Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure Service Bus unterstützt die Integration in einen Netzwerksicherheitsperimeter.
Ein Netzwerksicherheitsperimeter trägt dazu bei, den Netzwerkdatenverkehr zwischen Azure Service Bus und anderen PaaS-Angeboten (PaaS) wie Azure Key Vault zu schützen. Durch das Eingrenzen der Kommunikation ausschließlich an Azure-Ressourcen innerhalb ihrer Grenzen blockiert ein Netzwerksicherheitsperimeter nicht autorisierte Versuche, auf andere Ressourcen zuzugreifen.
Bei Verwendung eines Netzwerksicherheitsperimeters gilt Folgendes:
- PaaS-Ressourcen, die einem bestimmten Umkreis zugeordnet sind, können standardmäßig nur mit anderen PaaS-Ressourcen innerhalb desselben Perimeters kommunizieren.
- Sie können die externe eingehende und ausgehende Kommunikation aktiv zulassen, indem Sie explizite Zugriffsregeln festlegen.
- Diagnoseprotokolle sind für PaaS-Ressourcen innerhalb des Umkreises für Überwachung und Compliance aktiviert.
Durch die Integration von Service Bus in dieses Framework werden Messaging-Funktionen verbessert und gleichzeitig robuste Sicherheitsmaßnahmen bereitgestellt. Diese Integration verbessert die Skalierbarkeit und Zuverlässigkeit der Plattform. Darüber hinaus stärkt sie Strategien zum Datenschutz, um Risiken zu mindern, die mit unbefugtem Zugriff oder Datenschutzverletzungen verbunden sind.
Durch den Betrieb als Dienst unter Azure Private Link erleichtert ein Netzwerksicherheitsperimeter die sichere Kommunikation für PaaS-Dienste, die außerhalb des virtuellen Netzwerks bereitgestellt werden. Er ermöglicht eine nahtlose Interaktion zwischen PaaS-Diensten innerhalb des Perimeters und erleichtert die Kommunikation mit externen Ressourcen durch sorgfältig konfigurierte Zugriffsregeln. Sie unterstützt auch ausgehende Ressourcen wie Azure Key Vault für vom Kunden verwaltete Schlüssel (CMKs). Durch diese Unterstützung wird die Vielseitigkeit und das Nutzen in verschiedenen Cloudumgebungen weiter verbessert.
Szenarien für Netzwerksicherheitsperimeter in Service Bus
Azure Service Bus unterstützt Szenarien, die Zugriff auf andere PaaS-Ressourcen erfordern. CMKs erfordern die Kommunikation mit Azure Key Vault. Weitere Informationen finden Sie unter Konfigurieren Sie kundengesteuerte Schlüssel zum Verschlüsseln von ruhenden Daten des Azure Service Bus.
Für die ältere Geo-Notfallwiederherstellung (aliasbasierte Kopplung) müssen sowohl die primären als auch die sekundären Namespaces demselben Netzwerksicherheitsperimeter zugeordnet sein. Wenn nur der Primärgerät zugeordnet ist, schlägt das Pairing fehl.
Netzwerksicherheitsperimeterregeln regeln keinen privaten Linkdatenverkehr über private Endpunkte.
Erstellen eines Netzwerksicherheitsperimeters
Erstellen Sie Ihre eigene Netzwerksicherheitsperimeterressource mithilfe des Azure-Portals, Azure PowerShell oder der Azure CLI.
Zuordnen von Service Bus zu einem Netzwerksicherheitsperimeter im Azure-Portal
Sie können Ihren Service Bus-Namespace einem Netzwerksicherheitsperimeter direkt aus dem Service Bus-Namespace im Azure-Portal zuordnen:
Wählen Sie auf der Seite für Ihren Service Bus-Namespace unter "Einstellungen" die Option "Netzwerk" aus.
Wählen Sie die Registerkarte "Öffentlicher Zugriff" aus .
Wählen Sie im Abschnitt Netzwerksicherheitsperimeter die Option Zuordnen aus.
Suchen Sie im Dialogfeld " Netzwerksicherheitsperimeter auswählen" nach dem Netzwerksicherheitsperimeter, den Sie dem Namespace zuordnen möchten, und wählen Sie den Netzwerksicherheitsperimeter aus.
Wählen Sie ein Profil aus, das dem Namespace zugeordnet werden soll.
Wählen Sie "Verbinden", um die Zuordnung abzuschließen.
Überprüfen der Zuordnung mithilfe der Azure CLI
So überprüfen Sie, ob Ihr Namespace einem Netzwerksicherheitsperimeter zugeordnet ist:
az servicebus namespace network-rule-set show \
--name <namespace-name> \
--resource-group <resource-group>
Wenn die Zuordnung vorhanden ist, zeigt das publicNetworkAccess Feld SecuredByPerimeter an.
Troubleshoot
Verfügbarkeit von Funktionen
Einige Funktionen von Netzwerksicherheitsperimetern erfordern die Registrierung von Featurekennzeichnungen in Ihrem Abonnement. Wenn beim Konfigurieren von Zugriffsregeln oder Umkreislinks ein Fehler "Dieses Feature ist für ein bestimmtes Abonnement nicht verfügbar" auftritt oder Ihr Namespace nicht in der Liste der assoziierbaren Ressourcen beim Konfigurieren eines Netzwerksicherheitsperimeters angezeigt wird, registrieren Sie das erforderliche Featureflagge, und registrieren Sie den Netzwerkanbieter erneut:
| Fähigkeit | Featureflag | Registrierungsbefehl |
|---|---|---|
| NSP-Ressourcenzuordnung | AllowNetworkSecurityPerimeter |
az feature register --namespace Microsoft.Network --name AllowNetworkSecurityPerimeter |
| Umkreisübergreifende Verknüpfungen | AllowNspLink |
az feature register --namespace Microsoft.Network --name AllowNspLink |
| Eingehende Regeln für Diensttags | EnableServiceTagsInNsp |
az feature register --namespace Microsoft.Network --name EnableServiceTagsInNsp |
Geben Sie nach der Registrierung die Änderung weiter:
az provider register -n Microsoft.Network
Die Featureflagweitergabe kann bis zu 15 Minuten dauern.
Zuordnung des Namensraums zu einem Netzwerksicherheitsperimeter
Wenn Sie eine ältere Geo-Notfallwiederherstellungspaarung erstellen, müssen die primären und sekundären Namespaces demselben Netzwerksicherheitsperimeter zugeordnet sein. Wenn ein Fehler "DisasterRecoveryConfigSecondaryMustHaveAssociationsUnderSameNSP" auftritt, ordnen Sie den sekundären Namespace demselben Umkreis zu, und wiederholen Sie dann die Kopplung.