Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Perimeter keamanan jaringan memungkinkan organisasi untuk menentukan batas isolasi jaringan logis untuk sumber daya PaaS (misalnya, Azure Blob Storage dan SQL Database) yang disebarkan di luar jaringan virtual mereka. Fitur ini membatasi akses jaringan publik ke sumber daya PaaS di luar perimeter. Namun, Anda dapat membebaskan akses dengan menggunakan aturan akses eksplisit untuk lalu lintas masuk dan keluar publik. Ini membantu mencegah penyelundupan data yang tidak diinginkan dari sumber daya penyimpanan Anda. Dalam perimeter keamanan jaringan, sumber daya anggota dapat berkomunikasi secara bebas satu sama lain. Aturan perimeter keamanan jaringan mengambil alih pengaturan firewall akun penyimpanan sendiri. Akses dari dalam perimeter lebih diutamakan daripada pembatasan jaringan lainnya.
Anda dapat menemukan daftar layanan yang di-onboarding ke perimeter keamanan jaringan di sini. Jika layanan belum tercantum, layanan belum di-onboarding. Untuk mengizinkan akses ke sumber daya tertentu dari layanan yang tidak terhubung, Anda dapat membuat aturan berdasarkan langganan untuk perimeter keamanan jaringan. Aturan berbasis langganan memberikan akses ke semua sumber daya dalam langganan tersebut. Untuk detail tentang cara menambahkan aturan akses berbasis langganan, lihat dokumentasi ini.
Mode Akses
Saat melakukan onboarding akun penyimpanan ke perimeter keamanan jaringan, Anda dapat mulai dalam mode Transisi (sebelumnya mode Pembelajaran) atau langsung masuk ke mode Diberlakukan. Mode transisi (default) memungkinkan akun penyimpanan untuk kembali ke aturan firewall yang ada atau pengaturan "layanan tepercaya" jika aturan perimeter belum mengizinkan koneksi. Mode yang diberlakukan secara ketat memblokir semua lalu lintas masuk dan keluar publik kecuali diizinkan secara eksplisit oleh aturan perimeter keamanan jaringan, memastikan perlindungan maksimum untuk akun penyimpanan Anda. Dalam mode yang diberlakukan, bahkan pengecualian untuk "layanan yang dipercaya" Azure tidak diizinkan. Sumber daya Azure yang relevan atau langganan tertentu harus diizinkan secara eksplisit melalui aturan perimeter jika diperlukan.
Important
Akun Penyimpanan Operasi dalam mode Transisi (sebelumnya Pembelajaran) hanya boleh berfungsi sebagai langkah transisi. Aktor jahat dapat mengeksploitasi sumber daya yang tidak aman untuk menyelundupkan data. Oleh karena itu, sangat penting untuk beralih ke konfigurasi yang sepenuhnya aman sesegera mungkin dengan mode akses yang diterapkan ke Enforced.
Prioritas jaringan
Ketika akun penyimpanan adalah bagian dari perimeter keamanan jaringan, aturan akses profil yang relevan mengambil alih pengaturan firewall akun itu sendiri, menjadi penjaga gerbang jaringan tingkat atas. Akses yang diizinkan atau ditolak oleh pembatas berprioritas lebih tinggi, dan pengaturan "Jaringan yang diizinkan" akun diabaikan saat akun penyimpanan dikaitkan pada mode penerapan. Menghapus akun penyimpanan dari perimeter keamanan jaringan mengembalikan kontrol kembali ke firewall regulernya. Perimeter keamanan jaringan tidak memengaruhi lalu lintas titik akhir privat. Koneksi melalui tautan privat selalu berhasil. Untuk layanan Azure internal ("layanan tepercaya"), hanya layanan yang secara eksplisit di-onboard ke perimeter keamanan jaringan yang dapat diizinkan melalui aturan akses perimeter. Jika tidak, lalu lintas mereka diblokir secara default, bahkan jika dipercaya pada aturan firewall akun penyimpanan. Untuk layanan yang belum di-onboarding, alternatif termasuk aturan tingkat langganan untuk akses masuk dan Nama Domain Terpenuhi Sepenuhnya (FQDN) untuk akses keluar atau melalui tautan privat.
Important
Lalu lintas titik akhir privat dianggap sangat aman dan oleh karena itu tidak tunduk pada aturan perimeter keamanan jaringan. Semua lalu lintas lainnya, termasuk layanan tepercaya, tunduk pada aturan perimeter keamanan jaringan jika akun penyimpanan dikaitkan dengan perimeter.
Cakupan fitur dalam perimeter keamanan jaringan
Saat akun penyimpanan dikaitkan dengan perimeter keamanan jaringan, semua operasi bidang data standar untuk blob, file, tabel, dan antrean didukung kecuali ditentukan di bawah batasan yang diketahui. Semua operasi berbasis HTTPS untuk Azure Blob Storage, Azure Data Lake Storage Gen2, Azure Files, Azure Table Storage, dan Azure Queue Storage dapat dibatasi menggunakan perimeter keamanan jaringan.
Limitations
| Feature | Status dukungan | Recommendations |
|---|---|---|
| Replikasi objek untuk Azure Blob Storage | Tidak Didukung. Replikasi Objek antara akun penyimpanan gagal jika akun sumber atau tujuan dikaitkan dengan perimeter keamanan jaringan | Jangan mengonfigurasi perimeter keamanan jaringan pada akun penyimpanan yang memerlukan replikasi objek. Demikian pula, jangan aktifkan replikasi objek pada akun yang terkait dengan perimeter keamanan jaringan hingga dukungan tersedia. Jika replikasi objek sudah diaktifkan, Anda tidak dapat mengaitkan perimeter keamanan jaringan. Demikian pula, jika perimeter keamanan jaringan sudah terkait, Anda tidak dapat mengaktifkan replikasi objek. Pembatasan ini mencegah Anda mengonfigurasi skenario yang tidak didukung. |
| Akses sistem file jaringan (NFS) melalui Azure Blobs dan Azure Files, Akses blok pesan server (SMB) melalui Azure Files dan protokol transfer File SSH (SFTP) melalui Azure Blobs | Semua protokol selain akses berbasis HTTPS diblokir ketika akun penyimpanan dikaitkan dengan perimeter keamanan jaringan | Jika Anda perlu menggunakan salah satu protokol ini untuk mengakses akun penyimpanan Anda, jangan kaitkan akun dengan perimeter keamanan jaringan |
| Azure Backup | Tidak didukung. Azure Backup sebagai sebuah layanan belum terintegrasi ke batas keamanan jaringan. | Sebaiknya jangan mengaitkan akun dengan perimeter keamanan jaringan jika Anda mengaktifkan cadangan atau jika Anda berencana menggunakan Azure Backup. Setelah Azure Backup onboard ke perimeter keamanan jaringan, Anda dapat mulai menggunakan kedua fitur ini bersama-sama |
| Disk tidak terkelola | Disk yang tidak dikelola tidak mematuhi aturan perimeter keamanan jaringan. | Hindari menggunakan disk yang tidak dikelola pada akun penyimpanan yang dilindungi oleh perimeter keamanan jaringan |
| Situs Web Statis | Tidak didukung | Situs web statis, terbuka secara alami tidak dapat digunakan dengan perimeter keamanan jaringan. Jika situs web statis sudah diaktifkan, Anda tidak dapat mengaitkan perimeter keamanan jaringan. Demikian pula, jika perimeter keamanan jaringan sudah dikaitkan, Anda tidak dapat mengaktifkan situs web statis. Pembatasan ini mencegah Anda mengonfigurasi skenario yang tidak didukung. |
Warning
Untuk akun penyimpanan yang terkait dengan perimeter keamanan jaringan, agar skenario kunci yang dikelola pelanggan (CMK) berfungsi, pastikan bahwa Azure Key Vault dapat diakses dari dalam perimeter tempat akun penyimpanan tersebut dikaitkan.
Mengaitkan perimeter keamanan jaringan dengan akun penyimpanan
Untuk mengaitkan perimeter keamanan jaringan dengan akun penyimpanan, ikuti instruksi umum ini untuk semua sumber daya PaaS.
Langkah selanjutnya
- Pelajari selengkapnya tentang titik akhir layanan jaringan Azure.
- Mendalami lebih lanjut rekomendasi keamanan untuk penyimpanan Azure Blob.
- Aktifkan Log diagnostik untuk Perimeter Keamanan Jaringan.