséhez. Ezért rendkívül fontos, hogy a lehető leghamarabb teljes mértékben biztonságos konfigurációra váltson a kényszerített hozzáférési móddal.
Hálózati prioritás
Ha egy tárfiók egy hálózati biztonsági határvonal része, a megfelelő profil hozzáférési szabályai felülírják a fiók saját tűzfalbeállításait, így a legfelső szintű hálózati kapuőr lesz. A szegély által engedélyezett vagy megtagadott hozzáférés elsőbbséget élvez, és a fiók "Engedélyezett hálózatok" beállításai megkerülődnek, ha a tárfiók kényszerített módban van társítva. Ha eltávolítja a tárfiókot egy hálózati biztonsági szegélyről, visszaállítja a vezérlést a normál tűzfalra. A hálózati biztonsági szegélyek nem befolyásolják a privát végpont forgalmát. A privát kapcsolaton keresztüli kapcsolatok mindig sikeresek. Belső Azure-szolgáltatások ("megbízható szolgáltatások") esetében csak a hálózati biztonsági szegélyre kifejezetten előkészített szolgáltatások engedélyezhetők szegélyelérési szabályokkal. Ellenkező esetben a forgalom alapértelmezés szerint le van tiltva, még akkor is, ha a tárfiók tűzfalszabályai megbízhatók. A még nem beillesztett szolgáltatások esetében az alternatív megoldások közé tartoznak a bejövő hozzáférésre vonatkozó előfizetés szintű szabályok, míg a kimenő hozzáféréshez a maradéktalanul minősített tartománynevek (FQDN) vagy privát hivatkozások szerepelnek.
Important
A privát végpont forgalmát rendkívül biztonságosnak tekintik, ezért nem vonatkoznak a hálózati biztonsági szegélyszabályokra. Minden más forgalomra, beleértve a megbízható szolgáltatásokat is, a hálózati biztonsági szegélyszabályok vonatkoznak, ha a tárfiók szegélyhálózathoz van társítva.
Funkciólefedettség a hálózati biztonsági szegély alatt
Ha egy tárfiók hálózati biztonsági szegélyhez van társítva, a blobok, fájlok, táblák és üzenetsorok szabványos adatsík-műveletei támogatottak, kivéve, ha az ismert korlátozások meg vannak adva. Az Azure Blob Storage, az Azure Data Lake Storage Gen2, az Azure Files, az Azure Table Storage és az Azure Queue Storage https-alapú műveletei a hálózati biztonsági szegély használatával korlátozhatók.
Limitations
| Feature | Támogatási állapot | Recommendations |
|---|---|---|
| Objektumreplikálás az Azure Blob Storage-hoz | Nem támogatott. A tárfiókok közötti objektumreplikálás meghiúsul, ha a forrás- vagy célfiók hálózati biztonsági szegélyhez van társítva | Ne konfigurálja a hálózati biztonsági szegélyt az objektumreplikálást igénylő tárfiókokon. Hasonlóképpen, ne engedélyezze az objektumreplikálást a hálózati biztonsági szegélyhez társított fiókokon, amíg a támogatás nem érhető el. Ha az objektumreplikálás már engedélyezve van, nem társíthat hálózati biztonsági szegélyt. Hasonlóképpen, ha egy hálózati biztonsági szegély már van társítva, nem engedélyezheti az objektumreplikálást. Ez a korlátozás megakadályozza a nem támogatott forgatókönyvek konfigurálását. |
| Hálózati fájlrendszerbeli (NFS-) hozzáférés azure-blobokon és Azure Fileson keresztül, kiszolgálói üzenetblokk (SMB) hozzáférés az Azure Fileson és SSH-fájlátviteli protokoll (SFTP) az Azure Blobokon keresztül | A HTTPS-alapú hozzáférésen kívül minden protokoll le lesz tiltva, ha a tárfiók hálózati biztonsági szegélyhez van társítva | Ha ezen protokollok bármelyikét használnia kell a tárfiók eléréséhez, ne társítsa a fiókot hálózati biztonsági szegélyhez |
| Azure Backup | Nem támogatott. Az Azure Backup mint szolgáltatás még nincs bekapcsolva a hálózati biztonsági szegélybe. | Javasoljuk, hogy ne társítsa a fiókokat a hálózati biztonsági szegélyhez, ha engedélyezve van a biztonsági mentés, vagy ha az Azure Backupot szeretné használni. Miután az Azure Backup megkezdte a hálózati biztonsági szegélyek használatát, mindkét funkciót együtt használhatja |
| nem felügyelt lemezek | A nem felügyelt lemezek nem tartják be a hálózati biztonsági szegélyszabályokat. | Ne használjon nem felügyelt lemezeket a hálózati biztonsági szegély által védett tárfiókokon |
| Statikus webhely | Nem támogatott | A statikus webhely, amely a természetben nyitva van, nem használható a hálózati biztonsági peremhálózattal. Ha a statikus webhely már engedélyezve van, nem társíthat hálózati biztonsági szegélyt. Hasonlóképpen, ha a hálózati biztonsági szegély már van társítva, nem engedélyezheti a statikus webhelyet. Ez a korlátozás megakadályozza a nem támogatott forgatókönyvek konfigurálását. |
Warning
A hálózati biztonsági szegélyhez társított tárfiókok esetében, hogy az ügyfél által felügyelt kulcsok (CMK) forgatókönyvei működjenek, győződjön meg arról, hogy az Azure Key Vault elérhető a tárfiókhoz társított peremhálózatról.
Hálózati biztonsági szegély társítása tárfiókhoz
Ha hálózati biztonsági szegélyt szeretne társítani egy tárfiókkal, kövesse az összes PaaS-erőforrásra vonatkozó gyakori utasításokat .
Következő lépések
- További információ az Azure hálózati szolgáltatásvégpontjairól.
- Részletesebben megismeri az Azure Blob Storage biztonsági ajánlásait.
- Diagnosztikai naplók engedélyezése a hálózati biztonsági szegélyhez.