Ota verkon suojaus käyttöön Azure säilön blob-liittimiä varten

Tässä artikkelissa on vaiheittaiset ohjeet siihen, miten voit ottaa käyttöön verkon suojauksen Azure Storage -liittimeen integroiduissa tallennusresursseissa. Azure NSP (Network Security Perimeter) on Azure-natiivi ominaisuus, joka luo PaaS-resursseille loogisen eristysrajan. Liittämällä resursseja, kuten tallennustilejä tai tietokantoja, NSP:hen, voit hallita verkon käyttöä keskitetysti yksinkertaistetun sääntöjoukon avulla. Lisätietoja on artikkelissa Verkon suojauksen edustan käsitteet.

Ennakkovaatimukset

Luo liitinresurssit ennen verkon suojauksen käyttöönottoa. Katso artikkeli Azure Storage Connectorin määrittäminen virtauttamaan lokit Microsoft Sentinel mukaan lukien aihe, jota käytetään blob-objektien luontitapahtumien suoratoistoon Azure-tallennusjonoon.

Viimeistele tämä asennus varmista, että sinulla on seuraavat oikeudet:

  • Tilauksen omistaja tai osallistuja verkon suojauksen edustaresurssien luomista varten.
  • Tallennustilin osallistuja liittää tallennustilin NSP:hen.
  • Tallennustilin käyttäjätietojen järjestelmänvalvoja tai omistaja, joka määrittää RBAC-roolit tapahtumaruudukon hallituille käyttäjätiedoilla.
  • Tapahtumaruudukon osallistuja, joka ottaa hallitut käyttäjätiedot käyttöön ja hallitsee tapahtumien tilauksia.

Ota verkon suojaus käyttöön

Jos haluat ottaa verkon suojauksen käyttöön tallennusresursseissa, jotka on integroitu Azure Storage -liittimeen, luo NSP (Network Security Perimeter), liitä tallennustili siihen ja määritä säännöt sallimaan liikenne tapahtumaruudukosta ja muista pakollista lähteistä luvattoman käytön estämisen aikana. Viimeistele määritys seuraavien vaiheiden avulla.

Verkon suojauksen eteisalueen luominen

  1. Etsi Azure-portaali verkon suojauksen rajat

  2. Valitse Luo.

  3. Valitse Tilaus - ja Resurssi-ryhmä.

  4. Kirjoita nimi, esimerkiksi storageblob-connectors-nsp

  5. Valitse alue. Alueen on oltava sama alue kuin tallennustilin.

  6. Kirjoita profiilin nimi tai hyväksy oletusnimi. Profiili määrittää sääntöjoukon, jota käytetään liitetyissä resursseissa. Voit käyttää useita profiileja yhdessä NSP:ssä, jos haluat käyttää eri sääntöjä eri resursseihin tarvittaessa.

  7. Valitse Tarkista + Luo ja sitten Luo.

    Näyttökuva, jossa näkyy verkon suojauksen eteisverkon luominen Azure-portaali.

Tallennustilin liittäminen verkon suojaukseen

  1. Avaa juuri luomasi verkon suojauksen eteisresurssi Azure-portaali.

  2. Valitse Profiilit ja valitse sitten profiilin nimi, jota käytit luotaessa NSP-resurssia.

  3. Valitse Liittyvät resurssit.

  4. Valitse Lisää.

  5. Etsi ja lisää tallennustilisi ja valitse sitten Valitse.

  6. Valitse Liitä.

Käyttöoikeustilaksi on oletusarvoisesti määritetty Siirtymä , joten voit vahvistaa määrityksen ennen rajoitusten pakottamista.

Näyttökuva, jossa näytetään, miten tallennustili liitetään Azure-portaali verkon suojauksen rajapintaan.

Ota System-Assigned käyttäjätiedot käyttöön tapahtumaruudukon järjestelmäaiheessa

  1. Siirry tallennustililtäsi Tapahtumat-välilehteen.

  2. Valitse järjestelmäaihe , jota käytetään blob-objektien luontitapahtumien suoratoistoon tallennusjonoon.

    Näyttökuva, jossa näkyy tallennustilien Tapahtuma-välilehti Azure-portaali.

  3. Valitse Käyttäjätiedot.

  4. Määritä Järjestelmän määrittämä -välilehdessä Tila-asetukseksiKäytössä.

  5. Valitse Tallenna ja kopioi sitten hallittujen käyttäjätietojen objektitunnus myöhempää käyttöä varten.

    Näyttökuva, jossa näkyy hallittujen käyttäjätietojen luominen tapahtumaruudukkojärjestelmän aiheelle Azure-portaali.

Myönnä RBAC-käyttöoikeudet tallennusjonoon

  1. Siirry tallennustiliisi.

  2. Valitse Käyttöoikeuksien hallinta (IAM).

  3. Valitse Lisää.

  4. Etsi ja valitse Tallennusjonon tietoviestien lähettäjä -rooli (vaikutusalue: tallennustili).

  5. Valitse Jäsenet-välilehti ja valitse sitten jäsenet.

  6. Liitä Valitse jäsenet -ruudussa edellisessä vaiheessa luodun Tapahtumaruudukko-järjestelmän ohjeaiheen hallitut käyttäjätiedot objektitunnukset.

  7. Valitse hallitut käyttäjätiedot ja valitse sitten Valitse.

  8. Viimeistele roolimääritys valitsemalla Tarkista + määritys . Näyttökuva, jossa näkyy tallennusjonon tietoviestien lähettäjän roolin määrittäminen hallittuihin käyttäjätietoihin Azure-portaali.

Hallittujen käyttäjätietojen ottaminen käyttöön tapahtuman tilauksessa

  1. Avaa tapahtumaruudukkojärjestelmän aihe.

  2. Valitse jonoon kohdistuva tapahtumatilaus.

  3. Valitse Lisäasetukset-välilehti .

  4. Määritä Hallitut käyttäjätiedot -tyypiksiJärjestelmän määrittämä.

  5. Valitse Tallenna.

  6. Tarkista Tapahtumaruudukon tilausarvot ja varmista, että viestit on julkaistu onnistuneesti tallennusjonoon tämän päivityksen jälkeen.

Näyttökuva, joka näyttää hallittujen käyttäjätietojen käyttöönoton tapahtumaruudukkotilaukselle Azure-portaali.

Määritä saapuvan käytön säännöt verkon suojauksen eteisprofiilissa

Seuraavat säännöt vaaditaan, jotta tapahtumaruudukko voi toimittaa viestejä tallennustilille ja estää luvattoman käytön. Riippuen siitä, miten järjestelmä lähettää tietoja tallennustilille tai käyttää tallennusresursseja, sinun on ehkä lisättävä saapuvia sääntöjä. Tarkastele skenaariotasi ja liikennemallejasi, jotta voit turvallisesti soveltaa tarvittavia sääntöjä ja antaa aikaa sääntöjen levittämiselle.

Sääntö 1: Salli tilaus (tapahtumaruudukon toimitus)

Tapahtumaruudukon toimitus ei ole peräisin kiinteistä julkisista IPS:istä. NSP vahvistaa toimituksen tilauksen käyttäjätietojen avulla.

  1. Siirry verkon suojauksen ympärysmittaan ja valitse NSP.

  2. Valitse Profiilit ja valitse sitten tallennustiliisi liittyvä profiili.

  3. Valitse Saapuvan käytön säännöt ja valitse sitten Lisää.

    Näyttökuva, jossa näkyy saapuvan käytön sääntöjen sivu Azure-portaali.

  4. Kirjoita säännön nimi, esimerkiksi Allow-Subscription.

  5. Valitse avattavastaLähdetyyppi-valikosta Tilaus.

  6. Valitse tilauksesi avattavasta Sallitut lähteet -valikosta.

  7. Luo sääntö valitsemalla Lisää .

    Näyttökuva, jossa näkyy saapuvan käyttösäännön luominen tilauksen sallimiseksi Azure-portaali.

Huomautus

Sääntöjen näkyminen luettelossa luomisen jälkeen voi kestää muutaman minuutin.

Sääntö 2: Salli laitepalvelun IP-osoitealueet

  1. Luo toinen saapuvan liikenteen käyttöoikeussääntö.

  2. Kirjoita säännön nimi, esimerkiksi Allow-Scuba.

  3. Valitse IP-osoitealueet avattavasta Lähdetyyppi-valikosta .

  4. Avaa palvelutunnisteen lataussivu .

  5. Valitse pilvipalvelusi, esimerkiksi Azure Julkinen.

  6. Valitse Lataa-painike ja avaa ladattu tiedosto, jotta saat luettelon IP-alueista.

  7. Scuba Etsi palvelutunniste ja kopioi siihen liittyvät IPv4-alueet.

  8. Liitä IPv4-alueet Sallitut lähteet -kenttään, kun olet poistanut lainausmerkit ja lopussa olevat pilkut.

  9. Luo sääntö valitsemalla Lisää .

    Tärkeää

    Poista lainausmerkit IP-alueilta ja varmista, että viimeisessä merkinnässä ei ole lopussa olevaa pilkkua, ennen kuin liität ne Sallitut lähteet -kenttään. Palvelutunnisteiden alueet päivittyvät ajan kuluessa; päivitä säännöllisesti, jotta säännöt pysyvät ajan tasalla.

    Näyttökuva, jossa näkyy osa ServiceTags_Public.json-tiedostosta, jossa on korostettuna Scuba-palvelutunniste ja IPv4-alueet.

Vahvista ja pakota

Kun olet määrittänyt säännöt, valvo verkon suojauksen edustan diagnostiikkalokeja ja varmista, että laillinen liikenne on sallittua eikä häiriöitä ole. Kun olet vahvistanut, että säännöt sallivat tarvittavan liikenteen oikein, voit vaihtaa siirtymätilasta pakotettuun tilaan luvattoman käytön estämiseksi.

Siirtymätila

Ota verkon suojauksen edustan diagnostiikkalokit käyttöön ja tarkista kerätyt telemetriatiedot, jotta voit vahvistaa viestintätavat ennen pakottamista. Lisätietoja on artikkelissa Verkon suojauksen edustan diagnostiikkalokit.

Pakotustilan käyttäminen

Kun vahvistus on onnistunut, määritä käyttötilaksi Pakotettu seuraavasti:

  1. Valitse Verkon suojauksen ympäristö -sivun Asetukset-kohdastaLiittyvät resurssit.

  2. Valitse tallennustili.

  3. Valitse Muuta käyttötilaa.

  4. Valitse Pakotin ja sitten Tallenna.

    Näyttökuva, jossa näytetään, miten voit muuttaa verkon suojaukseen liittyvän tallennustilin käyttötilaa Azure-portaali.

Pakotuksen jälkeinen vahvistus

Seuraa pakotusten jälkeen ympäristöä tarkasti mahdollisten virheellisten määritysten ilmoittavan liikenteen osalta. Tarkista Tapahtumaruudukon järjestelmän tilausarvot tarkistamalla tapahtumaruudukon määritykset.

Diagnostiikkalokien avulla voit tutkia ja ratkaista mahdollisia ongelmia. Tarkista tallennustilin (jonon saapuvan liikenteen ja virheiden) ja tapahtumaruudukon (toimituksen onnistuminen) mittausarvot mahdollisten virheiden tarkistamiseksi. Palaa siirtymätilaan, jos kohtaat häiriöitä ja toistat tutkimuksia diagnostiikkalokien avulla.

Aseta säilötilin edustan määrittämä (valinnainen)

Määrittämällä tallennustilin arvoksi Suojattu eteisverkolla varmistetaan, että kaikki tallennustiliin kohdistuva liikenne arvioidaan verkon suojauksen eteisverkon sääntöjen mukaisesti ja että se estää julkisen verkon käytön.

  1. Siirry tallennustiliisi.

  2. Valitse Suojaus ja verkko -kohdasta Verkko.

  3. Valitse Julkisen verkon käyttö -kohdassa Hallinta.

  4. Määritä rajat suojataan (rajoitetuin).

  5. Valitse Tallenna.

Näyttökuva, jossa näytetään, miten voit määrittää tallennustilin arvoksi

Seuraavat vaiheet

Tässä artikkelissa opit ottamaan verkon suojauksen käyttöön tallennustilan resursseissa, jotka on integroitu Azure Storage -liittimeesi. Lisätietoja on verkon suojauksen eteisverkon artikkeleissa.

  • Last updated on