Az Azure Monitor konfigurálása hálózati biztonsági peremhálózattal

Ez a cikk az Azure Monitor-erőforrások hálózati biztonsági szegélyének konfigurálásának folyamatát ismerteti. A hálózati biztonsági szegély egy hálózatelkülönítési funkció, amely biztonságos szegélyt biztosít a virtuális hálózaton kívül üzembe helyezett PaaS-szolgáltatások közötti kommunikációhoz. Ezek a PaaS-szolgáltatások kommunikálhatnak egymással a peremhálózaton belül, és nyilvános bejövő és kimenő hozzáférési szabályokkal kommunikálhatnak a peremhálózaton kívüli erőforrásokkal is.

A Network Security Perimeter lehetővé teszi a hálózati hozzáférés szabályozását a támogatott Azure Monitor-erőforrások hálózatelkülönítési beállításaival. A hálózati biztonsági szegély konfigurálása után a következő műveleteket hajthatja végre:

  • A támogatott Azure Monitor-erőforrások hálózati hozzáférésének szabályozása a hálózati biztonsági szegélyhez definiált bejövő és kimenő hozzáférési szabályok alapján.
  • Naplózza az összes hálózati hozzáférést a támogatott Azure Monitor-erőforrásokhoz.
  • Tiltsa le a hálózati biztonsági szegélyen nem található szolgáltatások adatkiszivárgását.

Jótanács

Az Azure Monitor-erőforrások hálózati biztonsági szegélyre való áttűnésével kapcsolatos útmutatásért tekintse meg az Azure-beli hálózati biztonsági szegélyre való áttérést ismertető témakört.

Régiók

Az Azure Network Security Perimeter minden nyilvános felhőrégióban elérhető, ahol az Azure Monitor támogatott.

Jelenlegi korlátozások

  • A Tárfiókokkal/eseményközpontokkal rendelkező Log Analytics-exportálási forgatókönyvek esetében mind a Log Analytics-munkaterületnek, mind a tárfióknak/eseményközpontnak ugyanahhoz a szegélyhez kell tartoznia.
  • Csak a hálózati biztonsági szegélyeket támogató Azure-erőforrások használhatnak diagnosztikai beállításokat egy hálózati biztonsági szegély célhelyével. A figyelt erőforrásnak ugyanabban a hálózati biztonsági szegélyben kell lennie, mint a célhelynek.
  • A globális műveleti csoportok erőforrásai nem támogatják a hálózati biztonsági szegélyeket. Létre kell hoznia regionális műveleti csoportok erőforrásait, amelyek támogatják a hálózati biztonsági szegélyeket.
  • Az erőforrás-alapú lekérdezések le vannak tiltva a hálózati biztonsági szegélyhez társított Log Analytics-munkaterületek esetében. Ez magában foglalja a munkaterület ADX-fürtön keresztüli elérését is.
  • A hálózati biztonsági szegélyek hozzáférési naplóinak mintavétele 30 percenként történik.
  • A Log Analytics-munkaterület replikációja nem támogatott.
  • Az Azure Event Hubs eseményeinek betöltése nem támogatott.
  • Az Azure Monitor-munkaterületeken lévő adatok gyűjtése és lekérdezése nem támogatott.

Megjegyzés:

Ezek a korlátozások a Sentinel-kompatibilis Log Analytics-munkaterületekre is érvényesek.

Támogatott összetevők

A hálózati biztonsági szegélyekkel támogatott Azure Monitor összetevőit az alábbi táblázat sorolja fel a minimális API-verzióval. A hálózati biztonsági szegélyekkel támogatott többi Azure-szolgáltatás listáját a beépített privát kapcsolati erőforrásokban találja.

Erőforrás Erőforrás típusa API-verzió
Adatgyűjtési végpont (DCE) Microsoft.Insights/gyűjtési végpontok 2023-03-11
Log Analytics-munkaterület Microsoft.OperationalInsights/workspaces 2023-09-01
Napló lekérdezési riasztások Microsoft.Insights/ScheduledQueryRules 2022-08-01-előzetes
Műveletcsoportok 12 Microsoft.Insights/actionGroups 2023-05-01
Diagnosztikai beállítások Microsoft.Insights/diagnosticSettings 2021-05-01-preview

1 A hálózati biztonsági szegélyek csak regionális műveleti csoportokkal működnek. A globális műveletcsoportok alapértelmezés szerint nyilvános hálózati hozzáféréssel érhetők el.

2 Az Event Hub jelenleg az egyetlen támogatott művelettípus a hálózati biztonsági szegélyekhez. Minden más művelet alapértelmezés szerint nyilvános hálózati hozzáféréssel rendelkezik.

Nem támogatott összetevők

Az Azure Monitor alábbi összetevői nem támogatottak hálózati biztonsági szegélyekkel:

  • Application Insights Profiler a .NET-hez és a Snapshot Debuggerhez
  • Log Analytics ügyfél által felügyelt kulcs
  • Kereszt-erőforrás lekérdezések, amelyek tartalmazzák a hálózati biztonsági peremhez kapcsolódó Log Analytics-munkaterületeket.
  • Azure Monitor-munkaterület (felügyelt Prometheus-metrikákhoz)

Megjegyzés:

Az Application Insights esetében konfigurálja az Application Insights-erőforráshoz használt Log Analytics-munkaterület hálózati biztonsági szegélyét.

Hálózati biztonsági szegély létrehozása

Hozzon létre egy hálózati biztonsági szegélyt az Azure Portal, az Azure CLI vagy a PowerShell használatával.

Log Analytics-munkaterület hozzáadása hálózati biztonsági szegélyhez

  1. Az Azure Portal Hálózati biztonsági szegély menüjében válassza ki a hálózati biztonsági szegélyt.

  2. Válassza az Erőforrások lehetőséget, majd

    Képernyőkép egy erőforrás és egy hálózati biztonsági szegélyprofil társításáról az Azure Portalon.

  3. Válassza ki a Log Analytics-munkaterület erőforrásához társítani kívánt profilt.

  4. Válassza a Társítás lehetőséget, aztán válassza ki a Log Analytics-munkaterületet.

  5. Válassza a Társítás lehetőséget a képernyő bal alsó részén a hálózati biztonsági szegélyhez való társítás létrehozásához.

    Képernyőkép egy munkaterület és egy hálózati biztonsági szegélyprofil társításáról az Azure Portalon.

Fontos

Amikor Log Analytics-munkaterületet ad át erőforráscsoportok vagy előfizetések között, csatolja a hálózati biztonsági szegélyhez a biztonsági szabályzatok megőrzése érdekében. Ha a munkaterület törölve van, távolítsa el a társításokat a hálózati biztonsági szegélyről is.

Hozzáférési szabályok a Log Analytics-munkaterülethez

A hálózati biztonsági szegélyprofil olyan szabályokat határoz meg, amelyek engedélyezik vagy letiltják a szegélyen keresztüli hozzáférést. A peremhálózaton belül minden erőforrás kölcsönös hozzáféréssel rendelkezik a hálózati szinten, de továbbra is hitelesítés és engedélyezés tárgyát képezi. A hálózati biztonsági szegélyen kívüli erőforrások esetében meg kell adnia a bejövő és kimenő hozzáférési szabályokat. A bejövő szabályok határozzák meg, hogy mely kapcsolódások engedélyezettek, a kimenő szabályok pedig, hogy mely kérések távozhatnak.

Megjegyzés:

A hálózati biztonsági szegélyhez társított szolgáltatások implicit módon engedélyezik a bejövő és kimenő hozzáférést az ugyanazon hálózati biztonsági szegélyhez társított bármely más szolgáltatáshoz, ha a hozzáférés felügyelt identitások és szerepkör-hozzárendelések használatával hitelesítve van. Hozzáférési szabályokat csak akkor kell létrehozni, ha engedélyezi a hálózati biztonsági szegélyen kívüli hozzáférést, vagy api-kulcsokkal hitelesített hozzáférést.

Hálózati biztonsági határ bejövő hozzáférési szabályának hozzáadása

A hálózati biztonsági szegély bejövő hozzáférési szabályai lehetővé teszik, hogy az internet és a peremhálózaton kívüli erőforrások a peremhálózaton belüli erőforrásokhoz csatlakozzanak.

A hálózati biztonsági szegélyek kétféle bejövő hozzáférési szabályt támogatnak:

  • IP-címtartományok. Az IP-címeknek vagy -tartományoknak osztály nélküli tartományközi útválasztási (CIDR) formátumban kell lenniük. A CIDR jelölésére példa a 8.8.8.0/24, amely a 8.8.8.0 és 8.8.8.255 közötti IP-címeket jelöli. Ez a szabálytípus engedélyezi a tartomány bármely IP-címéről érkező bejövő forgalmat.
  • Előfizetések. Ez a szabálytípus lehetővé teszi a bejövő hozzáférést az előfizetésből származó bármely felügyelt identitással hitelesítve.

A következő eljárással adjon hozzá egy hálózati biztonsági szegély bejövő hozzáférési szabályt az Azure Portal használatával:

  1. Keresse meg a hálózati biztonsági szegélyerőforrást az Azure Portalon.

  2. Válassza ki a Profilok lehetőséget, majd a használt profilt a hálózati biztonsági szegélyrel.

    Képernyőkép az Azure Portal hálózati biztonsági szegélyprofiljairól.

  3. Válassza ki a bejövő hozzáférési szabályokat.

    Képernyőkép a hálózati biztonsági szegélyprofil bejövő hozzáférési szabályairól az Azure Portalon.

  4. Kattintson a Bejövő hozzáférési szabály hozzáadása vagy hozzáadása elemre. Adja meg vagy válassza ki a következő értékeket:

    Beállítás Érték
    Szabály neve A bejövő hozzáférési szabály neve. Például MyInboundAccessRule.
    Forrás típusa Az érvényes értékek lehetnek IP-címtartományok vagy előfizetések.
    Engedélyezett források Ha az IP-címtartományokat választotta, adja meg az IP-címtartományt CIDR formátumban, amelyről engedélyezni szeretné a bejövő hozzáférést. Az Azure IP-tartományok elérhetők az Azure IP-tartományokban és a szolgáltatáscímkékben – nyilvános felhőben. Ha az Előfizetések lehetőséget választotta, használja azt az előfizetést, amelyből engedélyezni szeretné a bejövő hozzáférést.

  5. Kattintson a Hozzáadás gombra a bejövő hozzáférési szabály létrehozásához.

    Képernyőkép a hálózati biztonsági szegélyprofil új bejövő hozzáférési szabályáról az Azure Portalon.

Hálózati biztonsági szegély kimenő hozzáférési szabály hozzáadása

A Log Analytics-munkaterület adatexportálása lehetővé teszi, hogy folyamatosan exportálja az adatokat a munkaterület adott tábláihoz. Exportálhat az Azure Storage-ba vagy az Azure Event Hubsba, amikor az adatok egy Azure Monitor-folyamatba érkeznek.

A biztonsági peremhálózaton belüli Log Analytics-munkaterületek csak ugyanabban a szegélyterületen lévő tárfiókokba és eseményközpontokba exportálhatók. A többi célhelyhez a cél teljes tartományneve (FQDN) alapján kimenő hozzáférési szabály szükséges.

A következő eljárással adjon hozzá egy hálózati biztonsági szegély kimenő hozzáférési szabályt az Azure Portal használatával:

  1. Keresse meg a hálózati biztonsági szegélyerőforrást az Azure Portalon.

  2. Válassza ki a Profilok lehetőséget, majd a használt profilt a hálózati biztonsági szegélyrel.

    Képernyőkép az Azure Portal hálózati biztonsági szegélyprofiljairól.

  3. Válassza ki a kimenő hozzáférési szabályokat.

  4. Kattintson a Hozzáadás vagy Kimenő hozzáférési szabály hozzáadása elemre. Adja meg vagy válassza ki a következő értékeket:

    Beállítás Érték
    Szabály neve A kimenő hozzáférési szabály neve. Például MyOutboundAccessRule.
    Cél típusa Hagyja meg teljes tartománynévként.
    Engedélyezett célhelyek Adja meg azon teljes tartománynevek vesszővel tagolt listáját, amelyekhez engedélyezni szeretné a kimenő hozzáférést.

  5. Válassza a Hozzáadás lehetőséget a kimenő hozzáférési szabály létrehozásához.

    Képernyőkép a hálózati biztonsági szegélyprofil új kimenő hozzáférési szabályáról az Azure Portalon.

Hozzáférési naplók gyűjtése

Az erőforrásnaplók betekintést nyújtanak a hálózati biztonsági szegélyek működésébe, és segítenek a problémák diagnosztizálásában. A hálózati biztonsági szegély erőforrásnaplóiban részletes információkat talál a hálózati biztonsági szegély erőforrásnaplóinak gyűjtésére szolgáló diagnosztikai beállítás létrehozásáról.

Következő lépések

  • Last updated on