Теги службы виртуальной сети
Тег службы представляет группу префиксов IP-адресов из определенной службы Azure. Корпорация Майкрософт управляет префиксами адресов, входящих в тег службы, и автоматически обновляет этот тег при изменении адресов, сводя к минимуму сложность частых обновлений правил сетевой безопасности.
Внимание
Хотя теги служб упрощают возможность включения списков контроль доступа на основе IP-адресов (ACL), теги службы не достаточно для защиты трафика, не учитывая характер службы и трафик, который он отправляет. Дополнительные сведения о списках управления доступом на основе IP-адресов см. в разделе "Что такое список управления доступом на основе IP-адресов(ACL)?".
Дополнительные сведения о характере трафика можно найти далее в этой статье для каждой службы и их тега. Важно убедиться, что вы знакомы с трафиком, который можно разрешить при использовании тегов служб для списков управления доступом на основе IP-адресов. Рассмотрите возможность добавления уровней безопасности для защиты среды.
Теги службы можно использовать, чтобы определить элементы управления доступом к сети для групп безопасности сети, Брандмауэра Azure и определяемых пользователем маршрутов. Теги службы можно использовать вместо определенных IP-адресов при создании правил безопасности и маршрутов. Указав имя тега службы (например, ApiManagement) в соответствующем поле источника или назначения для правила безопасности, можно разрешить или запретить трафик для соответствующей службы. Указав имя тега службы в префиксе адреса маршрута, можно маршрутизировать трафик, предназначенный для любого из префиксов, инкапсулированных тегом службы, в нужный тип следующего прыжка.
Теги службы можно использовать для обеспечения изоляции сети и защиты ресурсов Azure от общего доступа через Интернет при доступе к службам Azure, имеющим общедоступные конечные точки. Создайте правила группы безопасности сети для входящих и исходящих подключений, чтобы запретить передачу трафика Интернета и разрешить входящий и исходящий трафик AzureCloud или других доступных тегов служб Azure.
Доступные теги службы
В следующей таблице перечислены все теги службы, доступные для использования в правилах группы безопасности сети.
Столбцы указывают на следующее:
- Подходит ли тег для правил, охватывающих входящий или исходящий трафик.
- Поддерживает ли тег региональные области.
- Можно ли использовать в правилах Брандмауэра Azure только в качестве правила назначения для входящего или исходящего трафика.
По умолчанию теги службы отображают диапазоны для всего облака. Некоторые теги службы также обеспечивают более детализированный контроль за счет запрета соответствующих диапазонов IP-адресов для указанного региона. Например, тег службы Storage представляет службу хранилища Azure для всего облака, тогда как тег Storage.WestUS ограничивает диапазон только диапазонами IP-адресов хранилища из региона WestUS. В приведенной ниже таблице показано, поддерживает ли каждый тег службы такую региональную область, а направление, указанное для каждого тега, является рекомендацией. Например, тег AzureCloud может использоваться для разрешения входящего трафика. В большинстве сценариев мы не рекомендуем разрешать трафик со всех IP-адресов Azure, так как IP-адреса, используемые другими клиентами Azure, включены в тег службы.
| Тег | Характер использования | Может ли использовать входящий или исходящий трафик? | Может быть региональным? | Можно ли использовать с Брандмауэром Azure? |
|---|---|---|---|---|
| ActionGroup | Группа действий. | Входящий трафик | No | Да |
| ApiManagement | Трафик управления для развертываний, выделенных для управления API Azure. Примечание. Этот тег представляет конечную точку службы "Управление API Azure" для уровня управления для каждого региона. Тег позволяет клиентам выполнять операции управления с API-интерфейсами, операциями, политиками, именованными значениями, настроенными в службе "Управление API". |
Входящий трафик | Да | Да |
| ApplicationInsightsAvailability | Проверка доступности Application Insights. | Входящий трафик | No | Да |
| AppConfiguration | Конфигурация приложений. | Исходящие | No | Да |
| AppService | Служба приложений Azure; Этот тег рекомендуется для правил безопасности исходящего трафика для веб-приложений и приложений-функций. Примечание. Этот тег не включает IP-адреса, назначенные при использовании SSL на основе IP-адресов (назначаемый приложением адрес). |
Исходящий | Да | Да |
| AppServiceManagement | Трафик управления для развертываний, выделенных для Среды службы приложений. | И то, и другое | No | Да |
| AzureActiveDirectory | Идентификатор Microsoft Entra. | Исходящие | No | Да |
| AzureActiveDirectoryDomainServices | Трафик управления для развертываний, предназначенных для доменных служб Microsoft Entra. | И то, и другое | No | Да |
| AzureAdvancedThreatProtection | Microsoft Defender для удостоверений. | Исходящие | No | Да |
| AzureArcInfrastructure | Серверы с поддержкой Azure Arc, Kubernetes с поддержкой Azure Arc и трафик гостевой конфигурации. Примечание. Этот тег зависит от тегов AzureActiveDirectory, AzureTrafficManager и AzureResourceManager. |
Исходящие | No | Да |
| AzureAttestation | Аттестация Azure выполняет перечисленные ниже функции. | Исходящие | No | Да |
| AzureBackup | Azure Backup. Примечание. Этот тег зависит от тегов Storage и AzureActiveDirectory. |
Исходящие | No | Да |
| AzureBotService | Служба Azure Bot. | И то, и другое | No | Да |
| AzureCloud | Все общедоступные IP-адреса центра обработки данных. Этот тег не включает IPv6. | И то, и другое | Да | Да |
| AzureCognitiveSearch | Поиск по искусственному интеллекту Azure. Этот тег задает диапазоны IP-адресов мультитенантных сред выполнения, используемых службой поиска для индексирования на основе индексатора. Примечание. IP-адрес самой службы поиска не охватывается этим тегом службы. В конфигурации брандмауэра ресурса Azure следует указать тег службы, а также конкретный IP-адрес самой службы поиска. |
Входящий трафик | No | Да |
| AzureConnectors | Этот тег представляет IP-адреса для управляемых соединителей, которые выполняют обратные вызовы входящего веб-перехватчика в службу Azure Logic Apps и исходящие вызовы соответствующих служб, таких как служба хранилища Azure или Центры событий Azure. | И то, и другое | Да | Да |
| AzureContainerAppsService | Служба приложений контейнеров Azure | И то, и другое | Да | Нет |
| AzureContainerRegistry | Реестр контейнеров Azure. | Исходящий | Да | Да |
| AzureCosmosDB | Azure Cosmos DB. | Исходящий | Да | Да |
| AzureDatabricks | Azure Databricks. | И то, и другое | No | Да |
| AzureDataExplorerManagement | Управление обозревателем Azure Data Explorer. | Входящий трафик | No | Да |
| AzureDeviceUpdate | Обновление устройств для Центра Интернета вещей. | И то, и другое | No | Да |
| AzureDevOps | Azure DevOps. | Входящий трафик | Да | Да |
| AzureDigitalTwins | Azure Digital Twins. Примечание. Этот тег или IP-адреса, охватываемые этим тегом, можно использовать для ограничения доступа к конечным точкам, настроенным для маршрутов событий. |
Входящий трафик | No | Да |
| AzureEventGrid | Сетка событий Azure. | И то, и другое | No | Да |
| AzureFrontDoor.Frontend AzureFrontDoor.Backend AzureFrontDoor.FirstParty |
Тег службы frontend содержит IP-адреса, используемые клиентами для доступа к Front Door. Вы можете применить тег службы AzureFrontDoor.Frontend , если вы хотите контролировать исходящий трафик, который может подключаться к службам за Azure Front Door. Тег серверной службы содержит IP-адреса, которые Azure Front Door использует для доступа к источникам. Этот тег службы можно применить при настройке безопасности для источников. FirstParty — это специальный тег, зарезервированный для выбранной группы службы Майкрософт размещенной в Azure Front Door. | И то, и другое | Да | Да |
| AzureHealthcareAPIs | IP-адреса, охватываемые этим тегом, можно использовать для ограничения доступа к службам данных о работоспособности Azure. | И то, и другое | No | Да |
| AzureInformationProtection | Azure Information Protection. Примечание. Этот тег зависит от тегов AzureActiveDirectory, AzureFrontDoor.Frontend и AzureFrontDoor.FirstParty. |
Исходящие | No | Да |
| AzureIoTHub | Центр Интернета вещей Azure. | Исходящий | Да | Да |
| AzureKeyVault | Azure Key Vault. Примечание. Этот тег зависит от тега AzureActiveDirectory. |
Исходящий | Да | Да |
| AzureLoadBalancer. | Подсистема балансировки нагрузки инфраструктуры Azure. Этот тег преобразуется в виртуальный IP-адрес узла (168.63.129.16), из которого поступают пробы работоспособности Azure. Сюда входит только пробный а не реальный трафик к вашему серверному ресурсу. Если Azure Load Balancer не используется, это правило можно переопределить. | И то, и другое | No | No |
| AzureMachineLearningInference | Этот тег службы используется для ограничения входящего трафика общедоступной сети в сценариях вывода, управляемых частной сетью. | Входящий трафик | No | Да |
| AzureManagedGrafana | Конечная точка управляемого экземпляра Grafana Azure. | Исходящие | No | Да |
| AzureMonitor | Log Analytics, Application Insights, рабочая область Azure Monitor, AzMon и пользовательские метрики (конечные точки GiG). Примечание. Для Log Analytics также требуется тег Storage. Если используются агенты Linux, также требуется тег GuestAndHybridManagement. |
Исходящие | No | Да |
| AzureOpenDatasets | Открытые наборы данных Azure. Примечание. Этот тег зависит от тегов AzureFrontDoor.Frontend и Storage. |
Исходящие | No | Да |
| AzurePlatformDNS | Служба DNS базовой инфраструктуры (по умолчанию). Этот тег можно использовать для отключения DNS по умолчанию. Это тег следует использовать с осторожностью. Ознакомьтесь с рекомендациями по использованию платформы Azure. Также рекомендуется протестировать этот тег, прежде чем использовать его. |
Исходящие | No | No |
| AzurePlatformIMDS | Служба метаданных экземпляров Azure (IMDS), которая является базовой службой инфраструктуры. Этот тег можно использовать для отключения IMDS по умолчанию. Это тег следует использовать с осторожностью. Ознакомьтесь с рекомендациями по использованию платформы Azure. Также рекомендуется протестировать этот тег, прежде чем использовать его. |
Исходящие | No | No |
| AzurePlatformLKM | Лицензирование Windows или служба управления ключами. С помощью этого тега можно отключить значения по умолчанию для лицензирования. Это тег следует использовать с осторожностью. Ознакомьтесь с рекомендациями по использованию платформы Azure. Также рекомендуется протестировать этот тег, прежде чем использовать его. |
Исходящие | No | No |
| AzureResourceManager | Azure Resource Manager. | Исходящие | No | Да |
| AzureSentinel | Microsoft Sentinel. | Входящий трафик | No | Да |
| AzureSignalR | Служба Azure SignalR. | Исходящие | No | Да |
| AzureSiteRecovery | Azure Site Recovery. Примечание. Этот тег зависит от тегов AzureActiveDirectory, AzureKeyVault, EventHub, GuestAndHybridManagement и Storage. |
Исходящие | No | Да |
| AzureSphere | Этот тег или IP-адреса, охватываемые этим тегом, можно использовать для ограничения доступа к службам безопасности Azure Sphere. | И то, и другое | No | Да |
| AzureSpringCloud | Разрешить трафик приложениям, размещенным в Azure Spring Apps. | Исходящие | No | Да |
| AzureStack | Службы моста Azure Stack. Этот тег представляет конечную точку службы Azure Stack Bridge в каждом регионе. |
Исходящие | No | Да |
| AzureTrafficManager | IP-адреса пробы Диспетчера трафика Azure. Дополнительные сведения об IP-адресах пробы Диспетчера трафика см. в статье Диспетчер трафика Azure: вопросы и ответы. |
Входящий трафик | No | Да |
| AzureUpdateDelivery | Тег службы доставки обновлений Azure, используемый для доступа к Обновл. Windows, помечается как нерекомендуемый и в будущем будет выведен из эксплуатации. Клиентам рекомендуется не использовать зависимость от этого тега службы и для клиентов, уже использующих его, рекомендуется перенести на один из следующих вариантов: настройка Брандмауэр Azure для устройств Windows 10/11 как описано: • Управление конечными точками подключения для Windows 11 Корпоративная • Управление конечными точками подключения для Windows 10 Корпоративная версии 21H2 Развертывание плана развертывания служб обновления Windows Server (WSUS) для обновления виртуальных машин Windows в Azure и перейдите к шагу 2. Настройка WSUS |
Исходящие | No | Да |
| AzureWebPubSubSub | AzureWebPubSubSub | И то, и другое | Да | Да |
| BatchNodeManagement | Трафик управления для развертываний, выделенных для пакетной службы Azure. | И то, и другое | Да | Да |
| ChaosStudio | Azure Chaos Studio. Примечание. Если вы включили интеграцию Application Insights с агентом Chaos, также требуется тег AzureMonitor. |
И то, и другое | No | Да |
| CognitiveServicesFrontend | Диапазоны адресов для трафика внешних порталов служб ИИ Azure. | И то, и другое | No | Да |
| CognitiveServicesManagement | Диапазоны адресов для трафика для служб ИИ Azure. | И то, и другое | No | Да |
| DataFactory | Azure Data Factory | И то, и другое | Да | Да |
| DataFactoryManagement | Трафик управления для Фабрики данных Azure. | Исходящие | No | Да |
| Dynamics365ForMarketingEmail | Диапазоны адресов для службы маркетинговой электронной почты Dynamics 365. | И то, и другое | Да | Да |
| Dynamics365BusinessCentral | Этот тег или IP-адреса, охваченные этим тегом, можно использовать для ограничения доступа к Dynamics 365 бизнес-службам. | И то, и другое | No | Да |
| EOPExternalPublishedIPs | Этот тег представляет IP-адреса, используемые для Powershell Центра безопасности и соответствия требованиям. Дополнительные сведения см. в статье Подключение к PowerShell Центра безопасности и соответствия требованиям с помощью модуля EXO V2. | И то, и другое | No | Да |
| EventHub | . | Исходящий | Да | Да |
| GatewayManager | Трафик управления для развертываний, выделенных для VPN-шлюза Azure и шлюза приложений. | Входящий трафик | No | No |
| GuestAndHybridManagement | Служба автоматизации Azure и гостевая конфигурация. | Исходящие | No | Да |
| HDInsight | Azure HDInsight. | Входящий трафик | Да | Да |
| Интернет | Пространство IP-адресов, которые находятся за пределами виртуальной сети и к которым можно получить доступ из общедоступного сегмента Интернета. К этим адресам относится общедоступное пространство IP-адресов, принадлежащее Azure. |
И то, и другое | No | No |
| KustoAnalytics | Kusto Analytics. | И то, и другое | No | No |
| LogicApps | Logic Apps. | И то, и другое | No | Да |
| LogicAppsManagement | Трафик управления для Logic Apps. | Входящий трафик | No | Да |
| M365ManagementActivityApi | API действий управления Office 365 предоставляет сведения о различных пользователях, администраторах, системах и событиях политики и событиях из журналов действий Office 365 и Microsoft Entra. Клиенты и партнеры могут использовать эти сведения для создания новых или улучшения существующих корпоративных решений для отслеживания операций, безопасности и соответствия требованиям. Примечание. Этот тег зависит от тега AzureActiveDirectory. |
Исходящий | Да | Да |
| M365ManagementActivityApiWebhook | Уведомления отправляются в веб-перехватчик, настроенный для подписки, по мере появления нового содержимого. | Входящий трафик | Да | Да |
| MicrosoftAzureFluidRelay | Этот тег представляет IP-адреса, используемые для сервера Microsoft Azure Fluid Relay. Примечание. Этот тег имеет зависимость от тега AzureFrontDoor.Frontend. |
Исходящие | No | Да |
| MicrosoftCloudAppSecurity | Microsoft Defender for Cloud Apps. | Исходящие | No | Да |
| MicrosoftDefenderForEndpoint | Microsoft Defender для конечной точки основных служб. Примечание. Устройства должны быть подключены с упрощенным подключением и соответствовать требованиям, чтобы использовать этот тег службы. Defender для конечной точки или сервера требует дополнительных тегов службы, таких как OneDSCollector, для поддержки всех функций. Дополнительные сведения см. в разделе "Подключение устройств" с помощью упрощенного подключения для Microsoft Defender для конечной точки |
И то, и другое | No | Да |
| PowerBI | Серверные службы и конечные точки API платформы Power BI. Примечание. Не включает интерфейсные конечные точки в данный момент (например, app.powerbi.com). Доступ к внешним конечным точкам должен предоставляться с помощью тега AzureCloud (исходящий трафик, HTTPS, может быть региональным). |
И то, и другое | No | Да |
| PowerPlatformInfra | Этот тег представляет IP-адреса, используемые инфраструктурой для размещения служб Power Platform. | И то, и другое | Да | Да |
| PowerPlatformPlex | Этот тег представляет IP-адреса, используемые инфраструктурой, для размещения выполнения расширения Power Platform от имени клиента. | И то, и другое | Да | Да |
| PowerQueryOnline | Power Query Online. | И то, и другое | No | Да |
| Скуба | Соединители данных для продуктов безопасности Майкрософт (Sentinel, Defender и т. д.). | Входящий трафик | No | No |
| SerialConsole | Ограничение доступа к загрузочным учетным записям хранения диагностика только из тега службы последовательной консоли | Входящий трафик | No | Да |
| Служебная шина | Трафик служебной шины Azure, использующий уровень служб "Премиум". | Исходящий | Да | Да |
| Service Fabric | Azure Service Fabric. Примечание. Этот тег представляет конечную точку службы Service Fabric для уровня управления для каждого региона. Это позволяет клиентам выполнять операции управления для своих кластеров Service Fabric из конечной точки виртуальной сети. (Например, https:// westus.servicefabric.azure.com). |
И то, и другое | No | Да |
| SQL | База данных SQL Azure, База данных Azure для MySQL отдельный сервер, База данных Azure для PostgreSQL отдельный сервер, База данных Azure для MariaDB и Azure Synapse Analytics. Примечание. Этот тег представляет службу, но не определенные экземпляры службы. Например, тег представляет службу "База данных SQL Microsoft Azure", но не определенную базу данных или сервер SQL Azure. Этот тег не применяется к управляемому экземпляру SQL. |
Исходящий | Да | Да |
| SqlManagement | Трафик управления для развертываний, выделенных для SQL. | И то, и другое | No | Да |
| Память | служба хранилища Azure; Примечание. Этот тег представляет службу, но не определенные экземпляры службы. Например, тег представляет службу хранилища Azure, но не определенную учетную запись хранения Azure. |
Исходящий | Да | Да |
| StorageSyncService | Служба синхронизации хранилища. | И то, и другое | No | Да |
| StorageMover | Перемещение хранилища. | Исходящий | Да | Да |
| WindowsAdminCenter | Разрешает серверной службе Windows Admin Center взаимодействовать с установкой Windows Admin Center пользователей. | Исходящие | No | Да |
| WindowsVirtualDesktop | Виртуальный рабочий стол Azure (ранее — виртуальный рабочий стол Windows). | И то, и другое | No | Да |
| VideoIndexer | Службах мультимедиа Azure. Используется для предоставления клиентам возможности открытия NSG в службе индексатора видео и получения обратных вызовов в службу. |
И то, и другое | No | Да |
| VirtualNetwork; | Адресное пространство виртуальной сети (все диапазоны IP-адресов, определенные для виртуальной сети), все адресное пространство подключенных локальных сетей, пиринговые виртуальные сети, виртуальные сети, подключенные к шлюзу виртуальной сети, виртуальный IP-адрес узла и префиксы адресов, используемые в определенных пользователем маршрутах. Этот тег также может содержать маршруты по умолчанию. | И то, и другое | No | Нет |
Примечание.
При использовании тегов службы с Брандмауэром Azure можно создавать только правила назначения для входящего и исходящего трафика. Правила источника не поддерживаются. Дополнительные сведения см. в документе Теги службы Брандмауэра Azure.
Теги службы для служб Azure обозначают используемые префиксы адресов из определенного облака. Например, базовые диапазоны IP-адресов, соответствующие значению тега Sql в общедоступном облаке Azure, будут отличаться от базовых диапазонов в Microsoft Azure, управляемом облаком 21Vianet.
Если вы реализуете конечную точку службы для виртуальной сети для службы, такой как служба хранилища Azure или "База данных SQL Azure", Azure добавляет для нее маршрут в подсеть виртуальной сети. Префиксы адресов для маршрута — это те же префиксы или диапазоны CIDR, которые заданы в теге соответствующей службы.
Поддерживаемые теги в классической модели развертывания
В классической модели развертывания (до Azure Resource Manager) поддерживается небольшое подмножество тегов, перечисленных в предыдущей таблице. Теги в классической модели развертывания написаны по-другому, как показано в таблице ниже.
| Тег Resource Manager | Соответствующий тег в классической модели развертывания |
|---|---|
| AzureLoadBalancer. | AZURE_LOADBALANCER |
| Интернет | INTERNET |
| VirtualNetwork; | VIRTUAL_NETWORK |
Теги, неподдерживаемые для определяемых пользователем маршрутов (UDR)
Ниже приведен список тегов, которые в настоящее время не поддерживаются для использования с пользовательскими маршрутами (UDR).
AzurePlatformDNS
AzurePlatformIMDS
AzurePlatformLKM
Виртуальная сеть
AzureLoadBalancer
Интернет
Теги служб в локальной среде
Вы можете получить текущий тег службы и сведения о диапазоне, которые будут включены в конфигурации локального брандмауэра. Эта информация является актуальным списком точек во времени для диапазонов IP-адресов, соответствующих каждому тегу службы. Эти сведения можно получить программно или скачав файл JSON, как описано в следующих разделах.
Использование API обнаружения тегов служб
Актуальный список тегов служб вместе со сведениями о диапазоне IP-адресов можно получить программным способом:
Например, чтобы получить все префиксы для тега службы хранилища, можно использовать следующие командлеты PowerShell:
$serviceTags = Get-AzNetworkServiceTag -Location eastus2
$storage = $serviceTags.Values | Where-Object { $_.Name -eq "Storage" }
$storage.Properties.AddressPrefixes
Примечание.
- Данные API, представляющие эти теги, можно использовать с правилами группы безопасности сети в вашем регионе. Используйте данные API в качестве источника истины для доступных тегов служб, так как они могут отличаться от данных в скачиваемом файле JSON.
- На распространение новых данных тегов служб в результатах API по всем регионам требуется до 4 недель. Из-за этого результаты данных API могут быть не синхронизированы со скачиваемым JSON-файлом, так как данные API представляют подмножество тегов в скачиваемом JSON-файле.
- Нужно пройти проверку подлинности и иметь роль с разрешениями на чтение для текущей подписки.
Обнаружение тегов службы с помощью скачиваемых файлов JSON
Вы можете скачать файлы JSON, которые содержат актуальный список тегов служб вместе со сведениями о диапазоне IP-адресов. Эти списки обновляются и публикуются еженедельно. Расположения для каждого облака:
Диапазоны IP-адресов в этих файлах даны в нотации CIDR.
В следующих тегах AzureCloud имена регионов имеют формат, отличающийся от обычной схемы.
AzureCloud.centralfrance (FranceCentral)
AzureCloud.southfrance (FranceSouth)
AzureCloud.germanywc (GermanyWestCentral)
AzureCloud.germanyn (GermanyNorth)
AzureCloud.norwaye (NorwayEast)
AzureCloud.norwayw (NorwayWest)
AzureCloud.switzerlandn (SwitzerlandNorth)
AzureCloud.switzerlandw (SwitzerlandWest)
AzureCloud.usstagee (EastUSSTG)
AzureCloud.usstagec (SouthCentralUSSTG)
AzureCloud.бразилия (БразилияSoutheast)
Совет
Наличие обновления можно отслеживать по увеличению значения changeNumber в файле JSON. Для каждого подраздела (например, Storage.WestUS) имеется собственное значение changeNumber, которое увеличивается по мере появления изменений. Значение changeNumber в файле увеличивается при изменении любого из подразделов.
Примеры синтаксического анализа сведений о теге службы (например, получение всех диапазонов адресов для хранилища в WestUS) см. в документации по API обнаружения тегов служб PowerShell.
Добавленные в теги службы новые IP-адреса не будут использоваться в Azure по крайней мере в течение одной недели. Это дает время на обновление любых систем, которым может потребоваться отслеживание IP-адресов, связанных с тегами службы.
Следующие шаги
- Узнайте, как создать группу безопасности сети.