Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Artikel ini menjelaskan cara mengonfigurasi Perimeter Keamanan Jaringan di akun Azure Cosmos DB Anda.
Important
Perimeter Keamanan Jaringan berada dalam pratinjau publik. Fitur ini disediakan tanpa perjanjian tingkat layanan. Untuk informasi lebih lanjut, lihat Supplemental Terms of Use for Microsoft Azure Previews.
Gambaran umum fitur
Administrator jaringan dapat menentukan batas isolasi jaringan untuk layanan PaaS mereka, yang memungkinkan komunikasi antara akun Azure Cosmos DB mereka dan Keyvault, SQL, dan layanan lainnya menggunakan Azure Network Security Perimeter. Mengamankan akses publik di Azure Service dapat dicapai dengan beberapa cara:
- Mengamankan koneksi masuk: Batasi paparan publik akun Azure Cosmos DB Anda dengan secara eksplisit memberikan akses masuk ke sumber daya di dalam perimeter. Secara default, akses dari jaringan yang tidak sah ditolak, dan akses dari titik akhir privat ke perimeter atau sumber daya dalam langganan dapat dikonfigurasi.
- Mengamankan komunikasi layanan ke layanan: Semua sumber daya di dalam perimeter dapat berkomunikasi dengan sumber daya lain dalam perimeter, mencegah penyelundupan data.
- Mengamankan koneksi keluar: Jika Perimeter Keamanan Jaringan tidak mengelola tenant tujuan, ia memblokir akses saat mencoba menyalin data dari satu tenant ke tenant lain. Akses diberikan berdasarkan FQDN atau akses dari perimeter jaringan lain; semua upaya akses lainnya ditolak.
Semua komunikasi ini ditangani secara otomatis setelah Perimeter Keamanan Jaringan disiapkan, dan pengguna tidak perlu mengelolanya. Alih-alih menyiapkan titik akhir privat untuk setiap sumber daya untuk mengaktifkan komunikasi atau mengonfigurasi jaringan virtual, Perimeter Keamanan Jaringan di tingkat atas memungkinkan fungsionalitas ini.
Nota
Perimeter keamanan jaringan Azure melengkapi apa yang saat ini kami miliki, termasuk endpoint privat, yang memungkinkan akses ke sumber daya privat dalam perimeter, dan penyuntikan VNet, yang memungkinkan layanan VNet terkelola untuk mengakses sumber daya dalam perimeter. Saat ini kami tidak mendukung kombinasi Azure Network Security Perimeter, kunci yang dikelola pelanggan (CMK), dan fitur penyimpanan log seperti Analytical Store, Mode Umpan Perubahan Semua Versi dan Hapus, Tampilan Terwujud, dan Pemulihan Titik-Waktu. Jika Anda perlu melakukan pemulihan pada akun berkemampuan CMK dengan Azure Network Security Perimeter, Anda harus melonggarkan pengaturan perimeter untuk sementara waktu di brankas kunci untuk memungkinkan akses akun Cosmos DB Anda ke kunci.
Memulai Langkah Pertama
Important
Sebelum menyiapkan perimeter keamanan jaringan, buat identitas terkelola di Azure.
- Di portal Azure, cari perimeter keamanan jaringan di daftar sumber daya dan pilih Buat +.
- Dari daftar sumber daya, pilih sumber daya yang ingin Anda kaitkan dengan perimeter.
- Tambahkan aturan akses masuk, jenis sumber dapat berupa alamat IP atau langganan.
- Tambahkan aturan akses keluar untuk memungkinkan sumber daya di dalam perimeter terhubung ke internet dan sumber daya di luar perimeter.
Dalam kasus di mana Anda memiliki akun Azure Cosmos DB yang ada dan ingin menambahkan perimeter keamanan:
Pilih Jaringan dari Pengaturan
Kemudian pilih Kaitkan NSP untuk mengaitkan sumber daya ini dengan perimeter keamanan jaringan Anda untuk mengaktifkan komunikasi dengan sumber daya Azure lainnya di perimeter yang sama sambil membatasi akses publik untuk hanya mengizinkan koneksi yang Anda tentukan.
Nota
Jika Anda membuat permintaan ke akun Anda menggunakan REST API, pastikan header x-ms-date ada dan dalam format tanggal RFC 1123 yang benar. Permintaan dapat mulai diblokir jika header salah saat akun dikaitkan dengan Perimeter Keamanan Jaringan.
Langkah berikutnya
- Gambaran umum perimeter layanan jaringan
- Pelajari cara memantau dengan log diagnostik di perimeter keamanan jaringan