Włączanie zabezpieczeń sieci dla łączników obiektów blob usługi Azure Storage

Ten artykuł zawiera instrukcje krok po kroku dotyczące włączania zabezpieczeń sieci w zasobach magazynu zintegrowanych z łącznikiem usługi Azure Storage. Azure obwód zabezpieczeń sieci (NSP) to funkcja natywna dla Azure, która tworzy granicę izolacji logicznej dla zasobów PaaS. Kojarząc zasoby, takie jak konta magazynu lub bazy danych z NSP, można centralnie zarządzać dostępem do sieci przy użyciu uproszczonego zestawu reguł. Aby uzyskać więcej informacji, zobacz Pojęcia dotyczące obwodu zabezpieczeń sieci.

Wymagania wstępne

Przed włączeniem zabezpieczeń sieci utwórz zasoby łącznika. Zobacz Konfigurowanie łącznika usługi Azure Storage w celu przesyłania strumieniowego dzienników do Microsoft Sentinel, w tym temat systemu usługi Event Grid używany do strumieniowego przesyłania zdarzeń tworzenia obiektów blob do kolejki usługi Azure Storage.

Aby ukończyć tę konfigurację, upewnij się, że masz następujące uprawnienia:

• Właściciel lub współautor subskrypcji w celu utworzenia zasobów obwodowych zabezpieczeń sieci.
• Współautor konta magazynu, aby skojarzyć konto magazynu z NSP.
• Administrator dostępu użytkowników konta magazynu lub właściciel w celu przypisania ról RBAC do tożsamości zarządzanej usługi Event Grid.
• Współautor usługi Event Grid w celu włączenia tożsamości zarządzanej i zarządzania subskrypcjami zdarzeń.

Włączanie zabezpieczeń sieci

Aby włączyć zabezpieczenia sieci dla zasobów magazynu zintegrowanych z łącznikiem usługi Azure Storage, utwórz sieciowy obwód zabezpieczeń (NSP), skojarz z nim konto magazynu i skonfiguruj reguły zezwalające na ruch z usługi Event Grid i innych wymaganych źródeł, blokując nieautoryzowany dostęp. Wykonaj następujące kroki, aby ukończyć konfigurację.

Tworzenie obwodu zabezpieczeń sieci

1. W Azure Portal wyszukaj pozycję Sieciowe obwody zabezpieczeń

2. Wybierz pozycję Utwórz.

3. Wybierz subskrypcję i grupę zasobów.

4. Wprowadź nazwę, na przykład storageblob-connectors-nsp

5. Wybierz region. Region musi być tym samym regionem co konto magazynu.

6. Wprowadź nazwę profilu lub zaakceptuj wartość domyślną. Profil definiuje zestaw reguł, które są stosowane do skojarzonych zasobów. Można mieć wiele profilów w ramach jednego dostawcy NSP, aby zastosować różne reguły do różnych zasobów, jeśli jest to wymagane.

7. Wybierz pozycję Przejrzyj i utwórz , a następnie pozycję Utwórz.

   

Kojarzenie konta magazynu z obwodem zabezpieczeń sieci

1. Otwórz nowo utworzony zasób network security perimeter w Azure Portal.

2. Wybierz pozycję Profile, a następnie wybierz nazwę profilu użytą podczas tworzenia zasobu NSP.

3. Wybierz pozycję Skojarzone zasoby.

4. Wybierz opcję Dodaj.

5. Wyszukaj i dodaj konto magazynu, a następnie wybierz pozycję Wybierz.

6. Wybierz pozycję Skojarz.

Tryb dostępu jest domyślnie ustawiony na wartość Przejście , co umożliwia zweryfikowanie konfiguracji przed wymuszeniem ograniczeń.

Włączanie tożsamości System-Assigned w temacie dotyczącym systemu usługi Event Grid

1. Na koncie magazynu przejdź do karty Zdarzenia .

2. Wybierz temat systemowy używany do przesyłania strumieniowego zdarzeń tworzenia obiektów blob do kolejki magazynu.

   

3. Wybierz pozycję Tożsamość.

4. Na karcie Przypisane przez system ustaw wartość Stanna Włączone.

5. Wybierz pozycję Zapisz, a następnie skopiuj identyfikator obiektu tożsamości zarządzanej do późniejszego użycia.

   

Udzielanie uprawnień kontroli dostępu opartej na rolach w kolejce magazynu

1. Przejdź do konta magazynu.

2. Wybierz pozycję Access Control (IAM).

3. Wybierz opcję Dodaj.

4. Wyszukaj i wybierz rolę nadawcy komunikatów o danych kolejki magazynu (zakres: konto magazynu).

5. Wybierz kartę Członkowie, a następnie wybierz członków.

6. W okienku Wybieranie członków wklej identyfikator obiektu dla tożsamości zarządzanej systemu usługi Event Grid utworzonej w poprzednim kroku.

7. Wybierz tożsamość zarządzana, a następnie wybierz pozycję Wybierz.

8. Wybierz pozycję Przejrzyj i przypisz , aby ukończyć przypisanie roli.

Włączanie tożsamości zarządzanej w subskrypcji zdarzeń

1. Otwórz temat systemowy usługi Event Grid.

2. Wybierz subskrypcję zdarzeń, która jest przeznaczona dla kolejki.

3. Wybierz kartę Ustawienia dodatkowe .

4. Ustaw typ tożsamości zarządzanej na przypisany przez system.

5. Wybierz Zapisz.

6. Przejrzyj metryki subskrypcji usługi Event Grid, aby sprawdzić, czy komunikaty zostały pomyślnie opublikowane w kolejce magazynu po tej aktualizacji.

Konfigurowanie reguł dostępu przychodzącego w profilu obwodowym zabezpieczeń sieci

Poniższe reguły są wymagane, aby umożliwić usłudze Event Grid dostarczanie komunikatów do konta magazynu przy jednoczesnym zablokowaniu nieautoryzowanego dostępu. W zależności od systemu wysyłającego dane do konta magazynu lub uzyskującego dostęp do zasobów magazynu może być konieczne dodanie dodatkowych reguł ruchu przychodzącego. Przejrzyj scenariusz i wzorce ruchu, aby bezpiecznie zastosować niezbędne reguły i dać czas na propagację reguł.

Reguła 1. Zezwalaj na subskrypcję (dostarczanie usługi Event Grid)

Dostarczanie usługi Event Grid nie pochodzi ze stałych publicznych adresów IP. Dostawca NSP weryfikuje dostarczanie przy użyciu tożsamości subskrypcji.

1. Przejdź do obszaru Obwód zabezpieczeń sieci i wybierz swój NSP.

2. Wybierz pozycję Profile, a następnie wybierz profil skojarzony z kontem magazynu.

3. Wybierz pozycję Reguły dostępu przychodzącego , a następnie wybierz pozycję Dodaj.

   

4. Wprowadź nazwę reguły, na przykład Allow-Subscription.

5. Wybierz pozycję Subskrypcja z listy rozwijanej Typ źródła .

6. Wybierz subskrypcję z listy rozwijanej Dozwolone źródła .

7. Wybierz pozycję Dodaj , aby utworzyć regułę.

   

Uwaga

Wyświetlenie reguł na liście po utworzeniu może potrwać kilka minut.

Reguła 2. Zezwalaj na zakresy adresów IP usługi Scuba

1. Utwórz drugą regułę dostępu przychodzącego.

2. Wprowadź nazwę reguły, na przykład Allow-Scuba.

3. Wybierz pozycję Zakresy adresów IP z listy rozwijanej Typ źródła .

4. Otwórz stronę pobierania tagu usługi .

5. Wybierz chmurę, na przykład Azure Public.

6. Wybierz przycisk Pobierz i otwórz pobrany plik, aby uzyskać listę zakresów adresów IP.

7. Scuba Znajdź tag usługi i skopiuj skojarzone zakresy IPv4.

8. Wklej zakresy IPv4 do pola Dozwolone źródła po usunięciu cudzysłowów i przecinków końcowych.

9. Wybierz pozycję Dodaj , aby utworzyć regułę.

   Ważna

   Usuń cudzysłowy z zakresów adresów IP i upewnij się, że nie ma przecinka końcowego w ostatnim wpisie przed wklejeniem ich do pola Dozwolone źródła . Zakresy tagów usługi są aktualizowane w czasie; regularnie odświeżać, aby zachować bieżące reguły.

   

Weryfikowanie i wymuszanie

Po skonfigurowaniu reguł monitoruj dzienniki diagnostyczne dla obwodu zabezpieczeń sieci, aby sprawdzić, czy dozwolony jest legalny ruch i czy nie ma żadnych zakłóceń. Po potwierdzeniu, że reguły prawidłowo zezwalają na wymagany ruch, możesz przełączyć się z trybu przejścia na tryb wymuszony, aby zablokować nieautoryzowany dostęp.

Tryb przejścia

Włącz dzienniki diagnostyczne obwodu zabezpieczeń sieci i przejrzyj zebrane dane telemetryczne, aby zweryfikować wzorce komunikacji przed wy wymuszaniem. Aby uzyskać więcej informacji, zobacz Dzienniki diagnostyczne dla obwodu zabezpieczeń sieci.

Zastosuj tryb wymuszania

Po pomyślnym walidacji ustaw tryb dostępu na wymuszony w następujący sposób:

1. Na stronie Obwód zabezpieczeń sieciowych w obszarze Ustawienia wybierz pozycję Skojarzone zasoby.

2. Wybierz konto magazynu.

3. Wybierz pozycję Zmień tryb dostępu.

4. Wybierz pozycję Wymuszone, a następnie pozycję Zapisz.

   

Weryfikacja po wykonaniu wymuszania

Po wy wymuszaniu dokładnie monitoruj środowisko pod kątem zablokowanego ruchu, który może wskazywać na błędną konfigurację. Sprawdź, czy nie ma to wpływu na konfigurację usługi Event Grid, przeglądając metryki subskrypcji tematu systemu usługi Event Grid.

Użyj dzienników diagnostycznych, aby zbadać i rozwiązać wszelkie występujące problemy. Przejrzyj metryki na koncie magazynu (ruch przychodzący i błędy kolejki) i usługę Event Grid (powodzenie dostarczania), aby sprawdzić poprawność pod kątem błędów. Wróć do trybu przejścia, jeśli wystąpi jakiekolwiek zakłócenie i powtórzysz badanie przy użyciu dzienników diagnostycznych.

Ustawienie zabezpieczone przez obwód na koncie magazynu (opcjonalnie)

Ustawienie konta magazynu na zabezpieczone przez obwód gwarantuje, że cały ruch do konta magazynu jest oceniany zgodnie z regułami obwodu zabezpieczeń sieci i blokuje dostęp do sieci publicznej.

1. Przejdź do konta magazynu.

2. W obszarze Zabezpieczenia i sieć wybierz pozycję Sieć.

3. W obszarze Dostęp do sieci publicznej wybierz pozycję Zarządzaj.

4. Ustaw ustawienie Zabezpieczone za pomocą obwodu (najbardziej ograniczone).

5. Wybierz Zapisz.

Następne kroki

W tym artykule przedstawiono sposób włączania zabezpieczeń sieci dla zasobów magazynu zintegrowanych z łącznikiem usługi Azure Storage. Aby uzyskać więcej informacji, zobacz artykuły Network Security Perimeter (Obwód zabezpieczeń sieci ).

• Przejrzyj reguły połączeń danych w programie data-connection-rules-reference-azure-storage.md.
• Rozwiązywanie problemów z siecią łączników w programie azure-storage-blob-connector-troubleshoot.md.