Virtuális hálózati szolgáltatásvégpont-szabályzatok létrehozása az Azure Storage-hez

  • Cikk

A virtuális hálózati szolgáltatásvégpont-szabályzatokkal szűrheti az Azure Storage-fiókokba irányuló kimenő virtuális hálózati forgalmat a szolgáltatásvégponton keresztül, és csak adott Azure Storage-fiókokra engedélyezheti az adatkiszivárgást. A végpontszabályzatok részletes hozzáférés-vezérlést biztosítanak az Azure Storage felé irányuló virtuális hálózati forgalomhoz a szolgáltatásvégponton keresztüli csatlakozáskor.

Diagram of Securing Virtual network outbound traffic to Azure Storage accounts.

Ez a funkció általánosan elérhető az Azure Storage-hoz minden globális Azure-régióban.

Fő előnyök

A virtuális hálózati szolgáltatásvégpont-szabályzatok a következő előnyöket biztosítják:

  • Továbbfejlesztett biztonság az Azure Storage-ba irányuló virtuális hálózati forgalom számára

    A hálózati biztonsági csoportokHoz tartozó Azure-szolgáltatáscímkék lehetővé teszik a virtuális hálózat kimenő forgalmának korlátozását adott Azure Storage-régiókra. Ez a folyamat azonban lehetővé teszi a kiválasztott Azure Storage-régión belüli bármely fiók felé történő forgalmat.

    A végpontszabályzatokkal megadhatja azokat az Azure Storage-fiókokat, amelyek engedélyezik a virtuális hálózati kimenő hozzáférést, és korlátozza az összes többi tárfiókhoz való hozzáférést. Ez a folyamat sokkal részletesebb biztonsági vezérlést biztosít a virtuális hálózatból származó adatok kiszivárgásának védelméhez.

  • Méretezhető, magas rendelkezésre állású szabályzatok az Azure-szolgáltatások adatforgalmának szűréséhez

    A végpontszabályzatok horizontálisan skálázható, magas rendelkezésre állású megoldásokat biztosítanak a virtuális hálózatokból a szolgáltatásvégpontokon keresztül az Azure-szolgáltatásokba érkező forgalom szűrésére. A virtuális hálózatokon belüli forgalom központi hálózati berendezéseinek karbantartásához nincs szükség többletterhelésre.

JSON-objektum szolgáltatásvégpont-szabályzatokhoz

Vessünk egy gyors pillantást a Szolgáltatásvégpont-házirend objektumra.

"serviceEndpointPolicyDefinitions": [
    {
            "description": null,
            "name": "MySEP-Definition",
            "resourceGroup": "MySEPDeployment",
            "service": "Microsoft.Storage",
            "serviceResources": [ 
                    "/subscriptions/subscriptionID/resourceGroups/MySEPDeployment/providers/Microsoft.Storage/storageAccounts/mystgacc"
            ],
            "type": "Microsoft.Network/serviceEndpointPolicies/serviceEndpointPolicyDefinitions"
    }
]

Konfiguráció

  • A végpontszabályzatokat úgy konfigurálhatja, hogy a virtuális hálózati forgalmat meghatározott Azure Storage-fiókokra korlátozza.

  • A végpontszabályzatot a virtuális hálózat egy alhálózatán kell konfigurálni. Az Azure Storage szolgáltatásvégpontjait engedélyezni kell az alhálózaton a szabályzat alkalmazásához.

  • A végpontszabályzat lehetővé teszi adott Azure Storage-fiókok engedélyezési listához való hozzáadását a resourceID formátum használatával. A következőhöz való hozzáférést korlátozhatja:

    • Előfizetés összes tárfiókja
      E.g. /subscriptions/subscriptionId

    • Egy erőforráscsoport összes tárfiókja
      E.g. subscriptions/subscriptionId/resourceGroups/resourceGroupName

    • Egy egyéni tárfiók a megfelelő Azure Resource Manager resourceId listázásával. Ez lefedi a blobokba, táblákba, üzenetsorokba, fájlokba és az Azure Data Lake Storage Gen2-be irányuló forgalmat.
      E.g. /subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.Storage/storageAccounts/storageAccountName

  • Alapértelmezés szerint, ha a végpontokkal rendelkező alhálózathoz nincsenek házirendek csatolva, a szolgáltatás összes tárfiókját elérheti. Amint konfigurált egy szabályzatot az alhálózaton, kizárólag a szabályzatban meghatározott erőforrásokhoz lehet hozzáférni az adott alhálózat számítási példányairól. Az összes többi tárfiókhoz való hozzáférés megtagadva.

  • Amikor szolgáltatásvégpont-szabályzatokat alkalmaz egy alhálózaton, az Azure Storage szolgáltatásvégpont hatóköre regionálisról globálisra frissül. Ez a folyamat azt jelenti, hogy az Azure Storage-ba történő összes adatforgalom a szolgáltatásvégponton keresztül lesz biztosítva. A szolgáltatásvégpont-szabályzatok globálisan is alkalmazhatók. A kifejezetten nem engedélyezett tárfiókok hozzáférése megtagadva.

  • Egy alhálózaton több szabályzatot is életbe léptethet. Ha több házirend van társítva az alhálózathoz, a virtuális hálózati forgalom az ezen szabályzatok bármelyikében megadott erőforrások felé engedélyezett. Az összes többi szolgáltatáserőforráshoz való hozzáférés, amely nem szerepel egyik szabályzatban sem, le lesz tiltva.

Megjegyzés:

A szolgáltatásvégpont-szabályzatok engedélyezett szabályzatok, így a megadott erőforrásokon kívül minden más erőforrás korlátozott. Győződjön meg arról, hogy az alkalmazások összes szolgáltatáserőforrás-függősége azonosítható és szerepel a szabályzatban.

  • Csak az Azure Resource-modellt használó tárfiókokat lehet megadni a végpontszabályzatban. A klasszikus Azure Storage-fiókok nem támogatják az Azure Szolgáltatásvégpont-szabályzatokat.

  • Az RA-GRS másodlagos hozzáférés automatikusan engedélyezett, ha az elsődleges fiók szerepel a listán.

  • A tárfiókok lehetnek ugyanabban az előfizetésben vagy egy másik előfizetésben, vagy a Microsoft Entra-bérlőben, mint a virtuális hálózat.

Forgatókönyvek

  • Társviszonyban álló, csatlakoztatott vagy többszörös virtuális hálózatok: A társviszonyban álló virtuális hálózatok forgalmának szűréséhez a végpontszabályzatokat egyenként kell érvényesíteni az egyes virtuális hálózatokon.

  • Internetes forgalom szűrése hálózati berendezésekkel vagy Azure Firewall használatával: Az Azure szolgáltatás forgalmának szűrése szabályzatokkal, szolgáltatásvégpontokon keresztül, valamint az internet vagy az Azure-forgalom további részeinek szűrése berendezéseken vagy Azure Firewallon keresztül.

  • A virtuális hálózatokba telepített Azure-szolgáltatások forgalmának szűrése: Jelenleg az Azure-szolgáltatásvégpont-szabályzatok nem támogatottak a virtuális hálózaton üzembe helyezett felügyelt Azure-szolgáltatások esetében.

  • A helyszínről az Azure-szolgáltatásokba irányuló forgalom szűrése: A szolgáltatásvégpont-szabályzatok csak a szabályzatokhoz társított alhálózatokról érkező forgalomra vonatkoznak. Az egyes Azure-beli szolgáltatási erőforrásokhoz való helyszíni hozzáférés engedélyezéséhez a forgalmat virtuális hálózati berendezésekkel vagy tűzfalakkal szűrheti.

Naplózás és hibaelhárítás

Szolgáltatásvégpont-szabályzatokhoz a központi naplózás nem érhető el. A szolgáltatáserőforrás-naplókért tekintse meg a szolgáltatásvégpontok naplózását.

Hibaelhárítási forgatókönyvek

  • Hozzáférés megtagadva az előzetes verzióban működő tárfiókokhoz (nem földrajzilag párosított régióban)

    • Az Azure Storage globális szolgáltatáscímkék használatára való frissítésével a szolgáltatásvégpont és így a szolgáltatásvégpont-szabályzatok hatóköre globális. Az Azure Storage felé irányuló forgalom tehát szolgáltatásvégpontokon keresztül van titkosítva, és csak a szabályzatban kifejezetten felsorolt Tárfiókok férhetnek hozzá.

    • Explicit módon engedélyezze az összes szükséges Storage-fiók engedélyezését a hozzáférés visszaállításához.

    • Forduljon az Azure ügyfélszolgálatához.

  • A végpontszabályzatokban szereplő fiókokhoz való hozzáférés meg van tagadva

    • A hálózati biztonsági csoportok vagy a tűzfalak használatával történő szűrés blokkolhatja a hozzáférést

    • Ha a szabályzat eltávolítása/újbóli életbe léptetése miatt megszűnik a kapcsolat:

      • Ellenőrizze, hogy az Azure-szolgáltatás úgy van-e konfigurálva, hogy engedélyezze a hozzáférést a virtuális hálózatról végpontokon keresztül, vagy hogy az erőforrás alapértelmezett szabályzata Az összes engedélyezése beállításra van-e beállítva.

      • Ellenőrizze, hogy a szolgáltatásdiagnosztika megjeleníti-e a végpontokon átmenő forgalmat.

      • Ellenőrizze, hogy a hálózati biztonsági csoport forgalmának naplói és a tárolási naplók a várakozásoknak megfelelően a végpontokon keresztül történő hozzáférést mutatják-e.

      • Forduljon az Azure ügyfélszolgálatához.

  • A szolgáltatásvégpont-szabályzatokban nem szereplő fiókok hozzáférése meg van tagadva

    • Ellenőrizze, hogy az Azure Storage úgy van-e konfigurálva, hogy engedélyezze a hozzáférést a virtuális hálózatról végpontokon keresztül, vagy az erőforrás alapértelmezett szabályzata Az összes engedélyezése beállításra van-e beállítva.

    • Győződjön meg arról, hogy a fiókok nem klasszikus tárfiókok , amelyek szolgáltatásvégpont-szabályzatokkal rendelkeznek az alhálózaton.

  • Egy felügyelt Azure-szolgáltatás leállt, miután egy szolgáltatásvégpont-szabályzatot alkalmazott az alhálózaton

    • A felügyelt Azure SQL-példánytól eltérő felügyelt szolgáltatások jelenleg nem támogatottak a szolgáltatásvégpontok esetében.

  • A felügyelt tárfiókokhoz való hozzáférés leállt, miután egy szolgáltatásvégpont-szabályzatot alkalmazott az alhálózaton

    • A felügyelt tárfiókok szolgáltatásvégpont-szabályzatokkal nem támogatottak. Ha konfigurálva van, a szabályzatok alapértelmezés szerint megtagadják az összes felügyelt tárfiókhoz való hozzáférést. Ha az alkalmazásnak hozzá kell férnie a felügyelt tárfiókokhoz, a végpontszabályzatokat nem szabad használni ehhez a forgalomhoz.

Provisioning

A virtuális hálózathoz írási hozzáféréssel rendelkező felhasználók szolgáltatásvégpont-szabályzatokat konfigurálnak az alhálózatokon. További információkat is megtudhat az Azure beépített szerepköreiről és az egyes engedélyek egyéni szerepkörökhöz való hozzárendeléséről.

A virtuális hálózatok és az Azure Storage-fiókok lehetnek azonos vagy különböző előfizetésekben, illetve Microsoft Entra-bérlőkben.

Korlátozások

  • Szolgáltatásvégpont-szabályzatokat csak az Azure Resource Manager-alapú üzemi modellel üzembe helyezett virtuális hálózatokon helyezhet üzembe.

  • A virtuális hálózatoknak és a szolgáltatásvégpont-szabályzatnak ugyanabban a régióban kell lenniük.

  • Csak akkor alkalmazhat szolgáltatásvégpont-szabályzatokat egy alhálózaton, ha a szolgáltatásvégpontok a szabályzatban szereplő Azure-szolgáltatásokhoz vannak konfigurálva.

  • A saját helyszíni hálózatáról az Azure-szolgáltatásokba irányuló forgalomhoz nem használhat szolgáltatásvégpont-szabályzatokat.

  • A felügyelt Azure SQL-példánytól eltérő Azure-beli felügyelt szolgáltatások jelenleg nem támogatják a végpontszabályzatokat. Ez a korlátozás magában foglalja a megosztott alhálózatokban (például az Azure Batchben, a Microsoft Entra Domain Servicesben, Azure-alkalmazás Gatewayben, az Azure VPN Gatewayben, az Azure Firewallban) vagy dedikált alhálózatokban (például Azure-alkalmazás Service Environment, Azure Redis Cache, Azure API Management, klasszikus felügyelt szolgáltatások) üzembe helyezett felügyelt szolgáltatásokat.

Figyelmeztetés:

A virtuális hálózatokban üzembe helyezett Azure-szolgáltatások, mint például az Azure HDInsight, más Azure-szolgáltatásokhoz, például az Azure Storage-hoz férnek hozzá, hogy lekérjék az infrastruktúrával kapcsolatos követelményeket. A végpontszabályzatok bizonyos erőforrásokra történő korlátozása meggátolhatja, hogy a virtuális hálózatában üzembe helyezett Azure-szolgáltatások hozzáférjenek ezekhez az infrastruktúra-erőforrásokhoz.

  • A végpontszabályzatok nem támogatják a klasszikus tárfiókokat. A szabályzatok alapértelmezés szerint megtagadják az összes klasszikus tárfiókhoz való hozzáférést. Ha az alkalmazásnak hozzá kell férnie az Azure Resource Managerhez és a klasszikus tárfiókokhoz, a végpontszabályzatokat nem szabad használni ehhez a forgalomhoz.

Díjszabás és korlátok

A szolgáltatásvégpont-szabályzatok használata díjmentes. A szolgáltatásvégpontok esetében az Azure-szolgáltatások (például az Azure Storage) aktuális díjszabási modellje az irányadó.

A következő korlátozásokat érvényesíti a rendszer a szolgáltatásvégpont-szabályokon:

Resource Alapértelmezett korlát
ServiceEndpointPoliciesPerSubscription 500
ServiceEndpointPoliciesPerSubnet 100
ServiceEndpointPoliciesPerVirtualNetwork 100
ServiceResourcesPerServiceEndpointPolicyDefinition 200

Következő lépések