Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье вы узнаете о различных режимах доступа и о том, как перейти к периметру безопасности сети в Azure. Режимы доступа управляют поведением доступа к ресурсу и ведением журнала.
Точка конфигурации режима доступа для сопоставлений ресурсов
Точка конфигурации режима доступа является частью связи ресурсов по периметру и поэтому может быть задана администратором периметра.
accessMode Свойство можно задать в ассоциации ресурсов для управления доступом к общедоступной сети ресурса.
The possible values of accessMode are currently Enforced and Learning.
| Режим доступа | Description |
|---|---|
| Обучение | Это режим доступа по умолчанию. Оценка в этом режиме будет использовать конфигурацию периметра безопасности сети в качестве базового плана, но в случае не поиска соответствующего правила оценка будет возвращаться к конфигурации брандмауэра ресурсов, которая затем может утвердить доступ с существующими параметрами. |
| Enforced | When explicitly set, the resource obeys only network security perimeter access rules. |
Предотвращение сбоев подключения при внедрении периметра безопасности сети
Включение режима обучения
Чтобы предотвратить нежелательные нарушения подключения при внедрении периметра безопасности сети в существующие ресурсы PaaS и обеспечить плавный переход на безопасные конфигурации, администраторы могут добавлять ресурсы PaaS в периметр безопасности сети в режиме обучения. Хотя этот шаг не обеспечивает защиту ресурсов PaaS, он будет:
- Разрешить устанавливать подключения в соответствии с конфигурацией периметра безопасности сети. Additionally, resources in this configuration fallback to honoring resource-defined firewall rules and trusted access behavior when connections aren't permitted by the network security perimeter access rules.
- Если журналы диагностики включены, создает журналы с подробными сведениями о том, были ли утверждены подключения на основе конфигурации периметра безопасности сети или конфигурации ресурса. Затем администраторы могут проанализировать эти журналы, чтобы определить недостатки в правилах доступа, отсутствие членства в периметре и нежелательные подключения.
Внимание
Операционные ресурсы PaaS в режиме обучения должны служить только переходным этапом. Злоумышленники могут использовать незащищенные ресурсы для эксфильтрации данных. Поэтому крайне важно перейти к полностью безопасной конфигурации как можно скорее с режимом доступа, заданным в режиме принудительного применения.
Transition to enforced mode for existing resources
Чтобы полностью защитить общедоступный доступ, необходимо перейти к принудительному режиму в периметре безопасности сети. Прежде чем переходить к принудительному режиму, необходимо учитывать влияние на общедоступный, частный, доверенный и периметр доступа. В принудительном режиме поведение сетевого доступа к связанным ресурсам PaaS в разных типах ресурсов PaaS можно свести следующим образом:
- Общедоступный доступ: общедоступный доступ относится к входящим или исходящим запросам, сделанным через общедоступные сети. Ресурсы PaaS, защищенные сетевым периметром безопасности, по умолчанию имеют отключенный входящий и исходящий общедоступный доступ, но с помощью правил доступа для периметра можно избирательно разрешать общедоступный трафик, соответствующий этим правилам.
- Доступ к периметру: доступ к периметру относится к входящим или исходящим запросам между ресурсами, частью одного периметра безопасности сети. Для предотвращения проникновения и утечки данных, трафик на границах периметра никогда не будет пересекать их, если явно не одобрен в качестве публичного трафика в принудительном режиме как в точке отправления, так и в месте назначения. Manged identity needs to be assigned on resources for perimeter access.
- Доверенный доступ. Доверенный доступ к службам относится к нескольким службам Azure, которые обеспечивают доступ через общедоступные сети, когда его источник является определенными службами Azure, которые считаются доверенными. Так как периметр безопасности сети обеспечивает более детализированный контроль, чем доверенный доступ, доверенный доступ не поддерживается в принудительном режиме.
- Частный доступ: доступ через Приватный канал не влияет на периметр безопасности сети.
Перемещение новых ресурсов в периметр безопасности сети
Периметр безопасности сети поддерживает безопасное поведение по умолчанию, введя новое свойство под publicNetworkAccess именем SecuredbyPerimeter. Если задано, он блокирует общедоступный доступ и запрещает доступ к ресурсам PaaS для общедоступных сетей.
При создании ресурса, если publicNetworkAccess установлено как SecuredByPerimeter, ресурс создается в режиме блокировки, даже если он не связан с периметром. При настройке разрешен только трафик приватного канала. После подключения к периметру сети, периметр безопасности управляет доступом к ресурсам. В следующей таблице приведены сведения о поведении доступа в различных режимах и конфигурации доступа к общедоступной сети:
| Association access mode | Не связан | Режим обучения | Принудительный режим |
|---|---|---|---|
| Доступ к общедоступной сети | |||
| Включено |
Inbound: Resource rules Outbound Allowed |
Inbound: Network security perimeter + Resource rules Outbound Network security perimeter rules + Allowed |
Входящий трафик: правила сетевого периметра безопасности Исходящий трафик: правила сетевого периметра безопасности |
| Отключен |
Входящие сообщения: Запрещено Исходящие сообщения: Разрешено |
Входящий: правила периметра безопасности сети Исходящий: правила периметра безопасности сети + Разрешено |
Входящие: Правила периметра безопасности сети Исходящие: Правила периметра безопасности сети |
| ЗащищеноПериметром |
Входящий: Отказано Исходящий: Отказано |
Входящий: правила периметра безопасности сети Исходящий: правила периметра безопасности сети |
-
Вход: правила периметра безопасности сети - Исход: правила периметра безопасности сети |
Действия по настройке свойств publicNetworkAccess и accessMode
publicNetworkAccess
accessMode Оба свойства можно задать с помощью портал Azure, выполнив следующие действия.
Перейдите к ресурсу периметра безопасности сети в портале Azure.
Выберите "Параметры ресурсов">, чтобы просмотреть список ресурсов, связанных с периметром.
Выберите ... (многоточие) рядом с ресурсом, который требуется настроить.
В раскрывающемся меню выберите "Настроить доступ к общедоступной сети", а затем выберите нужный режим доступа из трех доступных вариантов: "Включено", "Отключено" или "SecuredByPerimeter".
Чтобы задать режим доступа, выберите "Настроить режим доступа" в раскрывающемся меню и выберите нужный режим доступа из двух доступных вариантов: Обучение или принудительное обучение.
