Abilitare la sicurezza di rete per i connettori BLOB di archiviazione Azure

Questo articolo fornisce istruzioni dettagliate su come abilitare la sicurezza di rete nelle risorse di archiviazione integrate con il connettore di archiviazione Azure. Azure perimetro di sicurezza di rete (NSP) è una funzionalità nativa Azure che crea un limite di isolamento logico per le risorse PaaS. Associando risorse come account di archiviazione o database a un provider di rete, è possibile gestire centralmente l'accesso alla rete usando un set di regole semplificato. Per altre informazioni, vedere Concetti relativi al perimetro di sicurezza di rete.

Prerequisiti

Prima di abilitare la sicurezza di rete, creare le risorse del connettore. Vedere Configurare il connettore di archiviazione Azure per trasmettere i log a Microsoft Sentinel, incluso l'argomento del sistema Griglia di eventi usato per trasmettere gli eventi di creazione di BLOB alla coda di archiviazione Azure.

Per completare questa configurazione, assicurarsi di disporre delle autorizzazioni seguenti:

  • Proprietario della sottoscrizione o collaboratore per creare risorse perimetrali di sicurezza di rete.
  • Collaboratore dell'account di archiviazione per associare l'account di archiviazione al provider di servizi di rete.
  • Amministratore o proprietario dell'accesso utente dell'account di archiviazione per assegnare ruoli controllo degli accessi in base al ruolo all'identità gestita di Griglia di eventi.
  • Collaboratore di Griglia di eventi per abilitare l'identità gestita e gestire le sottoscrizioni di eventi.

Abilitare la sicurezza di rete

Per abilitare la sicurezza di rete nelle risorse di archiviazione integrate con il connettore di archiviazione Azure, creare un perimetro di sicurezza di rete (NSP), associare l'account di archiviazione e configurare le regole per consentire il traffico da Griglia di eventi e da altre origini necessarie, bloccando al tempo stesso l'accesso non autorizzato. Per completare la configurazione, seguire questa procedura.

Creare un perimetro di sicurezza di rete

  1. Nel portale di Azure cercare Perimetri di sicurezza di rete

  2. Selezionare Crea.

  3. Selezionare una sottoscrizione e un gruppo di risorse.

  4. Immettere Nome, ad esempio storageblob-connectors-nsp

  5. Selezionare un'area. L'area deve essere la stessa dell'account di archiviazione.

  6. Immettere un nome di profilo o accettare l'impostazione predefinita. Il profilo definisce il set di regole applicate alle risorse associate. È possibile avere più profili all'interno di un singolo provider di servizi di rete per applicare regole diverse a risorse diverse, se necessario.

  7. Selezionare Rivedi e crea e quindi Crea.

    Screenshot che mostra la creazione di un perimetro di sicurezza di rete nel portale di Azure.

Associare l'account di archiviazione al perimetro di sicurezza di rete

  1. Aprire la risorsa perimetrale di sicurezza di rete appena creata nel portale di Azure.

  2. Selezionare Profili, quindi selezionare il nome del profilo usato durante la creazione della risorsa NSP.

  3. Selezionare Risorse associate.

  4. Selezionare Aggiungi.

  5. Cercare e aggiungere l'account di archiviazione, quindi selezionare Seleziona.

  6. Selezionare Associa.

La modalità di accesso è impostata su Transizione per impostazione predefinita, consentendo di convalidare la configurazione prima di applicare restrizioni.

Screenshot che mostra come associare un account di archiviazione al perimetro di sicurezza di rete nel portale di Azure.

Argomento Enable System-Assigned Identity on Event Grid System

  1. Dall'account di archiviazione passare alla scheda Eventi .

  2. Selezionare l'argomento di sistema usato per trasmettere gli eventi di creazione blob alla coda di archiviazione.

    Screenshot che mostra la scheda Evento per Account di archiviazione nel portale di Azure.

  3. Selezionare Identità.

  4. Nella scheda Sistema assegnato impostare Stato su .

  5. Selezionare Salva, quindi copiare l'ID oggetto dell'identità gestita per un uso successivo.

    Screenshot che mostra la creazione di un'identità gestita per un argomento del sistema griglia di eventi nel portale di Azure.

Concedere autorizzazioni di controllo degli accessi in base al ruolo nella coda di archiviazione

  1. Passare all'account di archiviazione.

  2. Selezionare Controllo di accesso (IAM).

  3. Selezionare Aggiungi.

  4. Cercare e selezionare il ruolo Mittente del messaggio di dati della coda di archiviazione (ambito: l'account di archiviazione).

  5. Selezionare la scheda Membri e quindi Selezionare i membri.

  6. Nel riquadro Selezione membri incollare l'ID oggetto per l'identità gestita di sistema di Griglia di eventi creata nel passaggio precedente.

  7. Selezionare l'identità gestita e quindi selezionare Seleziona.

  8. Selezionare Rivedi e assegna per completare l'assegnazione di ruolo. Screenshot che mostra l'assegnazione del ruolo Mittente del messaggio di dati della coda di archiviazione a un'identità gestita nel portale di Azure.

Abilitare l'identità gestita nella sottoscrizione di eventi

  1. Aprire l'argomento Sistema griglia di eventi.

  2. Selezionare la sottoscrizione di eventi destinata alla coda.

  3. Selezionare la scheda Impostazioni aggiuntive .

  4. Impostare Tipo di identità gestita su Assegnato dal sistema.

  5. Seleziona Salva.

  6. Esaminare le metriche della sottoscrizione di Griglia di eventi per verificare che i messaggi vengano pubblicati correttamente nella coda di archiviazione dopo questo aggiornamento.

Screenshot che mostra l'abilitazione dell'identità gestita per una sottoscrizione di Griglia di eventi nel portale di Azure.

Configurare le regole di accesso in ingresso nel profilo perimetrale di sicurezza di rete

Le regole seguenti sono necessarie per consentire a Griglia di eventi di recapitare i messaggi all'account di archiviazione, bloccando al tempo stesso l'accesso non autorizzato. A seconda del sistema che invia i dati all'account di archiviazione o accede alle risorse di archiviazione, potrebbe essere necessario aggiungere altre regole in ingresso. Esaminare lo scenario e i modelli di traffico per applicare in modo sicuro le regole necessarie e concedere tempo per la propagazione delle regole.

Regola 1: Consentire la sottoscrizione (recapito griglia di eventi)

Il recapito di Griglia di eventi non ha origine da indirizzi IP pubblici fissi. Il provider di rete convalida il recapito usando l'identità della sottoscrizione.

  1. Passare a Network Security Perimeter (Perimetro di sicurezza di rete) e selezionare il provider di servizi di rete.

  2. Selezionare Profili e quindi selezionare il profilo associato all'account di archiviazione.

  3. Selezionare Regole di accesso in ingresso e quindi Aggiungi.

    Screenshot che mostra la pagina Regole di accesso in ingresso nel portale di Azure.

  4. Immettere un nome di regola, ad esempio Allow-Subscription.

  5. Selezionare Sottoscrizione dall'elenco a discesa Tipo di origine .

  6. Selezionare la sottoscrizione dall'elenco a discesa Origini consentite .

  7. Selezionare Aggiungi per creare la regola.

    Screenshot che mostra la creazione di una regola di accesso in ingresso per consentire una sottoscrizione nel portale di Azure.

Nota

La visualizzazione delle regole nell'elenco può richiedere alcuni minuti dopo la creazione.

Regola 2: Consenti intervalli IP del servizio Scuba

  1. Creare una seconda regola di accesso in ingresso.

  2. Immettere un nome di regola, ad esempio Allow-Scuba.

  3. Selezionare Intervalli di indirizzi IP nell'elenco a discesa Tipo di origine .

  4. Aprire la pagina di download del tag di servizio .

  5. Selezionare il cloud, ad esempio Azure Pubblico.

  6. Selezionare il pulsante Scarica e aprire il file scaricato per ottenere l'elenco degli intervalli IP.

  7. Trovare il tag del Scuba servizio e copiare gli intervalli IPv4 associati.

  8. Incollare gli intervalli IPv4 nel campo Origini consentite dopo aver rimosso virgolette e virgole finali.

  9. Selezionare Aggiungi per creare la regola.

    Importante

    Rimuovere le virgolette dagli intervalli IP e assicurarsi che non sia presente alcuna virgola finale nell'ultima voce prima di incollarle nel campo Origini consentite . Gli intervalli di tag di servizio si aggiornano nel tempo; aggiornare regolarmente per mantenere aggiornate le regole.

    Screenshot che mostra una parte del file ServiceTags_Public.json con il tag del servizio Scuba e gli intervalli IPv4 evidenziati.

Convalidare e applicare

Dopo aver configurato le regole, monitorare i log di diagnostica per il perimetro di sicurezza di rete per verificare che il traffico legittimo sia consentito e che non si verificano interruzioni. Dopo aver confermato che le regole consentono correttamente il traffico necessario, è possibile passare dalla modalità di transizione alla modalità Applicata per bloccare l'accesso non autorizzato.

Modalità di transizione

Abilitare i log di diagnostica perimetrali della sicurezza di rete ed esaminare i dati di telemetria raccolti per convalidare i modelli di comunicazione prima dell'imposizione. Per altre informazioni, vedere Log di diagnostica per il perimetro di sicurezza di rete.

Applica modalità di imposizione

Una volta completata la convalida, impostare la modalità di accesso su Imposta come indicato di seguito:

  1. Nella pagina Network Security Perimeter (Perimetro di sicurezza di rete) in Impostazioni selezionare Risorse associate.

  2. Selezionare l'account di archiviazione.

  3. Selezionare Modifica modalità di accesso.

  4. Selezionare Imposto e quindi Salva.

    Screenshot che mostra come modificare la modalità di accesso di un account di archiviazione associato a un perimetro di sicurezza di rete nel portale di Azure.

Convalida post-imposizione

In seguito all'imposizione, monitorare attentamente l'ambiente per eventuali traffico bloccato che potrebbero indicare configurazioni errate. Verificare che la configurazione di Griglia di eventi non sia interessata esaminando le metriche di sottoscrizione dell'argomento di sistema griglia di eventi.

Usare i log di diagnostica per analizzare e risolvere eventuali problemi che si verificano. Esaminare le metriche sull'account di archiviazione (ingresso ed errori della coda) e Griglia di eventi (esito positivo del recapito) per verificare la ricerca di eventuali errori. Eseguire il rollback alla modalità di transizione se si verificano interruzioni e si ripete l'analisi usando i log di diagnostica.

Impostare Protetto per perimetro nell'account di archiviazione (facoltativo)

L'impostazione dell'account di archiviazione su Protetto da perimetro garantisce che tutto il traffico verso l'account di archiviazione venga valutato in base alle regole del perimetro di sicurezza di rete e blocchi l'accesso alla rete pubblica.

  1. Passare all'account di archiviazione.

  2. In Sicurezza e rete selezionare Rete.

  3. In Accesso alla rete pubblica selezionare Gestisci.

  4. Impostare Protetto per perimetro (con restrizioni maggiori).

  5. Seleziona Salva.

Screenshot che mostra come impostare un account di archiviazione su

Passaggi successivi

In questo articolo si è appreso come abilitare la sicurezza di rete nelle risorse di archiviazione integrate con il connettore di archiviazione Azure. Per altre informazioni, vedere gli articoli sul perimetro della sicurezza di rete .

  • Last updated on