Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Периметр безопасности сети Azure создает логические границы сети вокруг ресурсов paaS, развернутых за пределами виртуальных сетей. Периметр безопасности сети помогает управлять доступом к ресурсам, таким как учетные записи хранения Azure и Azure Key Vault, путем создания безопасного периметра.
По умолчанию периметр безопасности сети ограничивает общедоступный доступ к ресурсам PaaS в пределах границы. Исключения можно предоставить с помощью явных правил доступа для входящего и исходящего трафика. Этот подход помогает предотвратить утечку данных при сохранении необходимого подключения для приложений.
Шаблоны доступа, связанные с трафиком из виртуальных сетей в ресурсы PaaS, см. в статье "Что такое Приватный канал Azure?".
К функциям периметра безопасности сети относятся:
- Обмен доступом между ресурсами внутри членов периметра, с предотвращением утечки данных в неавторизованные назначения.
- Управление внешним общедоступным доступом с явными правилами для ресурсов PaaS, связанных с периметром.
- Доступ к журналам аудита и соответствия требованиям.
- Единый интерфейс для ресурсов PaaS.
Important
Периметр безопасности сети теперь общедоступен во всех общедоступных облачных регионах Azure. Сведения о поддерживаемых службах см. в разделе "Подключение ресурсов приватного канала " для поддерживаемых служб PaaS".
Компоненты периметра безопасности сети
Периметр безопасности сети включает следующие компоненты:
| Component | Description |
|---|---|
| Периметр безопасности сети | Ресурс верхнего уровня, определяющий границу логической сети для защиты ресурсов PaaS. |
| Profile | Коллекция правил доступа, применяемых к ресурсам, связанным с профилем. |
| Правило доступа | Правила для входящих и исходящих подключений ресурсов внутри периметра, позволяющие доступ за его пределы. |
| Ассоциация ресурсов | Членство в периметре для ресурса Platform as a Service (PaaS). |
| Параметры диагностики | Ресурс расширения, размещенный в Microsoft Insights, для сбора журналов и показателей для всех ресурсов в пределах периметра. |
Note
Для организационной и информационной безопасности не включайте личные или конфиденциальные данные в правила периметра безопасности сети или другие конфигурации периметра безопасности сети.
Свойства периметра безопасности сети
При создании периметра безопасности сети можно указать следующие свойства:
| Property | Description |
|---|---|
| Name | Уникальное имя в пределах группы ресурсов. |
| Location | Поддерживаемый регион Azure, в котором находится ресурс. |
| Имя группы ресурсов | Имя группы ресурсов, в которой должен присутствовать периметр безопасности сети. |
Режимы доступа в периметре безопасности сети
Администраторы добавляют ресурсы PaaS в периметр путем создания связей ресурсов. Эти ассоциации можно установить в двух режимах доступа. Режимы доступа:
| Mode | Description |
|---|---|
| Режим перехода (прежнее название — режим обучения) | — режим доступа по умолчанию. — помогает администраторам сети понять существующие шаблоны доступа своих ресурсов PaaS. — Рекомендуемый режим использования перед переходом на принудительный режим. |
| Принудительный режим | — Должен быть задан администратором. — По умолчанию все коммуникации, кроме трафика внутри периметра, запрещены в этом режиме, если не существует правило разрешения доступа. |
Дополнительные сведения о переходе от режима перехода (прежнего режима обучения) к принудительному режиму в статье "Переход на периметр безопасности сети ".
Зачем использовать периметр безопасности сети?
Периметр безопасности сети предоставляет безопасный периметр для обмена данными служб PaaS, развернутых за пределами виртуальной сети. Он позволяет управлять сетевым доступом к ресурсам Azure PaaS. Ниже приведены некоторые распространенные варианты использования:
- Создайте безопасную границу вокруг ресурсов PaaS.
- Предотвращение кражи данных путем связывания ресурсов PaaS с периметром.
- Включите правила доступа для предоставления доступа за пределами защищенного периметра.
- Управляйте правилами доступа для всех ресурсов PaaS внутри периметра сетевой безопасности из единого интерфейса.
- Включите параметры диагностики для создания журналов доступа ресурсов PaaS в периметре для аудита и соответствия требованиям.
- Разрешить трафик частной конечной точки без необходимости явных правил доступа.
Как работает периметр безопасности сети?
Когда создается периметр безопасности сети и ресурсы PaaS связаны с периметром в принудительном режиме, весь общедоступный трафик по умолчанию запрещается, что предотвращает утечку данных за пределами периметра.
Правила доступа можно использовать для утверждения общедоступного входящего и исходящего трафика за пределами периметра. Публичный входящий доступ можно разрешить с помощью сетевых и идентификационных атрибутов клиента, таких как исходные IP-адреса и подписки. Общий исходящий трафик можно разрешить с помощью полных доменных имен (Fully Qualified Domain Names) внешних ресурсов.
Например, при создании периметра безопасности сети и связывании набора ресурсов PaaS с периметром, таким как Azure Key Vault и хранилище Azure в принудительном режиме, все входящие и исходящий общедоступный трафик по умолчанию запрещены для этих ресурсов PaaS. Чтобы разрешить доступ за пределами периметра, можно создать необходимые правила доступа. В пределах того же периметра можно создавать профили для группировки ресурсов PaaS с аналогичным набором требований к входящего и исходящему доступу.
Ресурсы Private Link, включенные в систему
Ресурс частного канала с поддержкой периметра безопасности сети — это ресурс PaaS, который может быть связан с периметром безопасности сети. В настоящее время список подключенных ресурсов приватного соединения выглядит следующим образом:
| Имя ресурса приватной ссылки | Тип ресурса | Resources | Доступность |
|---|---|---|---|
| Azure Monitor | Microsoft.Insights/dataCollectionEndpoints Microsoft.Insights/ScheduledQueryRules Microsoft.Insights/actionGroups Microsoft.OperationalInsights /workspaces |
Рабочая область Log Analytics, Application Insights, Оповещения, Служба уведомлений | Общедоступная версия |
| Поиск по искусственному интеллекту Azure | Microsoft.Search/searchServices | В общем доступе | |
| Cosmos DB | Microsoft.DocumentDB/databaseAccounts | Общедоступная предварительная версия | |
| Центры событий | Microsoft.EventHub/namespaces | В общем доступе | |
| Хранилище ключей | Microsoft.KeyVault/vaults | В общем доступе | |
| База данных SQL | Microsoft.Sql/servers | Общедоступная предварительная версия | |
| Storage | Microsoft.Storage/storageAccounts | В общем доступе | |
| Служба Azure OpenAI | Microsoft.CognitiveServices | Общедоступная предварительная версия |
Important
Следующие подключенные службы находятся в общедоступной предварительной версии с периметром безопасности сети:
- База данных Cosmos DB
- База данных SQL
- Azure Open AI Service
Эти предварительные версии предоставляются без соглашения об уровне обслуживания и не рекомендуется для рабочих нагрузок. Некоторые функции могут не поддерживаться или их возможности могут быть ограничены. Дополнительные сведения см. в статье Дополнительные условия использования Предварительных версий Microsoft Azure.
Note
Дополнительные сведения о неподдерживаемых сценариях см. в соответствующей документации по ресурсу приватной ссылки.
Поддерживаемые типы правил доступа
Периметр безопасности сети поддерживает следующие типы правил доступа:
| Direction | Тип правила доступа |
|---|---|
| Inbound | Правила на основе подписки |
| Inbound | Правила на основе IP-адресов (проверьте соответствующие подключенные ресурсы частных ссылок для проверки поддержки IPv6) |
| Outbound | Правила на основе полного доменного имени |
Note
Трафик внутри периметра и правила входящего доступа на основе подписки не поддерживают проверку подлинности с помощью маркера SAS. В этих сценариях запросы, использующие маркер SAS, отклоняются и отображают ошибку проверки подлинности. Используйте альтернативный поддерживаемый метод проверки подлинности для конкретного ресурса.
Ограничения периметра безопасности сети
Ограничения логирования
Периметр безопасности сети в настоящее время доступен во всех общедоступных облачных регионах Azure. Однако при включении журналов доступа для периметра безопасности сети рабочая область Log Analytics, связанная с периметром безопасности сети, должна находиться в одном из поддерживаемых регионов Azure Monitor.
Note
Для журналов ресурсов PaaS используйте рабочую область Log Analytics, хранилище или концентратор событий в качестве назначения журнала, связанного с тем же периметром, что и ресурс PaaS.
Ограничения масштабирования
Функциональность периметра безопасности сети можно использовать для поддержки развертываний ресурсов PaaS с общими элементами управления общедоступными сетями со следующими ограничениями по масштабу:
| Limitation | Description |
|---|---|
| Количество периметров безопасности сети | Поддерживается до 100 в качестве рекомендуемого ограничения для каждой подписки. |
| Профили для периметров безопасности сети | Поддерживается до 200 в качестве рекомендуемого ограничения. |
| Количество элементов правил на профиль | Поддерживается до 200 для входящего и исходящего трафика как жесткое ограничение. |
| Количество ресурсов PaaS в подписках, связанных с тем же периметром безопасности сети | Поддерживается до 1000 в качестве рекомендуемого ограничения. |
Другие ограничения
Периметр безопасности сети имеет другие ограничения, как показано ниже.
| Limitation/Issue | Description |
|---|---|
| Отсутствует поле в журналах доступа к периметру безопасности сети | Возможно, журналы доступа к периметру безопасности сети были агрегированы. Если отсутствуют поля count и timeGeneratedEndTime, рассмотрите число агрегатов как 1. |
| Создание ассоциаций через SDK завершается ошибкой из-за проблемы с правами доступа | Состояние: 403 (запрещено); код ошибки: AuthorizationFailed может быть получен при выполнении действия "Microsoft.Network/locations/networkSecurityPerimeterOperationStatuses/read" по области "/subscriptions/xyz/providers/Microsoft.Network/locations/xyz/networkSecurityPerimeterOperationStatuses/xyz". Пока не будет исправлено, используйте разрешение Microsoft.Network/location/*/read или используйте WaitUntil.Started в API SDK CreateOrUpdateAsync для создания сопоставлений. |
| Имена ресурсов не могут превышать 44 символов для поддержки периметра безопасности сети. | Связь ресурсов периметра сети, созданная из портала Azure, имеет формат {resourceName}-{perimeter-guid}. Чтобы соответствовать требованию, согласно которому поле имени не может содержать более 80 символов, имена ресурсов должны быть ограничены 44 символами. |
| Трафик конечной точки службы не поддерживается. | Рекомендуется использовать частные конечные точки для взаимодействия IaaS с PaaS. В настоящее время трафик конечной точки службы может быть отклонен даже в том случае, если правило входящего трафика допускает 0.0.0.0/0.0.0. |
Note
Сведения о соответствующих ограничениях для каждой службы см. в отдельной документации по PaaS.