Criteri degli endpoint servizio di rete virtuale per Archiviazione di Azure

  • Articolo

Rete virtuale criteri degli endpoint di servizio consentono di filtrare il traffico di rete virtuale in uscita per Archiviazione di Azure account tramite endpoint servizio e consentire l'esfiltrazione dei dati solo a specifici account Archiviazione di Azure. I criteri degli endpoint forniscono un controllo di accesso granulare per il traffico di rete virtuale da Archiviazione di Azure durante la connessione tramite l'endpoint di servizio.

Diagram of Securing Virtual network outbound traffic to Azure Storage accounts.

Questa funzionalità è disponibile a livello generale per Archiviazione di Azure in tutte le aree di Azure globali.

Vantaggi chiave

I criteri degli endpoint servizio di rete virtuale offrono i vantaggi seguenti:

  • Maggiore sicurezza per il traffico Rete virtuale verso Archiviazione di Azure

    I tag del servizio di Azure per i gruppi di sicurezza di rete consentono di limitare il traffico in uscita della rete virtuale a aree Archiviazione di Azure specifiche. Tuttavia, questo processo consente il traffico verso qualsiasi account all'interno dell'area Archiviazione di Azure selezionata.

    I criteri degli endpoint consentono di specificare gli account Archiviazione di Azure consentiti per l'accesso in uscita alla rete virtuale e limitano l'accesso a tutti gli altri account di archiviazione. Questo processo offre un controllo di sicurezza molto più granulare per la protezione dell'esfiltrazione dei dati dalla rete virtuale.

  • Criteri scalabili a disponibilità elevata per filtrare il traffico dei servizi di Azure

    I criteri degli endpoint forniscono una soluzione a disponibilità elevata e con scalabilità orizzontale per filtrare il traffico dei servizi di Azure dalle reti virtuali sugli endpoint di servizio. Non è necessario alcun sovraccarico aggiuntivo per gestire le appliance di rete centrali per questo traffico nelle reti virtuali.

Oggetto JSON per i criteri dell'endpoint di servizio

Verrà ora esaminato rapidamente l'oggetto Criteri endpoint di servizio.

"serviceEndpointPolicyDefinitions": [
    {
            "description": null,
            "name": "MySEP-Definition",
            "resourceGroup": "MySEPDeployment",
            "service": "Microsoft.Storage",
            "serviceResources": [ 
                    "/subscriptions/subscriptionID/resourceGroups/MySEPDeployment/providers/Microsoft.Storage/storageAccounts/mystgacc"
            ],
            "type": "Microsoft.Network/serviceEndpointPolicies/serviceEndpointPolicyDefinitions"
    }
]

Configurazione

  • È possibile configurare i criteri degli endpoint per limitare il traffico di rete virtuale a account di Archiviazione di Azure specifici.

  • I criteri degli endpoint sono configurati in una subnet di una rete virtuale. Gli endpoint di servizio per Archiviazione di Azure devono essere abilitati nella subnet per applicare i criteri.

  • I criteri degli endpoint consentono di aggiungere account di Archiviazione di Azure specifici da consentire, usando il formato resourceID. È possibile limitare l'accesso a:

    • Tutti gli account di archiviazione in una sottoscrizione
      E.g. /subscriptions/subscriptionId

    • Tutti gli account di archiviazione in un gruppo di risorse
      E.g. subscriptions/subscriptionId/resourceGroups/resourceGroupName

    • Un singolo account di archiviazione elencando il resourceId di Azure Resource Manager corrispondente. Ciò riguarda il traffico verso BLOB, tabelle, code, file e Azure Data Lake Storage Gen2.
      E.g. /subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.Storage/storageAccounts/storageAccountName

  • Per impostazione predefinita, se nessun criterio è collegato a una subnet con endpoint, è possibile accedere a tutti gli account di archiviazione nel servizio. Dopo la configurazione dei criteri in tale subnet, dalle istanze di calcolo in tale subnet è possibile accedere solo alle risorse specificate nei criteri. L'accesso a tutti gli altri account di archiviazione viene negato.

  • Quando i criteri degli endpoint di servizio vengono applicati a una subnet, l'ambito dell'endpoint di servizio Archiviazione di Azure viene aggiornato dall'area a quella globale. Questo processo significa che tutto il traffico verso Archiviazione di Azure viene protetto tramite l'endpoint di servizio in seguito. I criteri degli endpoint di servizio sono applicabili anche a livello globale. Gli account di archiviazione che non sono consentiti in modo esplicito vengono negati.

  • È possibile applicare più criteri a una subnet. Quando alla subnet sono associati più criteri, è consentito il traffico di rete virtuale verso le risorse specificate in uno di questi criteri. L'accesso a tutte le altre risorse del servizio, non specificato in alcun criterio, viene negato.

Nota

I criteri degli endpoint di servizio sono criteri consentiti, quindi, oltre alle risorse specificate, tutte le altre risorse sono limitate. Assicurarsi che tutte le dipendenze delle risorse del servizio per le applicazioni siano identificate e elencate nei criteri.

  • Nei criteri degli endpoint è possibile specificare solo gli account di archiviazione che usano il modello Azure Resource Manager. Gli account Archiviazione di Azure classici non supportano i criteri degli endpoint di servizio di Azure.

  • L'accesso secondario ra-GRS è consentito automaticamente se l'account primario è elencato.

  • Archiviazione account possono trovarsi nello stesso abbonamento o in un tenant diverso o microsoft Entra della rete virtuale.

Scenari

  • Reti virtuali con peering, connesse o multiple: per filtrare il traffico nelle reti virtuali con peering, i criteri degli endpoint devono essere applicati individualmente a tali reti virtuali.

  • Filtro del traffico Internet con appliance di rete o Firewall di Azure: filtrare il traffico del servizio di Azure con criteri, sugli endpoint di servizio e filtrare il resto del traffico Internet o di Azure tramite appliance o Firewall di Azure.

  • Filtro del traffico nei servizi di Azure distribuiti in Rete virtuale: al momento, i criteri degli endpoint di servizio di Azure non sono supportati per i servizi di Azure gestiti distribuiti nella rete virtuale.

  • Filtro del traffico dall'ambiente locale ai servizi di Azure: i criteri degli endpoint di servizio si applicano solo al traffico dalle subnet associate ai criteri. Per consentire l'accesso a risorse dei servizi di Azure specifiche dall'ambiente locale, il traffico deve essere filtrato tramite firewall o appliance virtuali di rete.

Registrazione e risoluzione dei problemi

Non sono disponibili funzionalità di registrazione centralizzata per i criteri degli endpoint di servizio. Per i log delle risorse del servizio, vedere Registrazione degli endpoint di servizio.

Scenari di risoluzione dei problemi

  • Accesso negato agli account di archiviazione che funzionavano in anteprima (non nell'area geografica associata)

    • Con Archiviazione di Azure aggiornamento per l'uso dei tag di servizio globali, l'ambito dell'endpoint di servizio e quindi i criteri degli endpoint di servizio sono ora globali. Pertanto, qualsiasi traffico verso Archiviazione di Azure viene crittografato tramite endpoint di servizio e solo gli account Archiviazione elencati in modo esplicito nei criteri sono autorizzati ad accedere.

    • Consentire in modo esplicito a tutti gli account di Archiviazione necessari di ripristinare l'accesso.

    • Contattare il supporto tecnico di Azure.

  • Accesso negato per gli account specificati nei criteri degli endpoint

    • L'accesso potrebbe essere bloccato da gruppi di sicurezza di rete o filtro del firewall

    • Se la rimozione e la nuova applicazione dei criteri comporta la perdita di connettività:

      • Verificare se il servizio di Azure è configurato per consentire l'accesso dalla rete virtuale tramite endpoint o se i criteri predefiniti per la risorsa sono impostati su Consenti tutto.

      • Verificare che la diagnostica del servizio mostri il traffico sugli endpoint.

      • Controllare se i log di flusso del gruppo di sicurezza di rete mostrano l'accesso e controllare che i log di archiviazione mostrino l'accesso, come previsto, sugli endpoint di servizio.

      • Contattare il supporto tecnico di Azure.

  • Accesso negato per gli account non specificati nei criteri degli endpoint di servizio

    • Verificare se Archiviazione di Azure è configurato per consentire l'accesso dalla rete virtuale tramite endpoint o se i criteri predefiniti per la risorsa sono impostati su Consenti tutto.

    • Verificare che gli account non siano account di archiviazione classici con i criteri degli endpoint di servizio nella subnet.

  • Un servizio di Azure gestito ha smesso di funzionare dopo l'applicazione di un criterio endpoint di servizio sulla subnet

    • I servizi gestiti diversi da Istanza gestita di SQL di Azure non sono attualmente supportati con gli endpoint di servizio.

  • L'accesso agli account di Archiviazione gestiti smette di funzionare dopo l'applicazione di criteri dell'endpoint di servizio sulla subnet

    • Gli account Archiviazione gestiti non sono supportati con i criteri degli endpoint di servizio. Se configurata, i criteri negano l'accesso a tutti gli account di Archiviazione gestiti, per impostazione predefinita. Se l'applicazione deve accedere agli account di Archiviazione gestiti, i criteri degli endpoint non devono essere usati per questo traffico.

Provisioning

Un utente con accesso in scrittura a una rete virtuale configura i criteri degli endpoint di servizio nelle subnet. Leggere altre informazioni sui ruoli predefiniti di Azure e sull'assegnazione di autorizzazioni specifiche ai ruoli personalizzati.

Le reti virtuali e gli account Archiviazione di Azure possono trovarsi nella stessa sottoscrizione o in tenant di Microsoft Entra.

Limiti

  • È possibile distribuire criteri degli endpoint di servizio solo nelle reti virtuali distribuite con il modello di distribuzione Azure Resource Manager.

  • Le reti virtuali devono trovarsi nella stessa area dei criteri degli endpoint di servizio.

  • È possibile applicare criteri degli endpoint di servizio in una subnet solo se gli endpoint di servizio sono configurati per i servizi di Azure specificati nei criteri.

  • Non è possibile usare i criteri degli endpoint di servizio per il traffico dalla rete locale ai servizi di Azure.

  • I servizi gestiti di Azure diversi da Istanza gestita di SQL di Azure attualmente non supportano i criteri degli endpoint. Questa limitazione include i servizi gestiti distribuiti in subnet condivise(ad esempio Azure Batch, Microsoft Entra Domain Services, app Azure lication Gateway, Azure Gateway VPN, Firewall di Azure) o in subnet dedicate (ad esempio app Azure Ambiente del servizio, Cache Redis di Azure, Azure Gestione API, servizi gestiti classici).

Avviso

I servizi di Azure distribuiti nella rete virtuale, ad esempio Azure HDInsight, accedono ad altri servizi di Azure, ad esempio Archiviazione di Azure, per i requisiti di infrastruttura. Limitando i criteri degli endpoint a risorse specifiche si potrebbe interrompere l'accesso a queste risorse di infrastruttura per i servizi di Azure distribuiti nella rete virtuale.

  • Gli account di archiviazione classici non sono supportati nei criteri degli endpoint. I criteri negano l'accesso a tutti gli account di archiviazione classici, per impostazione predefinita. Se l'applicazione deve accedere ad Azure Resource Manager e agli account di archiviazione classici, i criteri degli endpoint non devono essere usati per questo traffico.

Prezzi e limiti

Non sono previsti costi aggiuntivi per l'uso dei criteri degli endpoint di servizio. Viene applicato il modello di determinazione dei prezzi corrente per i servizi di Azure, ad esempio Archiviazione di Azure, per gli endpoint di servizio.

Per i criteri degli endpoint di servizio vengono applicati i limiti seguenti:

Risorsa Limite predefinito
ServiceEndpointPoliciesPerSubscription 500
ServiceEndpointPoliciesPerSubnet 100
ServiceEndpointPoliciesPerVirtualNetwork 100
ServiceResourcesPerServiceEndpointPolicyDefinition 200

Passaggi successivi