Delen via

Netwerkbeveiliging inschakelen voor Azure Storage-blobconnectors

Dit artikel bevat stapsgewijze instructies voor het inschakelen van netwerkbeveiliging op de opslagbronnen die zijn geïntegreerd met uw Azure Storage-connector. Azure Network Security Perimeter (NSP) is een systeemeigen Azure-functie waarmee een logische isolatiegrens voor uw PaaS-resources wordt gemaakt. Door resources zoals opslagaccounts of databases te koppelen aan een NSP, kunt u netwerktoegang centraal beheren met behulp van een vereenvoudigde regelset. Zie Network-beveiligingsperimeterconcepten voor meer informatie.

Vereiste voorwaarden

Voordat u netwerkbeveiliging inschakelt, moet u de connectorresources maken. Zie Uw Azure Storage-connector instellen voor het streamen van logboeken naar Microsoft Sentinel, inclusief het Event Grid-systeemonderwerp dat wordt gebruikt voor het streamen van gebeurtenissen voor het maken van blobs naar de Azure Storage-wachtrij.

Zorg ervoor dat u over de volgende machtigingen beschikt om deze installatie te voltooien:

  • Abonnementseigenaar of Inzender voor het maken van perimeterbronnen voor netwerkbeveiliging.
  • Bijdrager voor opslagaccounts om het opslagaccount te koppelen aan de NSP.
  • Beheerder of eigenaar van opslagaccount voor gebruikerstoegang om RBAC-rollen toe te wijzen aan de beheerde Identiteit van Event Grid.
  • Event Grid-inzender om beheerde identiteiten in te schakelen en gebeurtenisabonnementen te beheren.

Netwerkbeveiliging inschakelen

Als u netwerkbeveiliging wilt inschakelen voor de opslagbronnen die zijn geïntegreerd met uw Azure Storage-connector, maakt u een netwerkbeveiligingsperimeter (NSP), koppelt u het opslagaccount eraan en configureert u de regels om verkeer van Event Grid en andere vereiste bronnen toe te staan terwijl onbevoegde toegang wordt geblokkeerd. Gebruik de volgende stappen om de configuratie te voltooien.

Een netwerkbeveiligingsperimeter maken

  1. Zoek in Azure Portal naar netwerkbeveiligingsperimeter

  2. Klik op Creëren.

  3. Selecteer een abonnement en resourcegroep.

  4. Voer bijvoorbeeld De naam in storageblob-connectors-nsp

  5. Selecteer een regio. De regio moet dezelfde regio zijn als het opslagaccount.

  6. Voer een profielnaam in of accepteer de standaardwaarde. Het profiel definieert de set regels die worden toegepast op gekoppelde resources. U kunt meerdere profielen binnen één NSP hebben om indien nodig verschillende regels toe te passen op verschillende resources.

  7. Selecteer Beoordelen en maken en vervolgens Maken.

    Een schermopname van het maken van een netwerkbeveiligingsperimeter in Azure Portal.

Het opslagaccount koppelen aan de netwerkbeveiligingsperimeter

  1. Open de zojuist gemaakte netwerkbeveiligingsperimeterresource in Azure Portal.

  2. Selecteer Profielen en selecteer vervolgens de profielnaam die u hebt gebruikt bij het maken van de NSP-resource.

  3. Selecteer Gekoppelde middelen.

  4. Selecteer Toevoegen.

  5. Zoek en voeg uw opslagaccount toe en selecteer Vervolgens Selecteren.

  6. Klik op Associate.

De toegangsmodus is standaard ingesteld op Overgang , zodat u de configuratie kunt valideren voordat u beperkingen afdwingt.

Een schermopname die laat zien hoe u een opslagaccount koppelt aan de netwerkbeveiligingsperimeter in Azure Portal.

System-Assigned-identiteit inschakelen in Event Grid-systeemonderwerp

  1. Navigeer vanuit uw opslagaccount naar het tabblad Gebeurtenissen .

  2. Selecteer het systeemonderwerp dat wordt gebruikt om gebeurtenissen voor het maken van blobs naar de opslagwachtrij te streamen.

    Een schermopname van het tabblad Gebeurtenis voor opslagaccounts in Azure Portal.

  3. Selecteer Identiteit.

  4. Stel op het tabblad Systeem toegewezen de status in op Aan.

  5. Selecteer Opslaan en kopieer de object-id van de beheerde identiteit voor later gebruik.

    Een schermopname van het maken van een beheerde identiteit voor een Event Grid-systeemonderwerp in Azure Portal.

RBAC-machtigingen toekennen aan de Storage Queue

  1. Navigeer naar uw opslagaccount.

  2. Selecteer Toegangsbeheer (IAM).

  3. Selecteer Toevoegen.

  4. Zoek en selecteer de rol Afzender van opslagwachtrijgegevensbericht (bereik: het opslagaccount).

  5. Selecteer het tabblad Leden en kies vervolgens leden.

  6. Plak in het deelvenster Selecteer leden de object-id voor de beheerde identiteit van het Event Grid-systeemonderwerp dat u in de vorige stap hebt gemaakt.

  7. Selecteer de beheerde identiteit en selecteer vervolgens Selecteren.

  8. Selecteer Beoordelen en toewijzen om de roltoewijzing te voltooien. Een schermafbeelding die de toewijzing van de rol 'Storage Queue Data Message Sender' aan een beheerde identiteit in de Azure portal laat zien.

Beheerde identiteit inschakelen voor het gebeurtenisabonnement

  1. Open het Event Grid-systeemonderwerp.

  2. Selecteer het gebeurtenisabonnement dat is gericht op de wachtrij.

  3. Selecteer het tabblad Aanvullende instellingen .

  4. Stel het type beheerde identiteitin op Door het systeem toegewezen.

  5. Selecteer Opslaan.

  6. Controleer de metrische gegevens van het Event Grid-abonnement en bevestig dat berichten met succes naar de opslagwachtrij zijn gepubliceerd na deze update.

Een schermopname van het inschakelen van beheerde identiteiten voor een Event Grid-abonnement in Azure Portal.

Regels voor binnenkomende toegang configureren in het perimeterprofiel voor netwerkbeveiliging

De volgende regels zijn vereist om Event Grid toe te staan berichten aan het opslagaccount te leveren terwijl onbevoegde toegang wordt geblokkeerd. Afhankelijk van het systeem dat gegevens naar het opslagaccount verzendt of toegang heeft tot de opslagbronnen, moet u mogelijk extra regels voor inkomend verkeer toevoegen. Controleer uw scenario en verkeerspatronen om de benodigde regels veilig toe te passen en tijd te bieden voor het doorgeven van regels.

Regel 1: Het abonnement toestaan (Event Grid-levering)

Event Grid-levering is niet afkomstig van vaste openbare IP-adressen. De NSP valideert levering met behulp van abonnementsidentiteit.

  1. Navigeer naar de perimeter van de netwerkbeveiliging en selecteer uw NSP.

  2. Selecteer Profielen en selecteer vervolgens het profiel dat is gekoppeld aan uw opslagaccount.

  3. Selecteer Regels voor binnenkomende toegang en selecteer vervolgens Toevoegen.

    Een schermopname van de pagina Regels voor binnenkomende toegang in Azure Portal.

  4. Voer bijvoorbeeld een Allow-Subscription in.

  5. Selecteer Abonnement in de vervolgkeuzelijst Brontype .

  6. Selecteer uw abonnement in de vervolgkeuzelijst Toegestane bronnen .

  7. Selecteer Toevoegen om de regel te maken.

    Een schermopname van het maken van een regel voor binnenkomende toegang om een abonnement in Azure Portal toe te staan.

Opmerking

Het kan enkele minuten duren voordat regels in de lijst worden weergegeven nadat ze zijn gemaakt.

Regel 2: IP-adresbereiken van de Scuba-service toestaan

  1. Maak een tweede regels voor binnenkomende toegang.

  2. Voer bijvoorbeeld een Allow-Scuba in.

  3. Selecteer IP-adresbereiken in de vervolgkeuzelijst Brontype .

  4. Open de downloadpagina van de servicetag .

  5. Selecteer uw cloud, bijvoorbeeld Openbaar in Azure.

  6. Selecteer de knop Downloaden en open het gedownloade bestand om de lijst met IP-bereiken op te halen.

  7. Zoek de Scuba servicetag en kopieer de bijbehorende IPv4-bereiken.

  8. Plak de IPv4-bereiken in het veld Toegestane bronnen nadat u aanhalingstekens en volgkomma's hebt verwijderd.

  9. Selecteer Toevoegen om de regel te maken.

    Belangrijk

    Verwijder de aanhalingstekens uit de IP-bereiken en zorg ervoor dat er geen volgkomma op de laatste vermelding staat voordat u deze plakt in het veld Toegestane bronnen . Service-tagbereiken worden in de loop van de tijd bijgewerkt; vernieuw regelmatig om regels actueel te houden.

    Een schermopname van een deel van het ServiceTags_Public.json-bestand met de Scuba-servicetag en IPv4-bereiken gemarkeerd.

Valideren en afdwingen

Nadat u de regels hebt geconfigureerd, controleert u de diagnostische logboeken voor de netwerkbeveiligingsperimeter om te controleren of legitiem verkeer is toegestaan en er geen onderbrekingen zijn. Zodra u hebt bevestigd dat de regels het benodigde verkeer correct toestaan, kunt u overschakelen van de overgangsmodus naar de modus Afgedwongen om onbevoegde toegang te blokkeren.

Overgangsmodus

Schakel diagnostische logboeken voor netwerkbeveiligingsperimeter in en controleer verzamelde telemetrie om communicatiepatronen te valideren voordat ze worden afgedwongen. Zie Diagnostische logboeken voor netwerkbeveiligingsperimeter voor meer informatie.

Afdwingingsmodus toepassen

Als de validatie is geslaagd, stelt u de toegangsmodus als volgt in op Afgedwongen :

  1. Selecteer gekoppelde resources op de pagina Netwerkbeveiligingsperimeter onder Instellingen.

  2. Selecteer het opslagaccount.

  3. Selecteer De toegangsmodus wijzigen.

  4. Selecteer Afgedwongen en vervolgens Opslaan.

    Een schermopname van het wijzigen van de toegangsmodus van een opslagaccount dat is gekoppeld aan een netwerkbeveiligingsperimeter in Azure Portal.

Validatie na toepassing

Controleer na afdwingen de omgeving nauwkeurig op geblokkeerd verkeer dat kan duiden op onjuiste configuraties. Controleer of de configuratie van Event Grid niet wordt beïnvloed door de metrieken van de abonnementen van het Event Grid-systeemonderwerp te bekijken.

Gebruik de diagnostische logboeken om eventuele problemen te onderzoeken en op te lossen. Controleer de metrische gegevens voor het opslagaccount (inkomend verkeer en fouten in de wachtrij) en Event Grid (geslaagde levering) om te valideren op eventuele fouten. Ga terug naar de overgangsmodus als u onderbrekingen ondervindt en onderzoek herhaalt met behulp van de diagnostische logboeken.

Beveiligd door perimeter instellen op het opslagaccount (optioneel)

Als u het opslagaccount instelt op Beveiligd door perimeter , zorgt u ervoor dat al het verkeer naar het opslagaccount wordt geëvalueerd volgens de regels voor de netwerkbeveiligingsperimeter en dat de toegang tot het openbare netwerk wordt geblokkeerd.

  1. Navigeer naar uw opslagaccount.

  2. Selecteer Netwerken onder Beveiliging + netwerken.

  3. Onder Openbare netwerktoegang, selecteer Beheren.

  4. Ingesteld beveiligd door perimeter (meest beperkt).

  5. Selecteer Opslaan.

Een schermopname die laat zien hoe u een opslagaccount instelt op Beveiligd door perimeter in Azure Portal.

Volgende stappen 

In dit artikel hebt u geleerd hoe u netwerkbeveiliging inschakelt voor de opslagbronnen die zijn geïntegreerd met uw Azure Storage-connector. Zie de artikelen netwerkbeveiligingsperimeter voor meer informatie.

  • Last updated on