Habilitación de la seguridad de red para conectores de blobs de Azure Storage

En este artículo se proporcionan instrucciones paso a paso sobre cómo habilitar la seguridad de red en los recursos de almacenamiento integrados con el conector de Azure Storage. Azure perímetro de seguridad de red (NSP) es una característica nativa de Azure que crea un límite de aislamiento lógico para los recursos de PaaS. Al asociar recursos como cuentas de almacenamiento o bases de datos a un NSP, puede administrar de forma centralizada el acceso a la red mediante un conjunto de reglas simplificado. Para obtener más información, consulte Conceptos del perímetro de seguridad de red.

Requisitos previos

Antes de habilitar la seguridad de red, cree los recursos del conector. Consulte Configuración del conector de Azure Storage para transmitir registros a Microsoft Sentinel, incluido el tema del sistema de Event Grid que se usa para transmitir eventos de creación de blobs a la cola de Azure Storage.

Para completar esta configuración, asegúrese de que tiene los permisos siguientes:

• Propietario o colaborador de la suscripción para crear recursos perimetrales de seguridad de red.
• Colaborador de la cuenta de almacenamiento para asociar la cuenta de almacenamiento al NSP.
• Administrador o propietario de acceso de usuario de la cuenta de almacenamiento para asignar roles RBAC a la identidad administrada de Event Grid.
• Colaborador de Event Grid para habilitar la identidad administrada y administrar las suscripciones a eventos.

Habilitación de la seguridad de red

Para habilitar la seguridad de red en los recursos de almacenamiento integrados con el conector de Azure Storage, cree un perímetro de seguridad de red (NSP), asocie la cuenta de almacenamiento con ella y configure las reglas para permitir el tráfico desde Event Grid y otros orígenes necesarios mientras se bloquea el acceso no autorizado. Siga estos pasos para completar la configuración.

Creación de un perímetro de seguridad de red

1. En el Azure Portal, busque Perímetros de seguridad de red.

2. Seleccione Crear.

3. Seleccione una suscripción y un grupo de recursos.

4. Escriba El nombre, por ejemplo. storageblob-connectors-nsp

5. Seleccione una región. La región debe ser la misma región que la cuenta de almacenamiento.

6. Escriba un nombre de perfil o acepte el valor predeterminado. El perfil define el conjunto de reglas que se aplican a los recursos asociados. Puede tener varios perfiles dentro de un único NSP para aplicar reglas diferentes a diferentes recursos si es necesario.

7. Seleccione Revisar y crear y, a continuación, Crear.

   

Asociación de la cuenta de almacenamiento con el perímetro de seguridad de red

1. Abra el recurso network security perimeter recién creado en el Azure Portal.

2. Seleccione Perfiles y, a continuación, seleccione el nombre de perfil que usó al crear el recurso NSP.

3. Seleccione Recursos asociados.

4. Seleccione Agregar.

5. Busque y agregue la cuenta de almacenamiento y seleccione Seleccionar.

6. Seleccione Asociar.

El modo de acceso se establece en Transición de forma predeterminada, lo que le permite validar la configuración antes de aplicar las restricciones.

Enable System-Assigned Identity on Event Grid System Topic

1. En la cuenta de almacenamiento, vaya a la pestaña Eventos .

2. Seleccione el tema del sistema que se usa para transmitir eventos de creación de blobs a la cola de almacenamiento.

   

3. Seleccione Identidad.

4. En la pestaña Asignado por el sistema , establezca Estadoen Activado.

5. Seleccione Guardar y, a continuación, copie el identificador de objeto de la identidad administrada para su uso posterior.

   

Concesión de permisos de RBAC en la cola de almacenamiento

1. Vaya a la cuenta de almacenamiento.

2. Seleccione Access Control (IAM).

3. Seleccione Agregar.

4. Busque y seleccione el rol Remitente del mensaje de datos de cola de almacenamiento (ámbito: la cuenta de almacenamiento).

5. Seleccione la pestaña Miembros y, a continuación, Seleccione miembros.

6. En el panel Seleccionar miembros , pegue el identificador de objeto para la identidad administrada del tema del sistema de Event Grid creada en el paso anterior.

7. Seleccione la identidad administrada y seleccione Seleccionar.

8. Seleccione Revisar y asignar para completar la asignación de roles.

Habilitar identidad administrada en la suscripción de eventos

1. Abra el tema del sistema de Event Grid.

2. Seleccione la suscripción de eventos destinada a la cola.

3. Seleccione la pestaña Configuración adicional .

4. Establezca Tipo de identidad administrada en Asignado por el sistema.

5. Haga clic en Guardar.

6. Revise las métricas de suscripción de Event Grid para validar que los mensajes se publican correctamente en la cola de almacenamiento después de esta actualización.

Configuración de reglas de acceso de entrada en el perfil perimetral de seguridad de red

Las reglas siguientes son necesarias para permitir que Event Grid entregue mensajes a la cuenta de almacenamiento mientras se bloquea el acceso no autorizado. En función del sistema que envíe datos a la cuenta de almacenamiento o acceda a los recursos de almacenamiento, es posible que tenga que agregar reglas de entrada adicionales. Revise el escenario y los patrones de tráfico para aplicar de forma segura las reglas necesarias y permitir tiempo para la propagación de reglas.

Regla 1: Permitir la suscripción (entrega de Event Grid)

La entrega de Event Grid no se origina en direcciones IP públicas fijas. El NSP valida la entrega mediante la identidad de suscripción.

1. Vaya a Network Security Perimeter (Perímetro de seguridad de red) y seleccione el NSP.

2. Seleccione Perfiles y, a continuación, seleccione el perfil asociado a la cuenta de almacenamiento.

3. Seleccione Reglas de acceso de entrada y, a continuación, seleccione Agregar.

   

4. Escriba un nombre de regla, por ejemplo Allow-Subscription.

5. Seleccione Suscripción en la lista desplegable Tipo de origen .

6. Seleccione la suscripción en la lista desplegable Orígenes permitidos .

7. Seleccione Agregar para crear la regla.

   

Regla 2: Permitir intervalos IP del servicio Scuba

1. Cree una segunda regla de acceso de entrada.

2. Escriba un nombre de regla, por ejemplo Allow-Scuba.

3. Seleccione Intervalos de direcciones IP en la lista desplegable Tipo de origen .

4. Abra la página de descarga de etiquetas de servicio .

5. Seleccione la nube, por ejemplo, Azure Público.

6. Seleccione el botón Descargar y abra el archivo descargado para obtener la lista de intervalos IP.

7. Busque la etiqueta de Scuba servicio y copie los intervalos IPv4 asociados.

8. Pegue los intervalos IPv4 en el campo Orígenes permitidos después de quitar las comillas y las comas finales.

9. Seleccione Agregar para crear la regla.

   Importante

   Quite las comillas de los intervalos IP y asegúrese de que no haya ninguna coma final en la última entrada antes de pegarlas en el campo Orígenes permitidos . Los intervalos de etiquetas de servicio se actualizan con el tiempo; actualizar periódicamente para mantener las reglas actualizadas.

   

Validación y aplicación

Después de configurar las reglas, supervise los registros de diagnóstico del perímetro de seguridad de red para validar que se permite el tráfico legítimo y que no hay interrupciones. Una vez que haya confirmado que las reglas permiten correctamente el tráfico necesario, puede cambiar del modo transición al modo aplicado para bloquear el acceso no autorizado.

Modo de transición

Habilite los registros de diagnóstico perimetrales de seguridad de red y revise la telemetría recopilada para validar los patrones de comunicación antes de la aplicación. Para obtener más información, consulte Registros de diagnóstico del perímetro de seguridad de red.

Aplicar el modo de aplicación

Una vez que la validación se realice correctamente, establezca el modo de acceso en Aplicado de la siguiente manera:

1. En la página Perímetro de seguridad de red, en Configuración, seleccione Recursos asociados.

2. Seleccione la cuenta de almacenamiento.

3. Seleccione Cambiar modo de acceso.

4. Seleccione Aplicado y, a continuación, Guardar.

   

Validación posterior a la aplicación

Después de la aplicación, supervise el entorno de cerca para detectar cualquier tráfico bloqueado que pueda indicar configuraciones incorrectas. Para validar que la configuración de Event Grid no se ve afectada, revise las métricas de suscripción del tema del sistema de Event Grid.

Use los registros de diagnóstico para investigar y resolver los problemas que surjan. Revise las métricas de la cuenta de almacenamiento (entrada y errores de cola) y Event Grid (entrega correcta) para validar los errores. Revierta al modo de transición si experimenta alguna interrupción y repite la investigación mediante los registros de diagnóstico.

Establecer protegido por perímetro en la cuenta de almacenamiento (opcional)

Al establecer la cuenta de almacenamiento en Protegida por perímetro , se garantiza que todo el tráfico a la cuenta de almacenamiento se evalúa con respecto a las reglas perimetrales de seguridad de red y bloquea el acceso a la red pública.

1. Vaya a la cuenta de almacenamiento.

2. En Seguridad y redes, seleccione Redes.

3. En Acceso a la red pública, seleccione Administrar.

4. Establecer protegido por perímetro (más restringido).

5. Haga clic en Guardar.

Pasos siguientes

En este artículo, ha aprendido a habilitar la seguridad de red en los recursos de almacenamiento integrados con el conector de Azure Storage. Para obtener más información, consulte los artículos Perímetro de seguridad de red .

• Revise las reglas de conexión de datos en data-connection-rules-reference-azure-storage.md.
• Solución de problemas de red del conector en azure-storage-blob-connector-troubleshoot.md.