Поделиться через

Политики конечных точек службы виртуальной сети для службы хранилища Azure

  • Статья

Политики конечных точек службы виртуальной сети позволяют фильтровать исходящий трафик виртуальной сети на учетные записи хранения Azure по конечному узлу службы и разрешать передачу данных только определённым учетным записям хранения Azure. Политики конечных точек предоставляют детальный контроль доступа для трафика виртуальной сети к хранилищу Azure при подключении через конечную точку службы.

Схема обеспечения безопасности исходящего трафика виртуальной сети для учетных записей хранилища Azure.

Эта функция является общедоступной для службы хранилища Azure во всех глобальных регионах Azure.

Ключевые преимущества

Политики конечных точек служб для виртуальной сети предоставляют следующие преимущества:

  • Повышение уровня безопасности трафика из виртуальной сети к службе хранилища Azure

    Теги служб Azure для групп безопасности сети позволяют ограничить исходящий трафик из виртуальной сети в определенных регионах службы хранилища Azure. Однако этот процесс разрешает трафик к любой учетной записи хранилища Azure в выбранном регионе службы хранилища Azure.

    Политики конечных точек позволяют указать учетные записи службы хранилища Azure, которым нужно предоставить доступ к исходящему трафику виртуальной сети, и ограничивают доступ для всех остальных учетных записей хранения. Этот процесс обеспечивает гораздо более детальный контроль безопасности для защиты от кражи данных из виртуальной сети.

  • Фильтрация трафика служб Azure с помощью масштабируемых высокодоступных политик

    Политики конечных точек — это горизонтально масштабируемое высокодоступное решение, позволяющее фильтровать трафик служб Azure из виртуальных сетей через конечные точки служб. Дополнительные расходы не требуются для поддержания центральных сетевых устройств для данного трафика в виртуальных сетях.

Объект JSON для политик конечных точек службы

Давайте кратко рассмотрим объект политики конечных точек службы.

"serviceEndpointPolicyDefinitions": [
    {
            "description": null,
            "name": "MySEP-Definition",
            "resourceGroup": "MySEPDeployment",
            "service": "Microsoft.Storage",
            "serviceResources": [ 
                    "/subscriptions/subscriptionID/resourceGroups/MySEPDeployment/providers/Microsoft.Storage/storageAccounts/mystgacc"
            ],
            "type": "Microsoft.Network/serviceEndpointPolicies/serviceEndpointPolicyDefinitions"
    }
]

Настройка

  • С помощью политик конечных точек вы можете ограничивать трафик из виртуальной сети к определенным учетным записям службы хранилища Azure.

  • Политика конечной точки настраивается в подсети виртуальной сети. Чтобы применить политику, в подсети необходимо включить конечные точки службы для службы хранилища Azure.

  • Политика конечных точек позволяет добавлять определенные учетные записи хранилища Azure в белый список с помощью формата resourceID. Доступ можно ограничить следующими способами:

    • Все учетные записи хранения в подписке
      E.g. /subscriptions/subscriptionId

    • Все учетные записи хранения в группе ресурсов
      E.g. subscriptions/subscriptionId/resourceGroups/resourceGroupName

    • Отдельная учетная запись облачного хранения, указав соответствующий идентификатор ресурса Azure Resource Manager. Это охватывает трафик к BLOB-объектам, таблицам, очередям, файлам и Azure Data Lake Storage второго поколения.
      E.g. /subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.Storage/storageAccounts/storageAccountName

  • По умолчанию, если в подсети с конечными точками не применена политика, доступ можно получать ко всем учетным записям хранения в службе. Как только политика конфигурируется на этой подсети, доступ из вычислительных экземпляров в данной подсети возможен только к ресурсам, указанным в политике. Доступ ко всем другим учетным записям хранения запрещен.

  • Когда политики конечных точек службы применяются к подсети, область применения конечной точки службы хранилища Azure обновляется с регионального уровня до глобального. Этот процесс означает, что после этого весь трафик к хранилищу Azure защищается за счет конечной точки службы. Политики конечных точек службы также применимы глобально. Любые учетные записи хранения, которые явно не разрешены, запрещены.

  • К подсети можно применять несколько политик. Если несколько политик связаны с подсетью, трафик виртуальной сети к ресурсам, указанным в любой из этих политик, разрешен. Доступ ко всем другим ресурсам службы, не указанным в каких-либо политиках, запрещен.

Примечание.

Политики конечных точек службы — это политики предоставления разрешения, поэтому доступ для всех ресурсов, помимо указанных, будет ограничен. Убедитесь, что все зависимости ресурсов службы для приложений определены и указаны в политике.

  • В политике конечных точек можно указывать только учетные записи хранения, использующие модель ресурсов Azure. Классические учетные записи служба хранилища Azure не поддерживают политики конечных точек службы Azure.

  • Вторичный доступ RA-GRS разрешен автоматически, если указана основная учетная запись.

  • Учетные записи хранения могут находиться в той же или другой подписке или клиенте Microsoft Entra, что и виртуальная сеть.

Сценарии

  • Одноранговая, подключенная виртуальная сеть или несколько виртуальных сетей. Чтобы фильтровать трафик в одноранговых виртуальных сетях, политики конечных точек следует применять отдельно к каждой из них.

  • Фильтрация интернет-трафика с помощью сетевых модулей или Брандмауэра Azure. Часть трафика служб Azure можно фильтровать с помощью политик через конечные точки службы, а остальную часть интернет-трафика или трафика Azure — через модули или Брандмауэр Azure.

  • Фильтрация трафика в службах Azure, развернутых в виртуальная сеть. В настоящее время политики конечных точек службы Azure не поддерживаются для управляемых служб Azure, развернутых в виртуальной сети.

  • Фильтрация трафика к службам Azure из локальной среды. Политики конечных точек служб применяются только к связанными с ними подсетям. Чтобы разрешить доступ к определенным ресурсам служб Azure из локальной среды, трафик следует фильтровать с помощью виртуальных сетевых модулей или брандмауэров.

Ведение журнала и устранение неполадок

Политики конечных точек служб не поддерживают централизованное ведение журнала. Сведения о журналах ресурсов служб см. в разделе Ведение журнала конечных точек службы.

Сценарии устранения неисправностей

  • Доступ запрещен к аккаунтам хранения, которые работали в предварительном режиме (не в парном регионе).

    • После обновления службы хранилища Azure для использования глобальных тегов службы, область действия конечной точки службы и, следовательно, политик конечной точки службы теперь является глобальной. Таким образом, любой трафик, поступающий в службу хранилища Azure, шифруется через конечные точки службы и доступ к нему будет разрешен только учетным записям хранилища, явным образом указанным в политике.

    • Явно разрешите все необходимые учетные записи хранения, чтобы восстановить доступ.

    • Обратитесь в службу поддержки Azure.

  • Доступ запрещен к учетным записям, указанным в политиках конечных точек

    • Группы безопасности сети или брандмауэр могут блокировать доступ.

    • Если после удаления и повторного применения политики исчезает подключение, сделайте следующее:

      • Проверьте, разрешен ли в службе Azure доступ из виртуальной сети через конечные точки, и имеет ли политика по умолчанию ресурса значение Разрешить все.

      • Проверьте, имеются ли в журнале диагностики службы данные о трафике через конечные точки.

      • Проверьте, имеются ли в журналах потоков групп безопасности сети данные о доступе, а также имеются ли в журналах хранилища сведения о доступе через конечные точки служб (как и предполагается).

      • Обратитесь в службу поддержки Azure.

  • Доступ запрещен к учетным записям, не указанным в политиках конечных точек служб

    • Проверьте, разрешен ли в службе хранилища Azure доступ из виртуальной сети через конечные точки, и имеет ли политика по умолчанию ресурса значение Разрешить все.

    • Убедитесь, что учетные записи не являются классическими учетными записями хранения с политиками конечных точек службы в подсети.

  • Управляемая служба Azure перестала работать после применения политики конечной точки службы к подсети

    • Управляемые службы, отличные от Управляемый экземпляр SQL Azure, в настоящее время не поддерживаются конечными точками службы.

  • Доступ к управляемым учетным записям хранения перестал работать после применения политики конечных точек службы к подсети

    • Управляемые учетные записи хранения не поддерживаются политиками конечных точек службы. Если настроено, политики по умолчанию запрещают доступ ко всем управляемым учетным записям хранения. Если приложению требуется доступ к управляемым учетным записям хранения, политики конечных точек не должны использоваться для этого трафика.

Подготовка

Пользователь с правами на запись в виртуальную сеть настраивает политики серверных конечных точек в подсетях. Узнайте больше о встроенных ролях Azure и назначении разрешений, определенных для настраиваемых ролей.

Виртуальные сети и учетные записи службы хранилища Azure могут находиться в одной или разных подписках или арендаторах Microsoft Entra.

Ограничения

  • Политики конечных точек служб можно применять только в виртуальных сетях, развернутых на основе модели развертывания с помощью Azure Resource Manager.

  • Виртуальные сети должны находиться в том же регионе и подписке, что и политика конечной точки сервиса.

  • Политику конечных точек служб можно применять в подсети, только если в указанных в этой политике службах Azure настроены конечные точки служб.

  • Политики конечных точек служб нельзя применять к трафику из локальной сети к службам Azure.

  • Управляемые службы Azure, кроме Управляемого экземпляра SQL Azure, в настоящее время не поддерживают политики конечных точек. Это ограничение включает управляемые службы, развернутые в общих подсетях (например, пакетная служба Azure, доменные службы Microsoft Entra, Шлюз приложений Azure, Azure VPN-шлюз, Брандмауэр Azure) или в выделенные подсети (например, среда службы приложений Azure, кэш Redis Azure, управление API Azure, классические управляемые службы).

Предупреждение

В соответствии с требованиями к инфраструктуре службы Azure, развернутые в виртуальной сети, например Azure HDInsight, получают доступ к другим службам Azure, например служба хранилища Azure. Ограничение доступа к определенным ресурсам с помощью политики конечных точек может заблокировать доступ к этим ресурсам инфраструктуры для служб Azure, развернутых в виртуальной сети.

  • Классические учетные записи хранения не поддерживаются в политиках конечных точек. Политики запрещают доступ ко всем классическим учетным записям хранения по умолчанию. Если приложению требуется доступ к Azure Resource Manager и классическим учетным записям хранения, политики конечных точек не следует использовать для этого трафика.

Цены и ограничения

Дополнительная плата за использование политик конечной точки службы не взимается. Текущая модель ценообразования для служб Azure, таких как Azure Storage, применяется в настоящее время как есть через конечные точки служб.

К политикам конечных точек служб применяются следующие ограничения:

Ресурс Ограничение по умолчанию
Политики конечных точек служб на подписку 500
ПолитикиТочекКонечнойСлужбыНаПодсеть 100
Политики конечных точек служб на виртуальную сеть 100
Ресурсы служб для каждой политики определения конечных точек служб 200

Следующие шаги