Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Служебная шина Azure поддерживает интеграцию с периметром безопасности сети.
Периметр безопасности сети помогает защитить сетевой трафик между служебной шиной Azure и другой платформой как услуга (PaaS), такими как Azure Key Vault. Ограничивая обмен данными исключительно с ресурсами Azure в пределах своих границ, периметр безопасности сети блокирует несанкционированные попытки доступа к другим ресурсам.
С сетевым периметром безопасности:
- Ресурсы PaaS, связанные с определенным периметром, по умолчанию могут взаимодействовать только с другими ресурсами PaaS в одном периметре.
- Вы можете активно разрешать внешнее входящее и исходящее взаимодействие, задав явные правила доступа.
- Журналы диагностики включены для ресурсов PaaS в периметре для аудита и соответствия требованиям.
Интеграция служебной шины в этой платформе повышает возможности обмена сообщениями, обеспечивая надежные меры безопасности. Эта интеграция повышает масштабируемость и надежность платформы. Она также укрепляет стратегии защиты данных для снижения рисков, связанных с несанкционированным доступом или нарушениями данных.
Работая в качестве службы в рамках Приватного канала Azure, периметр сетевой безопасности упрощает безопасное взаимодействие для служб PaaS, развернутых за пределами виртуальной сети. Он обеспечивает простое взаимодействие между службами PaaS в пределах периметра и упрощает взаимодействие с внешними ресурсами с помощью тщательно настроенных правил доступа. Он также поддерживает исходящие ресурсы, такие как Azure Key Vault для ключей, управляемых клиентом (CMKs). Эта поддержка повышает универсальность и полезность в различных облачных средах.
Сценарии для периметров сетевой безопасности в служебная шина
Служебная шина Azure поддерживает сценарии, требующие доступа к другим ресурсам PaaS. Для работы с CMK требуется обмен данными с Azure Key Vault. Дополнительные сведения см. в разделе Настройка управляемых клиентом ключей для шифрования неактивных данных Служебная шина Azure.
Для устаревшего гео-аварийного восстановления (связывание на основе псевдонима) первичные и вторичные пространства имен должны быть связаны с тем же периметром безопасности сети. Если связано только основное устройство, сопряжение завершается ошибкой.
Правила периметра безопасности сети не управляют трафиком приватного канала через частные конечные точки.
Создание периметра безопасности сети
Создайте собственный ресурс периметра безопасности сети с помощью портала Azure, Azure PowerShell или Azure CLI.
Связывание служебная шина с периметром безопасности сети на портале Azure
Пространство имен служебной шины можно связать с периметром безопасности сети непосредственно из пространства имен служебной шины на портале Azure:
На странице пространства имен служебной шины в разделе "Параметры" выберите "Сеть".
Перейдите на вкладку "Общедоступный доступ ".
В разделе периметра безопасности сети выберите "Связать".
В диалоговом окне выбора периметра безопасности сети найдите и выберите периметр безопасности сети, который требуется связать с пространством имен.
Выберите профиль для связывания с пространством имен.
Выберите "Ассоциировать", чтобы завершить ассоциацию.
Проверка связи с помощью Azure CLI
Чтобы убедиться, что пространство имен связано с периметром безопасности сети:
az servicebus namespace network-rule-set show \
--name <namespace-name> \
--resource-group <resource-group>
Если связь существует, поле publicNetworkAccess отображается SecuredByPerimeter.
Troubleshoot
Доступность функций
Для некоторых возможностей периметров безопасности сети требуется, чтобы флаги функций были зарегистрированы в вашей подписке. Если при настройке правил доступа или ссылок периметра возникает ошибка "Эта функция недоступна для данной подписки", или если пространство имен не отображается в списке связываемых ресурсов при конфигурации сетевого периметра безопасности, зарегистрируйте требуемый флаг функции и повторно зарегистрируйте сетевого провайдера.
| Функциональность | Фича-флаг | Команда регистрации |
|---|---|---|
| Связь ресурсов NSP | AllowNetworkSecurityPerimeter |
az feature register --namespace Microsoft.Network --name AllowNetworkSecurityPerimeter |
| Перекрестные ссылки | AllowNspLink |
az feature register --namespace Microsoft.Network --name AllowNspLink |
| Правила входящего трафика тега службы | EnableServiceTagsInNsp |
az feature register --namespace Microsoft.Network --name EnableServiceTagsInNsp |
После регистрации выполните распространение изменений:
az provider register -n Microsoft.Network
Распространение флага функций может занять до 15 минут.
Сопоставление пространства имен с периметром безопасности сети
При создании унаследованной пары гео-катастрофического восстановления первичные и вторичные пространства имен должны быть связаны с тем же периметром сетевой безопасности. Если возникла ошибка "DisasterRecoveryConfigSecondaryMustHaveAssociationsUnderSameNSP", ассоциируйте вторичное пространство имен с тем же периметром, а затем повторите связывание.