Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Der Netzwerksicherheitsperimeter ermöglicht Organisationen die Definition einer logischen Netzwerkisolationsgrenze für PaaS-Ressourcen wie Azure-Dateien, die außerhalb ihrer virtuellen Netzwerke bereitgestellt werden. Dieses Feature schränkt den Zugriff auf öffentliche Netzwerke auf PaaS-Ressourcen außerhalb des Perimeters ein. Sie können den Zugriff jedoch mit expliziten Zugriffsregeln für öffentlichen eingehenden und ausgehenden Datenverkehr ausschließen. Dadurch wird verhindert, dass unerwünschte Datenexfiltration aus Ihren Speicherressourcen erfolgt. Innerhalb eines Netzwerksicherheitsperimeters können Mitgliederressourcen frei miteinander kommunizieren. Netzwerksicherheitsperimeterregeln setzen die eigenen Firewalleinstellungen des Speicherkontos außer Kraft. Der Zugriff innerhalb des Umkreises hat vorrang vor anderen Netzwerkeinschränkungen.
Hier finden Sie die Liste der Dienste, die in den Netzwerksicherheitsperimeter integriert sind. Wenn ein Dienst nicht aufgeführt ist, ist er noch nicht integriert. Um den Zugriff auf eine bestimmte Ressource von einem nicht integrierten Dienst zuzulassen, können Sie eine abonnementbasierte Regel für den Netzwerksicherheitsperimeter erstellen. Eine abonnementbasierte Regel gewährt Zugriff auf alle Ressourcen innerhalb dieses Abonnements. Ausführliche Informationen zum Hinzufügen einer abonnementbasierten Zugriffsregel finden Sie in dieser Dokumentation.
Zugriffsmodi
Beim Onboarding von Speicherkonten in einen Netzwerksicherheitsperimeter können Sie entweder im Übergangsmodus (vormals Lernmodus) starten oder direkt zum erzwungenen Modus wechseln. Der Übergangsmodus (der Standardzugriffsmodus) ermöglicht es dem Speicherkonto, auf die vorhandenen Firewallregeln oder Einstellungen für vertrauenswürdige Dienste zurückzugreifen, wenn eine Umkreisregel noch keine Verbindung zulässt. Der erzwungene Modus blockiert streng alle öffentlichen eingehenden und ausgehenden Datenverkehrs, es sei denn, dies ist explizit durch eine Netzwerksicherheitsperimeterregel zulässig, wodurch ein maximaler Schutz für Ihr Speicherkonto sichergestellt wird. Im erzwungenen Modus werden die vertrauenswürdigen Dienst-Ausnahmen von Azure nicht berücksichtigt. Relevante Azure-Ressourcen oder bestimmte Abonnements müssen explizit über Umkreisregeln zugelassen werden. Weitere Informationen finden Sie unter Übergang zu einem Netzwerksicherheitsperimeter in Azure.
Von Bedeutung
Das Ausführen von Speicherkonten im Übergangsmodus sollte nur als Übergangsschritt dienen. Böswillige Akteure nutzen möglicherweise ungesicherte Ressourcen, um Daten zu exfiltrieren. Daher ist es wichtig, so schnell wie möglich zu einer vollständig sicheren Konfiguration zu wechseln, wobei der Zugriffsmodus auf "Erzwungen" festgelegt ist.
Netzwerkpriorität
Wenn ein Speicherkonto Teil eines Netzwerksicherheitsperimeters ist, überschreiben die Zugriffsregeln des jeweiligen Profils die eigenen Firewalleinstellungen des Kontos und werden zum Netzwerk-Gatekeeper der obersten Ebene. Der vom Umkreis zugelassene oder verweigerte Zugriff hat Vorrang, und die Einstellungen für zulässige Netzwerke des Speicherkontos werden umgangen, wenn das Speicherkonto im erzwungenen Modus zugeordnet ist. Durch das Entfernen des Speicherkontos aus einem Netzwerksicherheitsperimeter wird die Kontrolle wieder auf die normale Firewall zurückgesetzt. Netzwerksicherheitsperimeter wirken sich nicht auf privaten Endpunktdatenverkehr aus. Verbindungen über private Verknüpfungen sind immer erfolgreich. Für interne Azure-Dienste (vertrauenswürdige Dienste) sind nur Dienste, die explizit in den Umkreissicherheitsperimeter integriert sind, über Umkreiszugriffsregeln zulässig. Andernfalls wird der Datenverkehr standardmäßig blockiert, auch wenn er in den Firewallregeln des Speicherkontos als vertrauenswürdig eingestuft ist. Für Dienste, die noch nicht aktiviert wurden, beinhalten Alternativen Zugriffsregeln auf der Ebene des Abonnements für eingehende Verbindungen sowie vollqualifizierte Domänennamen (Fully Qualified Domain Names, FQDN) für den ausgehenden Zugriff oder den Zugriff über private Verbindungen.
Von Bedeutung
Privater Endpunktdatenverkehr gilt als sehr sicher und unterliegt daher nicht den Regeln für Netzwerksicherheitsperimeter. Alle anderen Datenverkehr, einschließlich vertrauenswürdiger Dienste, unterliegen Netzwerksicherheitsperimeterregeln, wenn das Speicherkonto einem Umkreis zugeordnet ist.
Funktionsabdeckung innerhalb des Netzwerk-Sicherheitsperimeters
Wenn ein Speicherkonto einem Netzwerksicherheitsperimeter zugeordnet ist, werden alle standardmäßigen Datenebenenvorgänge für Blobs, Dateien, Tabellen und Warteschlangen unterstützt, sofern nicht unter den bekannten Einschränkungen angegeben. Sie können HTTPS-basierte Vorgänge für Azure Files, Azure Blob Storage, Azure Data Lake Storage Gen2, Azure Table Storage und Azure Queue Storage mithilfe des Netzwerksicherheitsperimeters einschränken.
In den folgenden Tabellen werden die Netzwerksicherheitsperimeter und die Protokollunterstützung nur für Azure Files beschrieben. Wenn Sie nach Featureabdeckung für Azure Blob Storage und andere Azure Storage-Dienste suchen, lesen Sie diesen Artikel.
In der folgenden Tabelle wird die Unterstützung für die Durchsetzung eingehender Netzwerksicherheitsperimeter für Azure Files beschrieben.
| Funktion | Supportstatus | Empfehlungen |
|---|---|---|
| Privater Link | Unterstützt für alle Protokolle (REST, SMB, NFS) | Private Link-Regeln haben Vorrang vor dem Netzwerksicherheitsperimeter. Eingehender Privater Linkdatenverkehr wird unabhängig von der Netzwerksicherheitsperimeterkonfiguration immer akzeptiert. |
| Azure Files REST mit OAuth | Unterstützt | Vollständiger Support |
| Azure Files REST mit freigegebenem Schlüssel oder SAS-Authentifizierung | Unterstützt nur eingehende IP-Regeln | Freigegebener Schlüssel und SAS sind keine OAuth-basierten Protokolle, sodass sie keine Informationen über den Quellperimeter oder das Abonnement enthalten können. Daher werden eingehende Perimeter- und Abonnementregeln nicht berücksichtigt. IP-Regeln werden unterstützt (bis zu 200 Regeln). |
| Azure Files SMB mit NTLM oder Kerberos | Unterstützt nur eingehende IP-Regeln | NTLM oder Kerberos sind keine OAuth-basierten Protokolle, sodass sie keine Informationen über den Quellperimeter oder das Abonnement enthalten können. Daher werden eingehende Perimeter- und Abonnementregeln nicht berücksichtigt. IP-Regeln werden unterstützt (bis zu 200 Regeln). |
| Azure Files NFS | Aller eingehender Datenverkehr verweigert | Der gesamte eingehende Datenverkehr mit Ausnahme des privaten Links wird verweigert, wenn Sie Ihr Speicherkonto in einem Netzwerksicherheitsperimeter im erzwungenen Modus platzieren. Ausgehender Datenverkehr für vom Kunden verwaltete Schlüssel (CMK) wird unterstützt. |
In der folgenden Tabelle wird die Integrationsunterstützung für den Netzwerksicherheitsperimeter für Azure Files beschrieben.
| Funktion | Supportstatus | Empfehlungen |
|---|---|---|
| Vom Kunden verwaltete Schlüssel | Unterstützt für alle Protokolle (REST, SMB, NFS) | Wenn Sie den Key Vault, der das CMK hostet, in einem Netzwerksicherheitsperimeter platzieren, sollten Sie das Speicherkonto im selben Umkreis platzieren oder das Netzwerksicherheitsprofil des Key Vault so konfigurieren, dass das Speicherkonto mit dem Key Vault kommunizieren kann. |
| Azure Backup | Nicht unterstützt. Azure Backup ist noch nicht in den Netzwerksicherheitsperimeter integriert. | Vermeiden Sie die Verwendung des Netzwerksicherheitsperimeters für Speicherkonten mit Azure Backup, bis das Onboarding abgeschlossen ist. |
| Azure-Dateisynchronisierung | Nicht vollständig unterstützt. Azure File Sync hat eine bekannte Einschränkung für Netzwerksicherheitsperimeter. | Um eine Speichersynchronisierungsdienstressource mit Ihrem Speicherkonto zu verbinden, müssen Sie zuerst den Speichersynchronisierungsdienst für die Verwendung verwalteter Identitäten konfigurieren. Konfigurieren Sie dann eine Netzwerksicherheitsperimeterregel für eingehende Profile, um das Abonnement des Speichersynchronisierungsdiensts zuzulassen. Speichersynchronisierungsdienste können nicht mit Umkreisen verknüpft werden. |
Warnung
Für Speicherkonten, die einem Netzwerksicherheitsschutzbereich zugeordnet sind, stellen Sie sicher, dass der Azure Key Vault innerhalb des Bereichs zugänglich ist, dem das Speicherkonto zugeordnet ist, damit Szenarien mit vom Kunden verwalteten Schlüsseln (CMK) funktionieren.
Zuordnen eines Netzwerksicherheitsperimeters zu einem Speicherkonto
Um einen Netzwerksicherheitsperimeter einem Speicherkonto zuzuordnen, befolgen Sie diese allgemeinen Anweisungen für alle PaaS-Ressourcen.
Nächste Schritte
- Weitere Informationen zu Dienstendpunkten in Azure-Netzwerken.
- Aktivieren Sie Diagnoseprotokolle für den Netzwerksicherheitsperimeter.