Azure Veri Gezgini kümenizden giden erişimi kısıtlama
Veri sızdırma gibi riskleri azaltmak için kümenize giden erişimi kısıtlamak önemlidir. Kötü amaçlı bir aktör potansiyel olarak bir depolama hesabına dış tablo oluşturabilir ve büyük miktarlarda veri ayıklayabilir. Belirtme çizgisi ilkeleri tanımlayarak küme düzeyinde giden erişimi denetleyebilirsiniz. Belirtme çizgisi ilkelerinin yönetilmesi, belirtilen SQL, depolama veya diğer uç noktalara giden erişime izin vermenizi sağlar.
Bu makalede, kümenizdeki çağrıları daha fazla kısıtlamanıza olanak tanıyan belirtme çizgisi ilkeleri uzantısı hakkında bilgi edineceksiniz.
Belirtme çizgisi ilkeleri türleri
Belirtme çizgisi ilkeleri aşağıdaki gibi bölünebilir:
- Sabit belirtme çizgisi ilkeleri: Bunlar bir kümenin standart ilkeleridir. Bunlar önceden yapılandırılmıştır ve değiştirilemez.
- Küme belirtme çizgisi ilkeleri: Bunlar, belirtme çizgisi ilkesi komutlarını kullanarak değiştirebileceğiniz ilkelerdir.
Önkoşullar
- Azure aboneliği. Ücretsiz bir Azure hesabı oluşturun.
- Azure Veri Gezgini kümesi ve veritabanı. Küme ve veritabanı oluşturma.
Açıklama balonu ilkesi komutlarını çalıştırma
Soldaki menüde Sorgu'yu seçin ve kümenize bağlanın.
Kümenizdeki sabit belirtme çizgisi ilkelerinin listesini incelemek için sorgu penceresinde aşağıdaki sorguyu çalıştırın:
.show cluster policy callout
Aşağıda sabit belirtme çizgisi ilkeleri örneği gösterilmektedir. Listede dış veriler gibi diğer hizmetlere çağrı yapılmasına izin veren birkaç varsayılan kural olduğuna dikkat edin.
[
{
"CalloutType":"kusto",
"CalloutUriRegex":"[a-z0-9]{3,22}\\.(\\w+\\.)?kusto(mfa)?\\.windows\\.net/?$",
"CanCall":true
},
{
"CalloutType":"kusto",
"CalloutUriRegex":"//[a-z0-9]{3,22}\\.[a-z0-9-]{1,50}\\.(kusto\\.azuresynapse|kustodev\\.azuresynapse-dogfood)\\.net/?$",
"CanCall":true
},
{
"CalloutType":"kusto",
"CalloutUriRegex":"^https://([A-Za-z0-9]+\\.)?(ade|adx)\\.(int\\.)?(applicationinsights|loganalytics|monitor)\\.(io|azure(\\.com|\\.us|\\.cn))/",
"CanCall":true
},
{
"CalloutType":"sql",
"CalloutUriRegex":"[a-z0-9][a-z0-9\\-]{0,61}[a-z0-9]?\\.database\\.windows\\.net/?$",
"CanCall":true
},
{
"CalloutType":"sql",
"CalloutUriRegex":"[a-z0-9-]{0,61}?(-ondemand)?\\.sql\\.azuresynapse(-dogfood)?\\.net/?$",
"CanCall":true
},
{
"CalloutType":"external_data",
"CalloutUriRegex":".*",
"CanCall":true
},
{
"CalloutType":"azure_digital_twins",
"CalloutUriRegex":"[A-Za-z0-9\\-]{3,63}\\.api\\.[A-Za-z0-9]+\\.digitaltwins\\.azure\\.net/?$",
"CanCall":true
}
]
Sabit açıklama balonu ilkeleri listesini boşaltma
Kümenizden giden erişimi kısıtlamak için sabit belirtme çizgisi ilkeleri listesini boşaltmanız gerekir. Azure CLI'yı veya azure Veri Gezgini API'lerini çağırarak diğer araçları kullanarak aşağıdaki komutu çalıştırarak bunu yapabilirsiniz.
Güncelleştirilmiş arm şablonuyla Azure CLI kullanarak ARM dağıtımını tetikleyin:
restrictOutboundNetworkAccess özelliğinin Etkin olarak ayarlandığı "template.json" adlı örnek ARM şablon dosyası:
{ "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#", "contentVersion": "1.0.0.0", ... "resources": [ { "type": "Microsoft.Kusto/Clusters", "apiVersion": "2021-02-01", ... "properties": { ... "restrictOutboundNetworkAccess": "Enabled", ... } } ... ] }Yukarıdaki şablona başvuran Azure CLI kullanan örnek çağrı.
# Replace the <...> placeholders with the correct values az deployment group create --name RestrictOutboundAccess --resource-group <resource group> --template-file ./template.jsonKüme özelliğinin
restrictOutboundNetworkAccessgüncelleştirilmesi, kümenizdeki tüm sabit ilkeleri kaldırır. Bu, aşağıdaki örnekte gösterildiği gibi diğer hizmetlere çağrı başlatmayı engeller.
Aşağıdaki komutu yeniden çalıştırın ve boş bir liste döndürdüğünü doğrulayın:
.show cluster policy callout | where EntityType == "Cluster immutable policy"
Kısıtlı koşullar altında açıklama balonlarına FQDN'ler ekleme
Belirli bir FQDN'ye giden erişime izin vermek istiyorsanız, kümenizin allowedFqdnList listesine ekleyebilirsiniz. Azure Veri Gezgini kümesinin ARM şablonunda değişiklik yaparak bunu çalıştırarak yapabilirsiniz.
Güncelleştirilmiş arm şablonuyla Azure CLI kullanarak ARM dağıtımını tetikleyin:
allowedFqdnList özelliğinin ["some.sql.azuresynapse.net", "..."] olarak ayarlandığı "template.json" adlı örnek ARM şablon dosyası:
{ "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#", "contentVersion": "1.0.0.0", ... "resources": [ { "type": "Microsoft.Kusto/Clusters", "apiVersion": "2021-02-01", ... "properties": { ... "restrictOutboundNetworkAccess": "Enabled", "allowedFqdnList": ["some.sql.azuresynapse.net", "..."] ... } } ... ] }Yukarıdaki şablona başvuran Azure CLI kullanan örnek çağrı.
# Replace the <...> placeholders with the correct values az deployment group create --name ConfigureAllowedFqdnList --resource-group <resource group> --template-file ./template.jsonFQDN'yi izin verilenler listesine ekleyerek belirtilen FQDN'ye çağrı yapabilirsiniz. Dağıtımın sonucunu denetlemek için aşağıdaki komutu yürütebilirsiniz:
.show cluster policy callout | project Policy=parse_json(Policy) | mv-expand Policy | where Policy.CalloutType == "sql"
Not
Azure Veri Gezgini iç depolama katmanıyla iletişim kurması için ayarlanmış bir dizi varsayılan ilke vardır. Veri sızdırma riskini göze çarpmaz.
İlgili içerik
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin