Aracılığıyla paylaş


Azure Veri Gezgini kümenizden giden erişimi kısıtlama

Veri sızdırma gibi riskleri azaltmak için kümenize giden erişimi kısıtlamak önemlidir. Kötü amaçlı bir aktör potansiyel olarak bir depolama hesabına dış tablo oluşturabilir ve büyük miktarlarda veri ayıklayabilir. Belirtme çizgisi ilkeleri tanımlayarak küme düzeyinde giden erişimi denetleyebilirsiniz. Belirtme çizgisi ilkelerinin yönetilmesi, belirtilen SQL, depolama veya diğer uç noktalara giden erişime izin vermenizi sağlar.

Bu makalede, kümenizdeki çağrıları daha fazla kısıtlamanıza olanak tanıyan belirtme çizgisi ilkeleri uzantısı hakkında bilgi edineceksiniz.

Belirtme çizgisi ilkeleri türleri

Belirtme çizgisi ilkeleri aşağıdaki gibi bölünebilir:

  • Sabit belirtme çizgisi ilkeleri: Bunlar bir kümenin standart ilkeleridir. Bunlar önceden yapılandırılmıştır ve değiştirilemez.
  • Küme belirtme çizgisi ilkeleri: Bunlar, belirtme çizgisi ilkesi komutlarını kullanarak değiştirebileceğiniz ilkelerdir.

Önkoşullar

Açıklama balonu ilkesi komutlarını çalıştırma

  1. Azure Veri Gezgini web kullanıcı arabiriminde oturum açın.

  2. Soldaki menüde Sorgu'yu seçin ve kümenize bağlanın.

  3. Kümenizdeki sabit belirtme çizgisi ilkelerinin listesini incelemek için sorgu penceresinde aşağıdaki sorguyu çalıştırın:

    .show cluster policy callout
    

    Sabit belirtme çizgisi ilkelerini gösteren kısıtlı sorgu sayfasının ekran görüntüsü.

Aşağıda sabit belirtme çizgisi ilkeleri örneği gösterilmektedir. Listede dış veriler gibi diğer hizmetlere çağrı yapılmasına izin veren birkaç varsayılan kural olduğuna dikkat edin.

[
   {
      "CalloutType":"kusto",
      "CalloutUriRegex":"[a-z0-9]{3,22}\\.(\\w+\\.)?kusto(mfa)?\\.windows\\.net/?$",
      "CanCall":true
   },
   {
      "CalloutType":"kusto",
      "CalloutUriRegex":"//[a-z0-9]{3,22}\\.[a-z0-9-]{1,50}\\.(kusto\\.azuresynapse|kustodev\\.azuresynapse-dogfood)\\.net/?$",
      "CanCall":true
   },
   {
      "CalloutType":"kusto",
      "CalloutUriRegex":"^https://([A-Za-z0-9]+\\.)?(ade|adx)\\.(int\\.)?(applicationinsights|loganalytics|monitor)\\.(io|azure(\\.com|\\.us|\\.cn))/",
      "CanCall":true
   },
   {
      "CalloutType":"sql",
      "CalloutUriRegex":"[a-z0-9][a-z0-9\\-]{0,61}[a-z0-9]?\\.database\\.windows\\.net/?$",
      "CanCall":true
   },
   {
      "CalloutType":"sql",
      "CalloutUriRegex":"[a-z0-9-]{0,61}?(-ondemand)?\\.sql\\.azuresynapse(-dogfood)?\\.net/?$",
      "CanCall":true
   },
   {
      "CalloutType":"external_data",
      "CalloutUriRegex":".*",
      "CanCall":true
   },
   {
      "CalloutType":"azure_digital_twins",
      "CalloutUriRegex":"[A-Za-z0-9\\-]{3,63}\\.api\\.[A-Za-z0-9]+\\.digitaltwins\\.azure\\.net/?$",
      "CanCall":true
   }
]

Sabit açıklama balonu ilkeleri listesini boşaltma

Kümenizden giden erişimi kısıtlamak için sabit belirtme çizgisi ilkeleri listesini boşaltmanız gerekir. Azure CLI'yı veya azure Veri Gezgini API'lerini çağırarak diğer araçları kullanarak aşağıdaki komutu çalıştırarak bunu yapabilirsiniz.

  1. Güncelleştirilmiş arm şablonuyla Azure CLI kullanarak ARM dağıtımını tetikleyin:

    restrictOutboundNetworkAccess özelliğinin Etkin olarak ayarlandığı "template.json" adlı örnek ARM şablon dosyası:

    {
      "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
      "contentVersion": "1.0.0.0",
      ...
      "resources": [
          {
              "type": "Microsoft.Kusto/Clusters",
              "apiVersion": "2021-02-01",
              ...
              "properties": {
                  ...
                  "restrictOutboundNetworkAccess": "Enabled",
                  ...
              }
          }
          ...
      ]
    }
    

    Yukarıdaki şablona başvuran Azure CLI kullanan örnek çağrı.

    # Replace the <...> placeholders with the correct values
    az deployment group create   --name RestrictOutboundAccess   --resource-group <resource group>   --template-file ./template.json
    

    Küme özelliğinin restrictOutboundNetworkAccess güncelleştirilmesi, kümenizdeki tüm sabit ilkeleri kaldırır. Bu, aşağıdaki örnekte gösterildiği gibi diğer hizmetlere çağrı başlatmayı engeller.

    Sabit belirtme çizgisi ilkeleri hatasını gösteren kısıtlı sorgu sayfasının ekran görüntüsü.

  2. Aşağıdaki komutu yeniden çalıştırın ve boş bir liste döndürdüğünü doğrulayın:

    .show cluster policy callout 
    | where EntityType == "Cluster immutable policy"
    

    Sabit belirtme çizgisi ilkelerini gösteren kısıtlı sorgu sayfasının ekran görüntüsü.

Kısıtlı koşullar altında açıklama balonlarına FQDN'ler ekleme

Belirli bir FQDN'ye giden erişime izin vermek istiyorsanız, kümenizin allowedFqdnList listesine ekleyebilirsiniz. Azure Veri Gezgini kümesinin ARM şablonunda değişiklik yaparak bunu çalıştırarak yapabilirsiniz.

  1. Güncelleştirilmiş arm şablonuyla Azure CLI kullanarak ARM dağıtımını tetikleyin:

    allowedFqdnList özelliğinin ["some.sql.azuresynapse.net", "..."] olarak ayarlandığı "template.json" adlı örnek ARM şablon dosyası:

    {
      "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
      "contentVersion": "1.0.0.0",
      ...
      "resources": [
          {
              "type": "Microsoft.Kusto/Clusters",
              "apiVersion": "2021-02-01",
              ...
              "properties": {
                  ...
                  "restrictOutboundNetworkAccess": "Enabled",
                  "allowedFqdnList": ["some.sql.azuresynapse.net", "..."]
                  ...
              }
          }
          ...
      ]
    }
    

    Yukarıdaki şablona başvuran Azure CLI kullanan örnek çağrı.

    # Replace the <...> placeholders with the correct values
    az deployment group create   --name ConfigureAllowedFqdnList   --resource-group <resource group>   --template-file ./template.json
    
  2. FQDN'yi izin verilenler listesine ekleyerek belirtilen FQDN'ye çağrı yapabilirsiniz. Dağıtımın sonucunu denetlemek için aşağıdaki komutu yürütebilirsiniz:

    .show cluster policy callout 
    | project Policy=parse_json(Policy)
    | mv-expand Policy
    | where Policy.CalloutType == "sql" 
    

    Yapılandırılmış bir açıklama balonu ilkesini gösteren kısıtlı sorgu sayfasının ekran görüntüsü.

    Not

    Azure Veri Gezgini iç depolama katmanıyla iletişim kurması için ayarlanmış bir dizi varsayılan ilke vardır. Veri sızdırma riskini göze çarpmaz.