Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье вы узнаете о различных режимах доступа и о том, как перейти к периметру безопасности сети в Azure. Режимы доступа управляют доступом к ресурсам и ведением журнала, помогая защитить ресурсы Azure.
Точка конфигурации режима доступа для сопоставлений ресурсов
Точка конфигурации режима доступа является частью связи ресурсов по периметру и поэтому может быть задана администратором периметра.
accessMode Свойство можно задать в ассоциации ресурсов для управления доступом к общедоступной сети ресурса.
Возможные значения accessMode в настоящее время Принудительно и Переход.
| Режим доступа | Описание |
|---|---|
| Переход | Это режим доступа по умолчанию. Оценка в этом режиме использует конфигурацию периметра безопасности сети в качестве базового плана. Если он не находит соответствующее правило, оценка возвращается к конфигурации брандмауэра ресурсов, которая затем может утвердить доступ с существующими параметрами. |
| Принуждение (Приведено в исполнение) | При явной установке ресурс подчиняется только сетевым правилам периметра безопасности. |
Предотвращение сбоев подключения при внедрении периметра безопасности сети
Включение режима перехода
Чтобы предотвратить нежелательные нарушения подключения при внедрении периметра безопасности сети в существующие ресурсы PaaS и обеспечить плавный переход на безопасные конфигурации, администраторы могут добавлять ресурсы PaaS в периметр безопасности сети в режиме перехода (прежнее название — режим обучения). Хотя этот шаг не защищает ресурсы PaaS, он будет:
- Разрешить устанавливать подключения в соответствии с конфигурацией периметра безопасности сети. Кроме того, ресурсы в этой конфигурации переходят к соблюдению правил брандмауэра, определенных ресурсами, и к поведению доверенного доступа, если подключение не разрешено правилами доступа сетевого периметра безопасности.
- Если журналы диагностики включены, создает журналы с подробными сведениями о том, были ли утверждены подключения на основе конфигурации периметра безопасности сети или конфигурации ресурса. Затем администраторы могут анализировать эти журналы, чтобы определить пробелы в правилах доступа, отсутствие членства в периметре и нежелательные подключения.
Внимание
Операционные ресурсы PaaS в режиме перехода (ранее — обучение) должны служить только переходным этапом. Злоумышленники могут использовать незащищенные ресурсы для эксфильтрации данных. Поэтому крайне важно перейти к полностью безопасной конфигурации как можно скорее с установленным режимом доступа, равным "Принудительно".
Переход к принудительному режиму для существующих ресурсов
Чтобы полностью защитить общедоступный доступ, необходимо перейти к принудительному режиму в периметре безопасности сети. Прежде чем переходить к принудительному режиму, необходимо учитывать влияние на общедоступный, частный, доверенный и периметр доступа. В принудительном режиме поведение сетевого доступа к связанным ресурсам PaaS в разных типах ресурсов PaaS можно обобщить следующим образом:
- Общедоступный доступ: общедоступный доступ относится к входящим или исходящим запросам, сделанным через общедоступные сети. Ресурсы PaaS, защищенные сетевым периметром безопасности, по умолчанию имеют отключенный входящий и исходящий общедоступный доступ, но с помощью правил доступа для периметра можно избирательно разрешать общедоступный трафик, соответствующий этим правилам.
- Доступ к периметру: доступ к периметру относится к входящим или исходящим запросам между ресурсами, частью одного периметра безопасности сети. Для предотвращения проникновения и утечки данных, трафик на границах периметра никогда не будет пересекать их, если явно не одобрен в качестве публичного трафика в принудительном режиме как в точке отправления, так и в месте назначения. Управляемое удостоверение должно быть назначено для ресурсов для доступа к периметру.
- Доверенный доступ. Доверенный доступ к службам относится к нескольким службам Azure, которые обеспечивают доступ через общедоступные сети, когда его источник является определенными службами Azure, которые считаются доверенными. Так как периметр безопасности сети обеспечивает более детализированный контроль, чем доверенный доступ, доверенный доступ не поддерживается в принудительном режиме.
- Частный доступ: Доступ через частные каналы не влияет на периметр безопасности сети.
Перемещение новых ресурсов в периметр безопасности сети
Периметр безопасности сети поддерживает безопасное поведение по умолчанию, введя новое свойство под publicNetworkAccess именем SecuredbyPerimeter. Если задано, он блокирует общедоступный доступ и запрещает доступ к ресурсам PaaS для общедоступных сетей.
При создании ресурса, если publicNetworkAccess установлено как SecuredByPerimeter, ресурс создается в режиме блокировки, даже если он не связан с периметром. При настройке разрешен только трафик приватного канала. После подключения к периметру сети, периметр безопасности управляет доступом к ресурсам. В следующей таблице приведены сведения о поведении доступа в различных режимах и конфигурации доступа к общедоступной сети:
| Режим доступа к ассоциации | Не связан | Режим перехода | Принудительный режим |
|---|---|---|---|
| Доступ к общедоступной сети | |||
| Включено |
Входящие: правила ресурсов исходящие разрешено |
Входящий: Сетевой периметр безопасности + правила ресурсов Исходящий: правила сетевого периметра безопасности + разрешено |
Входящий трафик: правила сетевого периметра безопасности Исходящий трафик: правила сетевого периметра безопасности |
| Отключен |
Входящие сообщения: Запрещено Исходящие сообщения: Разрешено |
Входящий: правила периметра безопасности сети Исходящий: правила периметра безопасности сети + Разрешено |
Входящие: Правила периметра безопасности сети Исходящие: Правила периметра безопасности сети |
| ЗащищеноПериметром |
Входящий: Отказано Исходящий: Отказано |
Входящий: правила периметра безопасности сети Исходящий: правила периметра безопасности сети |
-
Вход: правила периметра безопасности сети - Исход: правила периметра безопасности сети |
Действия по настройке свойств publicNetworkAccess и accessMode
publicNetworkAccess
accessMode Оба свойства можно задать с помощью портал Azure, выполнив следующие действия.
Перейдите к ресурсу периметра безопасности сети в портале Azure.
Выберите "Параметры ресурсов">, чтобы просмотреть список ресурсов, связанных с периметром.
Выберите ... (многоточие) рядом с ресурсом, который требуется настроить.
В раскрывающемся меню выберите "Настроить доступ к общедоступной сети", а затем выберите нужный режим доступа из трех доступных вариантов: "Включено", "Отключено" или "SecuredByPerimeter".
Чтобы задать режим доступа, выберите "Настроить режим доступа" в раскрывающемся меню и выберите нужный режим доступа из двух доступных вариантов: Обучение или принудительное обучение.
