Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Периметр безопасности сети позволяет организациям определять границу логической сетевой изоляции для ресурсов PaaS (например, хранилища BLOB-объектов Azure и базы данных SQL), развернутых за пределами своих виртуальных сетей. Эта функция ограничивает доступ к ресурсам PaaS за пределами периметра. Однако вы можете исключить доступ с помощью явных правил доступа для общедоступного входящего и исходящего трафика. Это помогает предотвратить утечку нежелательных данных из ресурсов хранилища. В периметре безопасности сети ресурсы-члены могут свободно взаимодействовать друг с другом. Правила периметра безопасности сети переопределяют собственные параметры брандмауэра учетной записи хранения. Доступ из периметра имеет наивысший приоритет над другими ограничениями сети.
Список служб, подключенных к периметру безопасности сети, можно найти здесь. Если служба не указана, она еще не подключена. Чтобы разрешить доступ к определенному ресурсу из не включенной в сеть службы, можно создать правило подписки для сетевого периметра безопасности. Правило на основе подписки предоставляет доступ ко всем ресурсам в этой подписке. Дополнительные сведения о добавлении правила доступа на основе подписки см. в этой документации.
Режимы доступа
При подключении учетных записей хранилища к периметру безопасности сети можно начать в режиме перехода (ранее режим обучения) или перейти непосредственно в режим принудительного выполнения. Режим перехода (по умолчанию) позволяет учетной записи хранения вернуться к существующим правилам брандмауэра или параметрам доверенных служб , если правило периметра еще не разрешает подключение. В принудительном режиме строго блокируется весь общедоступный входящий и исходящий трафик, если не разрешен явным образом правилом периметра безопасности сети, обеспечивая максимальную защиту учетной записи хранения. В принудительном режиме даже исключения доверенной службы Azure не учитываются. При необходимости соответствующие ресурсы Azure или определенные подписки должны быть явно разрешены с помощью правил периметра.
Important
Операционные учетные записи хранения в режиме перехода (прежнее название — обучение) должны служить только переходным этапом. Злоумышленники могут использовать незащищенные ресурсы для эксфильтрации данных. Поэтому крайне важно перейти к полностью безопасной конфигурации как можно скорее с установленным режимом доступа, равным "Принудительно".
Приоритет сети
Если учетная запись хранения является частью периметра безопасности сети, правила доступа соответствующего профиля переопределяют собственные параметры брандмауэра учетной записи, становясь ключевым сетевым контролером. Доступ, разрешенный или запрещенный периметром, имеет приоритет, и параметры учетной записи "Разрешенные сети" обходятся, когда учетная запись хранения связана в принудительном режиме. Удаление учетной записи для хранения данных из сетевого периметра безопасности восстанавливает управление обычным брандмауэром. Периметры безопасности сети не влияют на трафик частной конечной точки. Подключения через приватный канал всегда завершаются успешно. Для внутренних служб Azure ("доверенные службы"), только службы, явно подключенные к периметру безопасности сети , могут быть разрешены с помощью правил доступа к периметру. В противном случае их трафик блокируется по умолчанию, даже если правила брандмауэра учетной записи хранения являются доверенными. Для служб, которые еще не подключены, альтернативные варианты включают правила уровня подписки для входящего доступа и полностью квалифицированные доменные имена (FQDN) для исходящего доступа или через частные ссылки.
Important
Трафик частной конечной точки считается высокозащищенным и поэтому не подлежит правилам периметра безопасности сети. Весь остальной трафик, включая доверенные службы, подчиняется правилам периметра безопасности сети, если учетная запись для хранения связана с периметром.
Покрытие функций в пределах сетевого периметра безопасности
Если учетная запись хранения связана с параметрами безопасности сети, поддерживаются все стандартные операции с плоскостью данных для BLOB-объектов, файлов, таблиц и очередей, если не указано в известных ограничениях. Все операции на основе HTTPS для хранилища BLOB-объектов Azure, Azure Data Lake Storage 2-го поколения, Службы файлов Azure, хранилища таблиц Azure и хранилища очередей Azure можно ограничить с помощью периметра безопасности сети.
Limitations
| Feature | Состояние поддержки | Recommendations |
|---|---|---|
| Репликация объектов для Хранилища BLOB-объектов Azure | Не поддерживается. Репликация объектов между учетными записями хранения завершается ошибкой, если исходная или целевая учетная запись связана с периметром безопасности сети. | Не настраивайте периметр безопасности сети в учетных записях хранения, которым требуется репликация объектов. Аналогичным образом не включите репликацию объектов в учетных записях, связанных с периметром безопасности сети, пока не будет доступна поддержка. Если репликация объектов уже включена, невозможно связать периметр безопасности сети. Аналогичным образом, если периметр безопасности сети уже связан, невозможно включить репликацию объектов. Это ограничение запрещает настройку неподдерживаемого сценария. |
| Доступ к сетевой файловой системе (NFS) через Blobs Azure и Files Azure, доступ к блоку сообщений сервера (SMB) через файлы Azure и протокол SFTP (SSH File Transfer Protocol) через Blobs Azure | Все протоколы, отличные от доступа на основе HTTPS, блокируются при сопоставлении учетной записи хранения с периметром безопасности сети. | Если вам нужно использовать любой из этих протоколов для доступа к учетной записи хранения, не свяжите учетную запись с периметром безопасности сети. |
| Azure Backup | Не поддерживается. Azure Backup как услуга еще не подключена к периметру безопасности сети. | Рекомендуется не связывать учетную запись с периметром безопасности сети, если вы включили резервные копии или планируете использовать Azure Backup. После подключения Azure Backup к периметру безопасности сети вы можете начать использовать обе эти функции вместе. |
| Неуправляемые диски | Неуправляемые диски не учитывают правила периметра безопасности сети. | Избегайте использования неуправляемых дисков в учетных записях хранения, защищенных периметром безопасности сети |
| Статический веб-сайт | Не поддерживается | Статический веб-сайт, открытый в природе, нельзя использовать с периметром безопасности сети. Если статический веб-сайт уже включен, невозможно связать периметр безопасности сети. Аналогичным образом, если периметр безопасности сети уже связан, вы не можете включить статический веб-сайт. Это ограничение запрещает настройку неподдерживаемого сценария. |
Warning
Для учетных записей хранения, связанных с периметром безопасности сети, для обеспечения работы сценариев управляемых клиентом ключей (CMK) убедитесь, что Azure Key Vault доступен из периметра, к которому связана учетная запись хранения.
Связывание периметра безопасности сети с учетной записью хранения
Чтобы связать периметр безопасности сети с учетной записью хранения, выполните следующие общие инструкции для всех ресурсов PaaS.
Дальнейшие шаги
- Дополнительные сведения о конечных точках службы сети Azure.
- Углубитесь в изучение рекомендаций по безопасности для хранения объектов Blob Azure.
- Включите журналы диагностики для периметра безопасности сети.