Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Периметр безопасности сети Azure создает логические границы сети вокруг ваших PaaS ресурсов, развернутых за пределами виртуальных сетей. Периметр безопасности сети помогает управлять доступом к ресурсам общедоступной сети, таким как служба хранилища Azure учетные записи и Azure Key Vault путем установления безопасного периметра.
По умолчанию периметр безопасности сети ограничивает общедоступный доступ к ресурсам PaaS в пределах границы. Исключения можно предоставить с помощью явных правил доступа для входящего и исходящего трафика. Этот подход помогает предотвратить утечку данных при сохранении необходимого подключения для приложений.
Шаблоны доступа, связанные с трафиком из виртуальных сетей в ресурсы PaaS, см. в статье What Приватный канал Azure?
К функциям периметра безопасности сети относятся:
- Обмен доступом между ресурсами внутри членов периметра, с предотвращением утечки данных в неавторизованные назначения.
- Управление внешним общедоступным доступом с явными правилами для ресурсов PaaS, связанных с периметром.
- Доступ к журналам аудита и соответствия требованиям.
- Единый интерфейс для ресурсов PaaS.
Important
Периметр безопасности сети теперь доступен во всех общедоступных регионах облачного сервиса Azure. Сведения о поддерживаемых службах см. в разделе "Интегрированные ресурсы частной ссылки" для поддерживаемых служб PaaS.
Компоненты периметра безопасности сети
Периметр безопасности сети включает следующие компоненты:
| Component | Description |
|---|---|
| Периметр безопасности сети | Ресурс верхнего уровня, определяющий границу логической сети для защиты ресурсов PaaS. |
| Profile | Коллекция правил доступа, применяемых к ресурсам, связанным с профилем. |
| Правило доступа | Правила для входящих и исходящих подключений ресурсов внутри периметра, позволяющие доступ за его пределы. |
| Ассоциация ресурсов | Членство в периметре для ресурса Platform as a Service (PaaS). |
| Параметры диагностики | Ресурс расширения, размещенный в Майкрософт Insights, для сбора журналов и метрик всех ресурсов в пределах периметра. |
Note
Для организационной и информационной безопасности не включайте личные или конфиденциальные данные в правила периметра безопасности сети или другие конфигурации периметра безопасности сети.
Свойства периметра безопасности сети
При создании периметра безопасности сети можно указать следующие свойства:
| Property | Description |
|---|---|
| Name | Уникальное имя в пределах группы ресурсов. |
| Location | Поддерживаемый Azure регион, в котором находится ресурс. |
| Имя группы ресурсов | Имя группы ресурсов, в которой должен присутствовать периметр безопасности сети. |
Режимы доступа в периметре безопасности сети
Администраторы добавляют ресурсы PaaS в периметр путем создания связей ресурсов. Эти ассоциации можно установить в двух режимах доступа. Режимы доступа:
| Mode | Description |
|---|---|
| Режим перехода (прежнее название — режим обучения) | — режим доступа по умолчанию. — помогает администраторам сети понять существующие шаблоны доступа своих ресурсов PaaS. — Рекомендуемый режим использования перед переходом на принудительный режим. |
| Принудительный режим | — Должен быть задан администратором. — По умолчанию все коммуникации, кроме трафика внутри периметра, запрещены в этом режиме, если не существует правило разрешения доступа. |
Дополнительные сведения о переходе от режима перехода (прежнего режима обучения) к принудительному режиму в статье "Переход на периметр безопасности сети ".
Зачем использовать периметр безопасности сети?
Периметр безопасности сети предоставляет безопасный периметр для обмена данными служб PaaS, развернутых за пределами виртуальной сети. Он позволяет управлять сетевым доступом к Azure ресурсам PaaS. Ниже приведены некоторые распространенные варианты использования:
- Создайте безопасную границу вокруг ресурсов PaaS.
- Предотвращение кражи данных путем связывания ресурсов PaaS с периметром.
- Включите правила доступа для предоставления доступа за пределами защищенного периметра.
- Управляйте правилами доступа для всех ресурсов PaaS внутри периметра сетевой безопасности из единого интерфейса.
- Включите параметры диагностики для создания журналов доступа ресурсов PaaS в периметре для аудита и соответствия требованиям.
- Разрешить трафик частной конечной точки без необходимости явных правил доступа.
Как работает периметр безопасности сети?
Когда создается периметр безопасности сети и ресурсы PaaS связаны с периметром в принудительном режиме, весь общедоступный трафик по умолчанию запрещается, что предотвращает утечку данных за пределами периметра.
Правила доступа можно использовать для утверждения общедоступного входящего и исходящего трафика за пределами периметра. Публичный входящий доступ можно разрешить с помощью сетевых и идентификационных атрибутов клиента, таких как исходные IP-адреса и подписки. Общий исходящий трафик можно разрешить с помощью полных доменных имен (Fully Qualified Domain Names) внешних ресурсов.
Например, при создании периметра безопасности сети и связывании набора ресурсов PaaS с периметром, таким как Azure Key Vault и служба хранилища Azure в принудительном режиме, все входящие и исходящий общедоступный трафик по умолчанию запрещены для этих ресурсов PaaS. Чтобы разрешить доступ за пределами периметра, можно создать необходимые правила доступа. В пределах того же периметра можно создавать профили для группировки ресурсов PaaS с аналогичным набором требований к входящего и исходящему доступу.
Ресурсы Private Link, включенные в систему
Ресурс частного канала с поддержкой периметра безопасности сети — это ресурс PaaS, который может быть связан с периметром безопасности сети. В настоящее время список подключенных ресурсов приватного соединения выглядит следующим образом:
| Имя ресурса приватной ссылки | Тип ресурса | Resources | Доступность |
|---|---|---|---|
| Azure Monitor | Майкрософт.Insights/dataCollectionEndpoints Майкрософт.Insights/ScheduledQueryRules Майкрософт.Insights/actionGroups Майкрософт.OperationalInsights/workspaces |
Log Analytics Workspace, Application Insights, оповещения, служба уведомлений | Общедоступная версия |
| Поиск с использованием ИИ Azure | Майкрософт.Search/searchServices | В общем доступе | |
| Cosmos DB | Майкрософт. DocumentDB/databaseAccounts | Общедоступная предварительная версия | |
| Центры событий | Майкрософт.EventHub/пространства имен | В общем доступе | |
| Хранилище ключей | Майкрософт. KeyVault/vaults | В общем доступе | |
| База данных SQL | Майкрософт.Sql/servers | Общедоступная предварительная версия | |
| Storage | Майкрософт. Storage/storageAccounts | В общем доступе | |
| служба Azure OpenAI | Майкрософт.CognitiveServices(kind="OpenAI") | Общедоступная предварительная версия | |
| Майкрософт Foundry | Майкрософт. CognitiveServices(kind="AIServices") | В общем доступе |
Important
Следующие подключенные службы находятся в общедоступной предварительной версии с периметром безопасности сети:
- База данных Cosmos DB
- База данных SQL
- Служба Azure OpenAI
Эти предварительные версии предоставляются без соглашения об уровне обслуживания и не рекомендуется использовать в производственной среде. Некоторые функции могут не поддерживаться или их возможности могут быть ограничены. Дополнительные сведения см. в разделе Supplemental Terms of Use for Microsoft Azure Previews.
Note
Дополнительные сведения о неподдерживаемых сценариях см. в соответствующей документации по ресурсу приватной ссылки.
Поддерживаемые типы правил доступа
Периметр безопасности сети поддерживает следующие типы правил доступа:
| Direction | Тип правила доступа |
|---|---|
| Inbound | Правила на основе подписки |
| Inbound | Правила на основе IP-адресов (проверьте соответствующие подключенные ресурсы частных ссылок для проверки поддержки IPv6) |
| Outbound | Правила на основе полного доменного имени |
Note
Трафик внутри периметра и правила входящего доступа на основе подписки не поддерживают проверку подлинности с помощью маркера SAS. В этих сценариях запросы, использующие маркер SAS, отклоняются и отображают ошибку проверки подлинности. Используйте альтернативный поддерживаемый метод проверки подлинности для конкретного ресурса.
Ограничения периметра безопасности сети
Ограничения логирования
Периметр безопасности сети в настоящее время доступен во всех общедоступных облачных регионах Azure. При включении журналов доступа для периметра безопасности сети рабочая область Log Analytics, связанная с этим периметром, должна находиться в одном из поддерживаемых Azure Monitor регионов.
Note
Для журналов ресурсов PaaS используйте Log Analytics Workspace, хранилище или концентратор событий в качестве назначения журнала, включенного в тот же периметр, что и ресурс PaaS.
Note
Azure Backup не поддерживается для хранилищ данных с включенным сетевым периметром безопасности. Рекомендуется не связывать учетную запись хранения с периметром безопасности сети, если у вас есть резервные копии или если вы планируете использовать Azure Backup.
Ограничения масштабирования
Функциональность периметра безопасности сети можно использовать для поддержки развертываний ресурсов PaaS с общими элементами управления общедоступными сетями со следующими ограничениями по масштабу:
| Limitation | Description |
|---|---|
| Количество периметров безопасности сети | Поддерживается до 100 в качестве рекомендуемого ограничения для каждой подписки. |
| Профили для периметров безопасности сети | Поддерживается до 200 в качестве рекомендуемого ограничения. |
| Количество элементов правил на профиль | Поддерживается до 200 для входящего и исходящего трафика как жесткое ограничение. |
| Количество ресурсов PaaS в подписках, связанных с тем же периметром безопасности сети | Поддерживается до 1000 в качестве рекомендуемого ограничения. |
Другие ограничения
Периметр безопасности сети имеет другие ограничения, как показано ниже.
| Limitation/Issue | Description |
|---|---|
| Отсутствует поле в журналах доступа к периметру безопасности сети | Журналы доступа к периметру безопасности сети можно агрегировать. Если отсутствуют поля count и timeGeneratedEndTime, рассмотрите число агрегатов как 1. |
| Создание ассоциаций через SDK завершается ошибкой из-за проблемы с правами доступа | "Состояние: 403 (запрещено); ErrorCode: AuthorizationFailed может быть получен при выполнении действия 'Майкрософт.Network/locations/networkSecurityPerimeterOperationStatuses/read' в области '/subscriptions/xyz/providers/Майкрософт.Network/locations/xyz/networkSecurityPerimeterOperationStatuses/xyz'." Пока не будет исправлено, используйте разрешение 'Майкрософт.Network/locations/*/read' или используйте WaitUntil.Started в API SDK CreateOrUpdateAsync для создания связей. |
| Имена ресурсов не могут превышать 44 символов для поддержки периметра безопасности сети. | Связь ресурсов периметра безопасности сети, созданная на портале Azure, имеет формат {resourceName}-{perimeter-guid}. Чтобы соответствовать требованию, согласно которому поле имени не может содержать более 80 символов, имена ресурсов должны быть ограничены 44 символами. |
| Трафик конечной точки службы не поддерживается. | Рекомендуется использовать частные конечные точки для взаимодействия IaaS с PaaS. В настоящее время трафик конечной точки службы может быть отклонен даже в том случае, если правило входящего трафика допускает 0.0.0.0/0.0.0. |
Note
Сведения о соответствующих ограничениях для каждой службы см. в отдельной документации по PaaS.