Поделиться через

Настройка периметра безопасности сети для учетной записи Azure Cosmos DB

ОБЛАСТЬ ПРИМЕНЕНИЯ: NoSQL

В этой статье объясняется, как настроить периметр безопасности сети в учетной записи Azure Cosmos DB.

Внимание

Периметр безопасности сети находится в общедоступной предварительной версии. Эта функция предоставляется без соглашения об уровне обслуживания. Дополнительные сведения см. в статье Дополнительные условия использования Предварительных версий Microsoft Azure.

Обзор возможностей

Администраторы сети могут определить границу сетевой изоляции для служб PaaS, которая позволяет обмен данными между учетной записью Azure Cosmos DB и Keyvault, SQL и другими службами с помощью периметра безопасности сети Azure. Защита общедоступного доступа в службе Azure может выполняться несколькими способами:

  • Защита входящих сетевых подключений: ограничение общедоступной доступности учетной записи Azure Cosmos DB путем явного предоставления входящего доступа к ресурсам внутри периметра. По умолчанию доступ из несанкционированных сетей запрещен, а доступ из частных конечных точек в периметр или ресурсы в подписке можно настроить.
  • Защита обмена данными между службами: все ресурсы внутри периметра могут взаимодействовать с любыми другими ресурсами в периметре, предотвращая утечку данных.
  • Защита исходящих подключений: если периметр сетевой безопасности не управляет целевым клиентом, он блокирует доступ при попытке копирования данных из одного клиента в другой. Доступ предоставляется на основе полного доменного имени или доступа из других периметров сети; Все остальные попытки доступа запрещены.

Снимок экрана: периметр сетевой службы.

Все эти коммуникации выполняются автоматически после настройки периметра безопасности сети, и пользователям не нужно управлять ими. Вместо настройки частной конечной точки для каждого ресурса для включения связи или настройки виртуальной сети периметр безопасности сети на верхнем уровне обеспечивает эту функцию.

Примечание.

Периметр безопасности сети Azure дополняет наши текущие решения, включая Частную конечную точку, которая позволяет получить доступ к частному ресурсу в периметре, и интеграцию с VNet, которая позволяет управляемым виртуальным сетям получать доступ к ресурсам в периметре. В настоящее время мы не поддерживаем сочетание периметра безопасности сети Azure, управляемых клиентом ключей (CMK) и функций хранилища журналов, таких как Аналитическое Хранилище, Все Версии и Режим Удалений для Канала Изменений, Материализованные Представления и Восстановление на Определенный Момент Времени. Если необходимо выполнить восстановление учетной записи с поддержкой CMK с помощью периметра безопасности сети Azure, необходимо временно расслабить параметры периметра в хранилище ключей, чтобы разрешить учетной записи Cosmos DB доступ к ключу.

Начало работы

Внимание

Перед настройкой периметра безопасности сети создайте управляемое удостоверение в Azure.

  • На портале Azure найдите в списке ресурсов сетевые периметры безопасности и выберите Создать +.
  • В списке ресурсов выберите ресурсы, которые необходимо связать с периметром.
  • Добавьте правило входящего доступа, тип источника может быть IP-адресом или подпиской.
  • Добавьте правила исходящего доступа, чтобы разрешить ресурсам внутри периметра подключаться к Интернету и ресурсам за пределами периметра.

В случаях, когда у вас есть учетная запись Azure Cosmos DB и требуется добавить периметр безопасности:

  • Выберите Сетевые настройки в настройках

  • Затем выберите "Связать NSP", чтобы этот ресурс взаимодействовал с периметром безопасности вашей сети, обеспечивая связь с другими ресурсами Azure в том же периметре и ограничивая общий доступ, разрешая только указанные вами подключения.

Примечание.

Если вы запрашиваете учетную запись с помощью REST API, убедитесь, что заголовок x-ms-date присутствует и в правильном формате даты RFC 1123. Запросы могут быть заблокированы, если заголовок неверный, если учетная запись связана с периметром безопасности сети.

Следующие шаги

  • Last updated on