Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Il bus di servizio di Azure supporta l'integrazione con un perimetro di sicurezza di rete.
Un perimetro di sicurezza di rete consente di proteggere il traffico di rete tra il bus di servizio di Azure e altre offerte PaaS (Platform as a Service) come Azure Key Vault. Limitando la comunicazione esclusivamente alle risorse di Azure entro i limiti, un perimetro di sicurezza di rete blocca i tentativi non autorizzati di accedere ad altre risorse.
Con un perimetro di sicurezza di rete:
- Per impostazione predefinita, le risorse PaaS associate a un perimetro specifico possono comunicare con solo altre risorse PaaS all'interno dello stesso perimetro.
- È possibile consentire attivamente la comunicazione in ingresso e in uscita esterna impostando regole di accesso esplicite.
- I log di diagnostica sono abilitati per le risorse PaaS all'interno del perimetro per il controllo e la conformità.
L'integrazione del bus di servizio in questo framework migliora le funzionalità di messaggistica offrendo misure di sicurezza affidabili. Questa integrazione migliora la scalabilità e l'affidabilità della piattaforma. Rafforza inoltre le strategie di protezione dei dati per attenuare i rischi associati a violazioni dei dati o di accesso non autorizzato.
Operando come servizio in Collegamento privato di Azure, un perimetro di sicurezza di rete facilita la comunicazione sicura per i servizi PaaS distribuiti all'esterno della rete virtuale. Consente un'interazione senza problemi tra i servizi PaaS all'interno del perimetro e facilita la comunicazione con le risorse esterne tramite regole di accesso accuratamente configurate. Supporta anche risorse in uscita, ad esempio Azure Key Vault per chiavi gestite dal cliente ( CMK). Questo supporto migliora ulteriormente la versatilità e l'utilità in ambienti cloud diversi.
Scenari per i perimetri di sicurezza di rete nel bus di servizio
Il bus di servizio di Azure supporta scenari che richiedono l'accesso ad altre risorse PaaS. I cmk richiedono la comunicazione con Azure Key Vault. Per altre informazioni, vedere Configurare le chiavi gestite dal cliente per crittografare i dati a riposo di bus di servizio di Azure.
Per il ripristino di emergenza geografica legacy (associazione basata su alias), i namespace primari e secondari devono essere associati allo stesso perimetro di sicurezza di rete. Se è associato solo il database primario, l'associazione ha esito negativo.
Le regole del perimetro di sicurezza di rete non regolano il traffico di collegamento privato tramite endpoint privati.
Creare un perimetro di sicurezza di rete
Creare una risorsa perimetrale di sicurezza di rete personalizzata usando il portale di Azure, Azure PowerShell o l'interfaccia della riga di comando di Azure.
Associare bus di servizio a un perimetro di sicurezza di rete nel portale di Azure
È possibile associare lo spazio dei nomi del bus di servizio a un perimetro di sicurezza di rete direttamente dallo spazio dei nomi del bus di servizio nel portale di Azure:
Nella pagina dello spazio dei nomi del bus di servizio, in Impostazioni selezionare Rete.
Selezionare la scheda Accesso pubblico .
Nella sezione Perimetro di sicurezza di rete selezionare Associa.
Nella finestra di dialogo Seleziona perimetro di sicurezza di rete cercare e selezionare il perimetro di sicurezza di rete da associare allo spazio dei nomi.
Selezionare un profilo da associare allo spazio dei nomi.
Selezionare Associa per completare l'associazione.
Verificare l'associazione usando l'interfaccia della riga di comando di Azure
Per verificare che lo spazio dei nomi sia associato a un perimetro di sicurezza di rete:
az servicebus namespace network-rule-set show \
--name <namespace-name> \
--resource-group <resource-group>
Quando l'associazione esiste, il publicNetworkAccess campo mostra SecuredByPerimeter.
Troubleshoot
Disponibilità della funzionalità
Alcune funzionalità dei perimetri di sicurezza di rete richiedono la registrazione dei flag di funzionalità nella sottoscrizione. Se riscontri un errore "Questa funzionalità non è disponibile per la sottoscrizione fornita" durante la configurazione delle regole di accesso o dei collegamenti perimetrali oppure se lo spazio dei nomi non appare nell'elenco delle risorse associabili durante la configurazione di un perimetro di sicurezza di rete, registra il flag della funzionalità richiesta e ri-registra il provider di rete:
| Capability | Indicatore di funzionalità | Comando di registrazione |
|---|---|---|
| Associazione di risorse NSP | AllowNetworkSecurityPerimeter |
az feature register --namespace Microsoft.Network --name AllowNetworkSecurityPerimeter |
| Collegamenti interperimetrali | AllowNspLink |
az feature register --namespace Microsoft.Network --name AllowNspLink |
| Regole in ingresso dei tag del servizio | EnableServiceTagsInNsp |
az feature register --namespace Microsoft.Network --name EnableServiceTagsInNsp |
Dopo la registrazione, propagare la modifica:
az provider register -n Microsoft.Network
La propagazione dei flag di funzionalità può richiedere fino a 15 minuti.
Associazione del namespace a un perimetro di sicurezza di rete
Quando si crea un'associazione legacy di ripristino di emergenza geografico, i namespace primari e secondari devono essere associati allo stesso perimetro di sicurezza di rete. Se si verifica un messaggio di errore "DisasterRecoveryConfigSecondaryMustHaveAssociationsUnderSameNSP", associare lo spazio dei nomi secondario allo stesso perimetro e quindi riprovare a effettuare l'associazione.
Contenuti correlati
- Che cos'è un perimetro di sicurezza di rete?
- Log di diagnostica per i perimetri di sicurezza di rete
- Sicurezza della rete per bus di servizio di Azure
- Consenti l'accesso ai namespace di bus di servizio di Azure tramite endpoint privati
- Configurare le chiavi gestite dal cliente per bus di servizio di Azure