Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описан процесс настройки периметра безопасности сети для ресурсов Azure Monitor. Периметр безопасности сети — это функция сетевой изоляции, которая предоставляет защищенный периметр для обмена данными между службами PaaS, развернутыми за пределами виртуальной сети. Эти службы PaaS могут взаимодействовать друг с другом в пределах периметра, а также взаимодействовать с ресурсами за пределами периметра с помощью общедоступных правил входящего и исходящего доступа.
Периметр безопасности сети позволяет управлять доступом к сети с помощью параметров сетевой изоляции в поддерживаемых ресурсах Azure Monitor. После настройки периметра безопасности сети можно выполнить следующие действия:
- Управление сетевым доступом к поддерживаемым ресурсам Azure Monitor на основе правил входящего и исходящего доступа, определенных для периметра безопасности сети.
- Регистрируйте весь сетевой доступ к поддерживаемым ресурсам Azure Monitor.
- Блокируйте любую несанкционированную передачу данных к службам, находящимся вне периметра безопасности сети.
Подсказка
Инструкции по переходу ресурсов Azure Monitor в периметр безопасности сети см. в статье "Переход на периметр безопасности сети" в Azure.
Регионы
Периметр безопасности сети Azure доступен во всех регионах общедоступного облака, где поддерживается Azure Monitor.
Текущие ограничения
- Для сценариев экспорта Log Analytics с учетными записями хранения и центрами событий рабочая область Log Analytics и учетная запись хранения или концентратор событий должны быть частью одного периметра.
- Только ресурсы Azure, поддерживающие периметры безопасности сети, могут использовать параметр диагностики с назначением в периметре безопасности сети. Отслеживаемый ресурс также должен находиться в том же периметре безопасности сети, что и назначение.
- Ресурсы глобальных групп действий не поддерживают периметры безопасности сети. Необходимо создать ресурсы региональных групп действий, которые будут поддерживать периметры безопасности сети.
- Запросы между ресурсами блокируются для рабочих областей Log Analytics, связанных с периметром безопасности сети. Это включает доступ к рабочей области через кластер ADX.
- Логи доступа к периметру безопасности сети отбираются каждые 30 минут.
- Репликация рабочей области Log Analytics не поддерживается.
- Прием событий из Центров событий Azure не поддерживается.
- Сбор и запрос данных в рабочих областях Azure Monitor не поддерживается.
Замечание
Эти ограничения также применяются к рабочим областям Log Analytics с поддержкой Sentinel.
Поддерживаемые компоненты
Компоненты Azure Monitor, поддерживаемые периметрами безопасности сети, перечислены в следующей таблице с минимальной версией API. Для получения дополнительной информации о других службах Azure, поддерживаемых периметрами безопасности сети, см. раздел «Подключенные ресурсы частной ссылки».
| Ресурс | Тип ресурса | Версия API |
|---|---|---|
| Конечная точка сбора данных (DCE) | Microsoft.Insights/точки_сбора_данных | 2023-03-11 |
| Рабочая область Log Analytics | Microsoft.OperationalInsights/workspaces. | 2023-09-01 |
| Оповещения запросов журнала | Microsoft.Insights/ScheduledQueryRules | 2022-08-01-превью |
| Группы действий 12 | Microsoft.Insights/actionGroups | 2023-05-01 |
| Диагностические настройки | Microsoft.Insights/diagnosticSettings (Диагностические настройки) | 2021-05-01-превью |
1 Периметры безопасности сети работают только с региональными группами действий. Глобальные активистские группы по умолчанию имеют доступ к общедоступной сети.
2 Концентратор событий в настоящее время является единственным поддерживаемым типом действия для периметров безопасности сети. Все остальные действия по умолчанию имеют доступ к общедоступной сети.
Неподдерживаемые компоненты
Следующие компоненты Azure Monitor не поддерживаются периметром безопасности сети:
- Application Insights Profiler для .NET и Snapshot Debugger
- Управляемый клиентом Log Analytics ключ
- Запросы между ресурсами, включающие все рабочие области Log Analytics, связанные с периметром безопасности сети
- Рабочая область Azure Monitor (для управляемых метрик Prometheus)
Замечание
Для Application Insights настройте периметр безопасности сети для рабочей области Log Analytics, используемой для ресурса Application Insights.
Создание периметра безопасности сети
Создайте периметр безопасности сети с помощью портал Azure, Azure CLI или PowerShell.
Добавление рабочей области Log Analytics в периметр безопасности сети
В меню периметра безопасности сети в портал Azure выберите периметр безопасности сети.
Выберите ресурсы, затем добавьте ->свяжите ресурсы с существующим профилем.
Выберите профиль, который необходимо связать с ресурсом рабочей области Log Analytics.
Выберите Associate, а затем выберите рабочую область Log Analytics.
Выберите "Связать" в левом нижнем углу экрана, чтобы создать связь с периметром безопасности сети.
Это важно
При передаче рабочей области Log Analytics между группами ресурсов или подписками свяжите ее с периметром безопасности сети, чтобы сохранить политики безопасности. Если рабочая область удалена, убедитесь, что вы также удаляете ее связи из периметра безопасности сети.
Правила доступа для рабочей области Log Analytics
Профиль периметра безопасности сети задает правила, разрешающие или запрещающие доступ через периметр. В периметре все ресурсы имеют взаимный доступ на уровне сети, хотя по-прежнему подвергаются проверке подлинности и авторизации. Для ресурсов за пределами периметра безопасности сети необходимо указать правила входящего и исходящего доступа. Правила входящего трафика указывают, какие подключения разрешаются, а правила исходящего трафика указывают, какие запросы разрешены.
Замечание
Любая служба, связанная с периметром безопасности сети, неявно разрешает входящий и исходящий доступ к любой другой службе, связанной с тем же периметром безопасности сети, когда этот доступ проходит проверку подлинности с помощью управляемых удостоверений и назначений ролей. Правила доступа необходимо создавать только при предоставлении доступа за пределами периметра безопасности сети или для доступа, прошедшего проверку подлинности с помощью ключей API.
Добавление правила входящего доступа к периметру безопасности сети
Правила входящего доступа периметра безопасности сети могут позволить Интернету и ресурсам за пределами периметра подключаться к ресурсам внутри периметра.
Периметры безопасности сети поддерживают два типа правил входящего доступа:
- Диапазоны IP-адресов. IP-адреса или диапазоны должны находиться в формате маршрутизации без домена (CIDR). Пример нотации CIDR — 8.8.8.0/24, который представляет IP-адреса в диапазоне от 8.8.8.0 до 8.8.8.255. Этот тип правила разрешает входящий трафик из любого IP-адреса в диапазоне.
- Подписки. Этот тип правила разрешает входящий доступ, прошедший проверку подлинности с помощью любого управляемого удостоверения из подписки.
Используйте следующий процесс, чтобы добавить правило доступа на вход через периметр безопасности сети с помощью портала Azure.
Перейдите к ресурсу периметра безопасности сети в портале Azure.
Выберите профили , а затем профиль, который вы используете с периметром безопасности сети.
Выберите правила для входящего доступа.
Нажмите кнопку "Добавить или добавить правило входящего доступа". Введите или выберите следующие значения:
Настройки Ценность Имя правила Имя правила для входящего доступа. Например MyInboundAccessRule. Тип источника Допустимыми значениями являются диапазоны IP-адресов или подписки. Разрешенные источники Если вы выбрали диапазоны IP-адресов, введите диапазон IP-адресов в формате CIDR, из которого требуется разрешить входящий доступ. Диапазоны IP-адресов Azure доступны в диапазонах IP-адресов Azure и тегах служб — общедоступном облаке. Если выбраны подписки, используйте подписку, из которой требуется разрешить входящий доступ. Нажмите кнопку "Добавить ", чтобы создать правило входящего доступа.
Добавить правило исходящего доступа для периметра безопасности сети
Экспорт данных в рабочей области Log Analytics позволяет непрерывно экспортировать данные для определенных таблиц в рабочей области. Вы можете экспортировать данные в службу хранилища Azure или Центры событий Azure, как только они поступают в конвейер Azure Monitor.
Рабочая область Log Analytics в периметре безопасности может экспортировать данные только в учетные записи хранения и центры событий в одном периметре. Для других направлений требуется правило на исходящий доступ, основанное на полном доменном имени (FQDN) назначения.
Используйте следующий процесс для добавления правила исходящего доступа для сетевого периметра безопасности с помощью портала Azure.
Перейдите к ресурсу периметра безопасности сети в портале Azure.
Выберите профили , а затем профиль, который вы используете с периметром безопасности сети.
Выберите правила для исходящего доступа.
Нажмите кнопку "Добавить " или "Добавить правило исходящего доступа". Введите или выберите следующие значения:
Настройки Ценность Имя правила Имя правила исходящего доступа. Например MyOutboundAccessRule. Тип назначения Оставьте полное доменное имя. Разрешенные назначения Введите разделенный запятыми список полных доменных имен, к которым требуется разрешить исходящий доступ. Нажмите кнопку "Добавить ", чтобы создать правило исходящего доступа.
Сбор журналов доступа
Журналы ресурсов предоставляют аналитические сведения о работе периметров безопасности сети и помогают диагностировать любые проблемы. Чтобы получить подробную информацию о создании диагностического параметра для сбора журналов ресурсов для периметра безопасности сети, см. Журналы ресурсов для периметра безопасности сети.
Дальнейшие шаги
- Дополнительные сведения о периметре безопасности сети в Azure.
- Следуйте указаниям, чтобы перевести ваши ресурсы в сетевой периметр безопасности в Azure.