Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A KÖVETKEZŐRE VONATKOZIK: 
NoSQL
Ez a cikk bemutatja, hogyan konfigurálhatja a Network Security Perimetert az Azure Cosmos DB-fiókon.
Fontos
A Network Security Perimeter nyilvános előzetes verzióban érhető el. Ez a funkció szolgáltatásszint-szerződés nélkül érhető el. További információ: Kiegészítő használati feltételek a Microsoft Azure előzetes verziójú termékeihez.
A funkciók áttekintése
A hálózati rendszergazdák meghatározhatnak egy hálózatelkülönítési határt a PaaS-szolgáltatásaikhoz, amely lehetővé teszi az Azure Cosmos DB-fiók és a Keyvault, az SQL és más szolgáltatások közötti kommunikációt az Azure Network Security Perimeter használatával. A nyilvános hozzáférés védelme az Azure Service-ben többféleképpen is elvégezhető:
- Bejövő kapcsolatok védelme: Az Azure Cosmos DB-fiók nyilvános kitettségének korlátozása a peremhálózaton belüli erőforrások bejövő hozzáférésének explicit biztosításával. Alapértelmezés szerint a rendszer megtagadja a jogosulatlan hálózatokhoz való hozzáférést, és konfigurálható a privát végpontok hozzáférése a peremhálózatra vagy az előfizetés erőforrásaihoz.
- A szolgáltatások közötti kommunikáció biztonságossá tétele: A szegélyhálózaton belüli összes erőforrás képes kommunikálni a szegélyen belüli bármely más erőforrással, megakadályozva az adatkiszivárgást.
- Kimenő kapcsolatok védelme: Ha a hálózati biztonsági szegély nem kezeli a célbérlelőt, letiltja a hozzáférést, amikor adatokat próbál átmásolni egyik bérlőről a másikra. A hozzáférés FQDN vagy más hálózati peremterületekről való hozzáférés alapján történik; minden más hozzáférési kísérlet elutasításra kerül.
A hálózati biztonsági szegély beállítása után a rendszer automatikusan gondoskodik ezekről a kommunikációkról, és a felhasználóknak nem kell kezelniük őket. Ahelyett, hogy minden erőforráshoz beállítanának egy privát végpontot a kommunikáció engedélyezéséhez vagy a virtuális hálózat konfigurálásához, a legfelső szintű hálózati biztonsági szegély engedélyezi ezt a funkciót.
Feljegyzés
Az Azure Network biztonsági peremhálózata kiegészíti a jelenleg érvényben lévőket, beleértve a privát végpontot is, amely lehetővé teszi egy privát erőforrás elérését a peremhálózaton belül, valamint a virtuális hálózatok injektálásával, amely lehetővé teszi a felügyelt virtuális hálózatok ajánlatainak a szegélyen belüli erőforrások elérését. Jelenleg nem támogatjuk az Azure Network Security Perimeter, az ügyfél által felügyelt kulcsok (CMK) és a naplótár olyan funkcióinak kombinációját, mint az Elemzési tár, az Összes verzió és a Törlés változáscsatorna mód, a Materialized Views és az Időponthoz kötött visszaállítás. Ha egy CMK által támogatott fiókon kell visszaállítást végeznie az Azure Network Security Perimeter használatával, ideiglenesen el kell lazítania a kulcstár pereméter beállításait, hogy a Cosmos DB-fiók hozzáférhessen a kulcshoz.
Első lépések
Fontos
A hálózati biztonsági szegély beállítása előtt hozzon létre egy felügyelt identitást az Azure-ban.
- Az Azure Portalon keresse meg a hálózati biztonsági szegélyeket az erőforráslistában, és válassza a Létrehozás +lehetőséget.
- Az erőforrások listájában válassza ki a szegélyhez társítani kívánt erőforrásokat.
- Adjon hozzá egy bejövő hozzáférési szabályt, a forrástípus lehet IP-cím vagy előfizetés.
- Kimenő hozzáférési szabályokat adhat hozzá, amelyek lehetővé teszik, hogy a peremhálózaton belüli erőforrások csatlakozzanak az internethez és a peremhálózaton kívüli erőforrásokhoz.
Olyan esetekben, amikor már rendelkezik Azure Cosmos DB-fiókkal, és biztonsági szegélyt szeretne hozzáadni:
Válassza a Hálózatkezelés lehetőséget a Beállítások területen
Ezután válassza az NSP társítása lehetőséget, ha ezt az erőforrást a hálózati biztonsági szegélyhez szeretné társítani, hogy lehetővé tegye a kommunikációt az azonos szegélyhálózaton lévő többi Azure-erőforrással, miközben a nyilvános hozzáférést csak a megadott kapcsolatok engedélyezésére korlátozza.
Feljegyzés
Ha a REST API használatával kér kéréseket a fiókjához, győződjön meg arról, hogy az x-ms-date fejléc jelen van, és a megfelelő RFC 1123 dátumformátumban van. A kérések blokkolhatók, ha a fejléc helytelen, ha egy fiók hálózati biztonsági szegélyhez van társítva.
Következő lépések
- A hálózati szolgáltatás szegélyhálózatának áttekintése
- Ismerje meg, hogyan monitorozhat diagnosztikai naplókkal a hálózati biztonsági peremhálózaton