Поделиться через

Включите сетевую безопасность для BLOB-коннекторов Azure Storage

В этой статье приводятся пошаговые инструкции по включению сетевой безопасности ресурсов хранилища, интегрированных с соединителем службы хранилища Azure. Периметр безопасности сети Azure (NSP) — это встроенная функция Azure, которая создает границу логической изоляции для ресурсов PaaS. Связывание ресурсов, таких как учетные записи хранения или базы данных с NSP, позволяет централизованно управлять доступом к сети с помощью упрощенного набора правил. Дополнительные сведения см. в разделе Концепции периметра сетевой безопасности.

Необходимые условия

Перед включением сетевой безопасности создайте ресурсы соединителя. См. статью "Настройка соединителя службы хранения Azure" для передачи журналов в Microsoft Sentinel, включая системную тему Event Grid, используемую для передачи событий создания BLOB-объектов в очередь Azure Storage.

Чтобы завершить эту настройку, убедитесь, что у вас есть следующие разрешения:

  • Владелец подписки или Участник может создавать ресурсы периметра безопасности сети.
  • Участник учетной записи хранения для связывания учетной записи хранения с NSP.
  • Администратор доступа к учетной записи хранения или владелец должны назначить роли RBAC управляемой идентичности в Event Grid.
  • Участник Event Grid для включения управляемой идентификации и управления подписками на события.

Включение сетевой безопасности

Чтобы включить сетевую безопасность ресурсов хранилища, интегрированных с соединителем службы хранилища Azure, создайте периметр безопасности сети (NSP), свяжите с ней учетную запись хранения и настройте правила, чтобы разрешить трафик из сетки событий и других необходимых источников, блокируя несанкционированный доступ. Чтобы завершить настройку, выполните следующие действия.

Создание периметра безопасности сети

  1. На портале Azure найдите периметры безопасности сети

  2. Нажмите кнопку "Создать".

  3. Выберите подписку и группу ресурсов.

  4. Введите имя, например storageblob-connectors-nsp

  5. Выберите Регион. Регион должен быть тем же регионом, что и учетная запись хранения.

  6. Введите имя профиля или примите значение по умолчанию. Профиль определяет набор правил, применяемых к связанным ресурсам. Вы можете использовать несколько профилей в одном NSP, чтобы применить разные правила к разным ресурсам, если это необходимо.

  7. Выберите Проверить и создать, а затем Создать.

    Снимок экрана: создание периметра безопасности сети на портале Azure.

Связывание учетной записи хранения с периметром безопасности сети

  1. Откройте созданный ресурс периметра безопасности сети на портале Azure.

  2. Выберите профили, а затем выберите имя профиля, которое вы использовали при создании ресурса NSP.

  3. Выберите связанные ресурсы.

  4. Нажмите кнопку "Добавить".

  5. Найдите и добавьте учетную запись хранения, а затем нажмите кнопку "Выбрать".

  6. Выберите Связать.

По умолчанию для режима доступа задано значение "Переход ", что позволяет проверить конфигурацию перед применением ограничений.

Снимок экрана: связывание учетной записи хранения с периметром безопасности сети на портале Azure.

Включение System-Assigned Identity в системную тему Event Grid

  1. В учетной записи хранения перейдите на вкладку "События ".

  2. Выберите системный раздел , используемый для потоковой передачи событий создания BLOB-объектов в очередь хранилища.

    Снимок экрана: вкладка

  3. Выберите Идентификатор.

  4. На вкладке "Назначаемая системой" установите "Состояние" в "Включено".

  5. Нажмите кнопку "Сохранить", а затем скопируйте идентификатор объекта управляемого удостоверения для последующего использования.

    Снимок экрана, демонстрирующий создание управляемого удостоверения для системной темы Event Grid в портале Azure.

Предоставление разрешений RBAC в компоненте 'Очередь хранилища'

  1. Перейдите к учетной записи хранения.

  2. Выберите Управление доступом (IAM).

  3. Нажмите кнопку "Добавить".

  4. Найдите и выберите роль Отправитель сообщений в очереди данных хранилища (контекст: учетная запись хранилища).

  5. Перейдите на вкладку "Члены" и выберите участников.

  6. В панели "Выбор элементов" вставьте идентификатор объекта для управляемого удостоверения системной темы Event Grid, созданного на предыдущем шаге.

  7. Выберите управляемое удостоверение и нажмите кнопку "Выбрать".

  8. Выберите Проверить + Назначить, чтобы завершить назначение роли. Снимок экрана: назначение роли отправителя сообщений данных очереди хранилища управляемому удостоверению на портале Azure.

Включение управляемой идентичности для подписки на события

  1. Откройте системный раздел сетки событий.

  2. Выберите подписку на события, предназначенную для очереди.

  3. Перейдите на вкладку Дополнительные параметры.

  4. Задайте тип управляемого удостоверенияназначаемого системой.

  5. Нажмите Сохранить.

  6. Просмотрите метрики подписки Event Grid, чтобы подтвердить успешную публикацию сообщений в очередь хранилища после обновления.

Скриншот, показывающий включение управляемого удостоверения для подписки Event Grid в Azure Portal.

Настройка правил входящего доступа в профиле периметра безопасности сети

Для того чтобы разрешить сетке событий доставку сообщений в учетную запись хранения и одновременно блокировать несанкционированный доступ, необходимы следующие правила. В зависимости от системы отправки данных в учетную запись хранения или доступа к ресурсам хранилища может потребоваться добавить дополнительные правила для входящего трафика. Просмотрите ваш сценарий и шаблоны трафика, чтобы безопасно применить необходимые правила и учтите время на распространение правил.

Правило 1. Разрешить подписку (доставка сетки событий)

Доставка в службе Event Grid не исходит от фиксированных общедоступных IP-адресов. NSP проверяет доставку с помощью удостоверения подписки.

  1. Перейдите к периметру безопасности сети и выберите NSP.

  2. Выберите профили и выберите профиль, связанный с учетной записью хранения.

  3. Выберите правила для входящего доступа и нажмите кнопку "Добавить".

    Снимок экрана: страница правил для входящего доступа на портале Azure.

  4. Введите имя правила, например Allow-Subscription.

  5. Выберите подписку из раскрывающегося списка "Исходный тип".

  6. Выберите подписку из раскрывающегося списка "Разрешенные источники ".

  7. Чтобы создать правило, выберите Добавить.

    Снимок экрана: создание правила входящего доступа для разрешения подписки на портале Azure.

Замечание

Правила могут появиться в списке через несколько минут после создания.

Правило 2. Разрешить диапазоны IP-адресов службы scuba

  1. Создайте второе правило доступа для входящего трафика.

  2. Введите имя правила, например Allow-Scuba.

  3. Выберите диапазоны IP-адресов в раскрывающемся списке "Исходный тип ".

  4. Откройте страницу загрузки идентификатора сервиса.

  5. Выберите облако, например Общедоступную службу Azure.

  6. Нажмите кнопку "Скачать " и откройте скачанный файл, чтобы получить список диапазонов IP-адресов.

  7. Scuba Найдите тег службы и скопируйте связанные диапазоны IPv4.

  8. Вставьте диапазоны IPv4 в поле "Разрешенные источники" после удаления всех кавычки и конечных запятых.

  9. Чтобы создать правило, выберите Добавить.

    Это важно

    Удалите кавычки из диапазонов IP-адресов и убедитесь, что на последней записи нет конечных запятых, прежде чем вставить их в поле "Разрешенные источники". Диапазоны тегов службы обновляются со временем; обновляйте их регулярно, чтобы правила оставались актуальными.

    Снимок экрана: часть файла ServiceTags_Public.json с выделенными тегами службы scuba и диапазонами IPv4.

Проверка и применение

После настройки правил отслеживайте журналы диагностики для периметра безопасности сети, чтобы убедиться, что допустимый трафик разрешен и нет сбоев. Убедившись, что правила правильно разрешают необходимый трафик, можно переключиться с режима перехода на режим принудительного доступа, чтобы заблокировать несанкционированный доступ.

Режим перехода

Включите журналы диагностики периметра безопасности сети и просмотрите собранные данные телеметрии для проверки шаблонов связи перед применением. Дополнительные сведения см. в журналах диагностики периметра безопасности сети.

Режим принудительного выполнения

После успешной проверки задайте для режима доступа значение "Принудительно ", как показано ниже.

  1. На странице периметра безопасности сети в разделе "Параметры" выберите "Связанные ресурсы".

  2. Выберите учетную запись хранилища.

  3. Выберите "Изменить режим доступа".

  4. Выберите Принудительно и Сохранить.

    Снимок экрана: изменение режима доступа учетной записи хранения, связанной с периметром безопасности сети на портале Azure.

Проверка после принудительного применения

После применения внимательно отслеживайте среду на предмет заблокированного трафика, который может указывать на ошибочные настройки. Проверьте, что конфигурация сетки событий не подверглась влиянию, просмотрев метрики подписки системной темы сетки событий.

Используйте журналы диагностики для изучения и устранения возникающих проблем. Просмотрите метрики учетной записи хранилища (входящий трафик очереди и ошибки) и Event Grid (успешность доставки), чтобы проверить наличие ошибок. Возврат к режиму перехода при любых сбоях и повторное исследование с помощью журналов диагностики.

Установка защищенного периметра в учетной записи хранения (необязательно)

Настройка учетной записи хранения на защиту периметром гарантирует, что весь трафик в учетную запись хранения оценивается по правилам периметра сетевой безопасности и блокируется доступ с общедоступной сети.

  1. Перейдите к учетной записи хранения.

  2. В разделе "Безопасность и сеть" выберите "Сеть".

  3. В разделе "Доступ к общедоступной сети" выберите "Управление".

  4. Установите Защищено периметром (максимально ограничено)

  5. Нажмите Сохранить.

Снимок экрана, на котором показано, как настроить учетную запись хранения на портале Azure в качестве защищенной по периметру.

Дальнейшие действия

Из этой статьи вы узнали, как включить сетевую безопасность ресурсов хранилища, интегрированных с соединителем службы хранилища Azure. Дополнительные сведения см. в статьях по периметру безопасности сети .

  • Last updated on