Zasady punktu końcowego usługi dla sieci wirtualnej dla usługi Azure Storage

  • Artykuł

Zasady punktu końcowego usługi dla sieci wirtualnej umożliwiają filtrowanie ruchu sieciowego wychodzącego do kont usługi Azure Storage za pośrednictwem punktu końcowego usługi i zezwalanie na eksfiltrację danych tylko do określonych kont usługi Azure Storage. Zasady punktu końcowego zapewniają szczegółową kontrolę dostępu dla ruchu sieci wirtualnej do usługi Azure Storage podczas nawiązywania połączenia za pośrednictwem punktu końcowego usługi.

Diagram of Securing Virtual network outbound traffic to Azure Storage accounts.

Ta funkcja jest ogólnie dostępna dla usługi Azure Storage we wszystkich regionach globalnych platformy Azure.

Główne korzyści

Zasady punktu końcowego usługi dla sieci wirtualnej zapewniają następujące korzyści:

  • Ulepszone zabezpieczenia ruchu sieci wirtualnej do usługi Azure Storage

    Tagi usługi platformy Azure dla sieciowych grup zabezpieczeń umożliwiają ograniczenie ruchu wychodzącego sieci wirtualnej do określonych regionów usługi Azure Storage. Jednak ten proces umożliwia ruch do dowolnego konta w wybranym regionie usługi Azure Storage.

    Zasady punktu końcowego umożliwiają określenie kont usługi Azure Storage, które są dozwolone, dostęp wychodzący sieci wirtualnej i ogranicza dostęp do wszystkich pozostałych kont magazynu. Ten proces zapewnia znacznie bardziej szczegółową kontrolę zabezpieczeń na potrzeby ochrony eksfiltracji danych z sieci wirtualnej.

  • Skalowalne zasady o wysokiej dostępności umożliwiające filtrowanie ruchu w usługach platformy Azure

    Zasady punktu końcowego zapewniają skalowalne w poziomie, wysoce dostępne rozwiązanie, które umożliwia filtrowanie ruchu w usługach platformy Azure z sieci wirtualnych za pośrednictwem punktów końcowych usługi. Do obsługi centralnych urządzeń sieciowych dla tego ruchu w sieciach wirtualnych nie jest wymagane żadne dodatkowe obciążenie.

Obiekt JSON dla zasad punktu końcowego usługi

Przyjrzyjmy się obiektowi zasad punktu końcowego usługi.

"serviceEndpointPolicyDefinitions": [
    {
            "description": null,
            "name": "MySEP-Definition",
            "resourceGroup": "MySEPDeployment",
            "service": "Microsoft.Storage",
            "serviceResources": [ 
                    "/subscriptions/subscriptionID/resourceGroups/MySEPDeployment/providers/Microsoft.Storage/storageAccounts/mystgacc"
            ],
            "type": "Microsoft.Network/serviceEndpointPolicies/serviceEndpointPolicyDefinitions"
    }
]

Konfigurowanie

  • Zasady punktu końcowego można skonfigurować tak, aby ograniczyć ruch sieci wirtualnej do określonych kont usługi Azure Storage.

  • Zasady punktu końcowego są konfigurowane w podsieci sieci wirtualnej. Punkty końcowe usługi dla usługi Azure Storage powinny być włączone w podsieci, aby zastosować zasady.

  • Zasady punktu końcowego umożliwiają dodawanie określonych kont usługi Azure Storage do listy dozwolonych przy użyciu formatu resourceID. Możesz ograniczyć dostęp do:

    • Wszystkie konta magazynu w subskrypcji
      E.g. /subscriptions/subscriptionId

    • Wszystkie konta magazynu w grupie zasobów
      E.g. subscriptions/subscriptionId/resourceGroups/resourceGroupName

    • Pojedyncze konto magazynu, wyświetlając odpowiedni identyfikator resourceId usługi Azure Resource Manager. Obejmuje to ruch do obiektów blob, tabel, kolejek, plików oraz usługi Azure Data Lake Storage Gen2.
      E.g. /subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.Storage/storageAccounts/storageAccountName

  • Domyślnie, jeśli żadne zasady nie są dołączone do podsieci z punktami końcowymi, możesz uzyskać dostęp do wszystkich kont magazynu w usłudze. Po skonfigurowaniu zasad w tej podsieci tylko zasoby określone w zasadach będą dostępne z wystąpień obliczeniowych w tej podsieci. Odmowa dostępu do wszystkich innych kont magazynu.

  • Po zastosowaniu zasad punktu końcowego usługi w podsieci zakres punktu końcowego usługi Azure Storage zostanie uaktualniony z regionu do globalnego. Ten proces oznacza, że cały ruch do usługi Azure Storage jest zabezpieczony za pośrednictwem punktu końcowego usługi. Zasady punktu końcowego usługi mają również zastosowanie globalnie. Wszystkie konta magazynu, które nie są jawnie dozwolone, są blokowane.

  • Do podsieci możesz zastosować wiele zasad. Gdy wiele zasad jest skojarzonych z podsiecią, ruch sieci wirtualnej do zasobów określonych w dowolnej z tych zasad jest dozwolony. Odmowa dostępu do wszystkich innych zasobów usługi, które nie zostały określone w żadnej z zasad.

Uwaga

Zasady punktu końcowego usługi są zasadami zezwalania, więc oprócz określonych zasobów wszystkie inne zasoby są ograniczone. Upewnij się, że wszystkie zależności zasobów usługi dla aplikacji są identyfikowane i wymienione w zasadach.

  • W zasadach punktu końcowego można określić tylko konta magazynu korzystające z modelu zasobów platformy Azure. Klasyczne konta usługi Azure Storage nie obsługują zasad punktu końcowego usługi platformy Azure.

  • Dostęp pomocniczy RA-GRS jest automatycznie dozwolony, jeśli na liście znajduje się konto podstawowe.

  • Konta magazynu mogą znajdować się w tej samej lub innej subskrypcji lub dzierżawie microsoft Entra co sieć wirtualna.

Scenariusze

  • Sieci wirtualne połączone równorzędnie, połączone sieci wirtualne lub wiele sieci wirtualnych: aby odfiltrować ruch w połączonych równorzędnie sieciach wirtualnych, należy zastosować zasady punktu końcowego indywidualnie do tych sieci wirtualnych.

  • Filtrowanie ruchu internetowego za pomocą urządzeń sieciowych lub usługi Azure Firewall: filtrowanie ruchu usługi platformy Azure przy użyciu zasad, za pośrednictwem punktów końcowych usługi i filtrowanie reszty ruchu internetowego lub azure za pośrednictwem urządzeń lub usługi Azure Firewall.

  • Filtrowanie ruchu w usługach platformy Azure wdrożonych w sieciach wirtualnych: obecnie zasady punktu końcowego usługi platformy Azure nie są obsługiwane w przypadku żadnych zarządzanych usług platformy Azure wdrożonych w sieci wirtualnej.

  • Filtrowanie ruchu do usług platformy Azure ze środowiska lokalnego: zasady punktu końcowego usługi mają zastosowanie tylko do ruchu z podsieci związanych z zasadami. Aby umożliwić dostęp do konkretnych zasobów usługi platformy Azure ze środowisk lokalnych, ruch należy filtrować przy użyciu wirtualnych urządzeń sieciowych lub zapór.

Rejestrowanie i rozwiązywanie problemów

Nie ma dostępnego centralnego rejestrowania dla zasad punktu końcowego usługi. Aby uzyskać informacje o dziennikach zasobów usługi, zobacz Rejestrowanie punktów końcowych usługi.

Scenariusze rozwiązywania problemów

  • Odmowa dostępu do kont magazynu, które działały w wersji zapoznawczej (nie w regionie sparowanym geograficznie)

    • W przypadku uaktualniania usługi Azure Storage do używania tagów usługi globalnej zakres punktu końcowego usługi i w związku z tym zasady punktu końcowego usługi są teraz globalne. W związku z tym każdy ruch do usługi Azure Storage jest szyfrowany za pośrednictwem punktów końcowych usługi, a tylko konta magazynu, które są jawnie wymienione w zasadach, są dozwolone.

    • Jawnie zezwalaj na listę wszystkich wymaganych kont magazynu w celu przywrócenia dostępu.

    • Skontaktuj się z pomocą techniczną platformy Azure.

  • Odmowa dostępu dla kont wymienionych w zasadach punktu końcowego

    • Filtrowanie przez sieciowe grupy zabezpieczeń lub zaporę może blokować dostęp

    • Jeśli usunięcie/ponowne zastosowanie zasad powoduje utratę połączenia:

      • Sprawdź, czy usługa platformy Azure jest skonfigurowana tak, aby zezwalała na dostęp z sieci wirtualnej za pośrednictwem punktów końcowych, czy też domyślne zasady dla zasobu mają ustawioną wartość Zezwalaj na wszystko.

      • Sprawdź, czy diagnostyka usługi pokazuje ruch przez punkty końcowe.

      • Sprawdź, czy dzienniki przepływu sieciowej grupy zabezpieczeń oraz dzienniki magazynu pokazują oczekiwany dostęp za pośrednictwem punktów końcowych usługi.

      • Skontaktuj się z pomocą techniczną platformy Azure.

  • Odmowa dostępu dla kont niewymienionych w zasadach punktu końcowego usługi

    • Sprawdź, czy usługa Azure Storage jest skonfigurowana tak, aby zezwalała na dostęp z sieci wirtualnej za pośrednictwem punktów końcowych, czy też domyślne zasady dla zasobu mają ustawioną wartość Zezwalaj na wszystko.

    • Upewnij się, że konta nie są klasycznymi kontami magazynu z zasadami punktu końcowego usługi w podsieci.

  • Zarządzana usługa platformy Azure przestała działać po zastosowaniu zasad punktu końcowego usługi w podsieci

    • Usługi zarządzane inne niż azure SQL Managed Instance nie są obecnie obsługiwane w przypadku punktów końcowych usługi.

  • Dostęp do zarządzanych kont magazynu przestał działać po zastosowaniu zasad punktu końcowego usługi w podsieci

    • Zarządzane konta magazynu nie są obsługiwane przy użyciu zasad punktu końcowego usługi. W przypadku skonfigurowania zasady domyślnie odmawiają dostępu do wszystkich zarządzanych kont magazynu. Jeśli aplikacja potrzebuje dostępu do zarządzanych kont magazynu, zasady punktu końcowego nie powinny być używane dla tego ruchu.

Inicjowanie obsługi

Użytkownik z dostępem do zapisu w sieci wirtualnej konfiguruje zasady punktu końcowego usługi w podsieciach. Dowiedz się więcej na temat wbudowanych ról na platformie Azure i przypisywania określonych uprawnień do ról niestandardowych.

Sieci wirtualne i konta usługi Azure Storage mogą znajdować się w tych samych lub różnych subskrypcjach lub dzierżawach firmy Microsoft Entra.

Ograniczenia

  • Możesz wdrożyć zasady punktu końcowego usługi tylko dla sieci wirtualnych wdrożonych za pomocą modelu wdrażania przy użyciu usługi Azure Resource Manager.

  • Sieci wirtualne muszą znajdować się w tym samym regionie co zasady punktu końcowego usługi.

  • Zasady punktu końcowego usługi możesz zastosować wobec podsieci tylko wtedy, gdy dla usług platformy Azure wymienionych w zasadach zostały skonfigurowane punkty końcowe usługi.

  • Nie możesz użyć zasad punktu końcowego usługi w przypadku ruchu z sieci lokalnej do usług platformy Azure.

  • Usługi zarządzane platformy Azure inne niż usługa Azure SQL Managed Instance nie obsługują obecnie zasad punktu końcowego. To ograniczenie obejmuje usługi zarządzane wdrożone w podsieciach udostępnionych (takich jak Azure Batch, Microsoft Entra Domain Services, aplikacja systemu Azure Gateway, Azure VPN Gateway, Azure Firewall) lub w dedykowanych podsieciach (takich jak aplikacja systemu Azure Service Environment, Azure Redis Cache, Azure API Management, klasyczne usługi zarządzane).

Ostrzeżenie

Usługi platformy Azure wdrożone w sieci wirtualnej, np. usługa Azure HDInsight, uzyskują dostęp do innych usług platformy Azure, np. do usługi Azure Storage, w związku z wymaganiami infrastruktury. Ograniczenie zasad punktu końcowego do wybranych zasobów może uniemożliwić dostęp do tych zasobów infrastruktury dla usług platformy Azure wdrożonych w sieci wirtualnej.

  • Klasyczne konta magazynu nie są obsługiwane w zasadach punktu końcowego. Zasady domyślnie odmawiają dostępu do wszystkich klasycznych kont magazynu. Jeśli aplikacja potrzebuje dostępu do usługi Azure Resource Manager i klasycznych kont magazynu, zasady punktu końcowego nie powinny być używane dla tego ruchu.

Ceny i limity

Za korzystanie z zasad punktu końcowego usługi nie są naliczane dodatkowe opłaty. Do punktów końcowych usługi stosowany jest bieżący model cen usług platformy Azure (takich jak Azure Storage).

Następujące limity są wymuszane w zasadach punktu końcowego usługi:

Zasób Limit domyślny
ServiceEndpointPoliciesPerSubscription 500
ServiceEndpointPoliciesPerSubnet 100
ServiceEndpointPoliciesPerVirtualNetwork 100
ServiceResourcesPerServiceEndpointPolicyDefinition 200

Następne kroki