Aktiver nettverkssikkerhet for blob-koblinger for Azure storage

Denne artikkelen inneholder trinnvise instruksjoner om hvordan du aktiverer nettverkssikkerhet på lagringsressursene som er integrert med Azure Storage-koblingen. Azure nettverkssikkerhetsperimeter (NSP) er en Azure opprinnelig funksjon som oppretter en logisk isolasjonsgrense for PaaS-ressursene dine. Ved å knytte ressurser som lagringskontoer eller databaser til en NSP, kan du sentralt administrere nettverkstilgang ved hjelp av et forenklet regelsett. Hvis du vil ha mer informasjon, kan du se konsepter for nettverkssikkerhetsperimeter.

Forutsetninger

Før du aktiverer nettverkssikkerhet, må du opprette koblingsressursene. Se Konfigurere Azure Storage Connector til å strømme logger til Microsoft Sentinel, inkludert systememnet for hendelsesrutenettet som brukes til å strømme blob-opprettelseshendelser til Azure Storage-køen.

Kontroller at du har følgende tillatelser for å fullføre konfigurasjonen:

  • Abonnementseier eller bidragsyter for å opprette perimeterressurser for nettverkssikkerhet.
  • Bidragsyter for lagringskonto for å knytte lagringskontoen til NSP.
  • Brukertilgangsadministrator for lagringskonto eller eier til å tilordne RBAC-roller til den administrerte identiteten for hendelsesrutenettet.
  • Bidragsyter for hendelsesrutenett for å aktivere administrert identitet og administrere hendelsesabonnementer.

Aktiver nettverkssikkerhet

Hvis du vil aktivere nettverkssikkerhet på lagringsressursene som er integrert med Azure Storage-koblingen, oppretter du en nettverkssikkerhetsperimeter (NSP), knytter lagringskontoen til den og konfigurerer reglene for å tillate trafikk fra hendelsesrutenettet og andre nødvendige kilder, samtidig som du blokkerer uautorisert tilgang. Bruk følgende fremgangsmåte for å fullføre konfigurasjonen.

Opprett en perimeter for nettverkssikkerhet

  1. Søk etter perimeterer for nettverkssikkerhet i Azure Portal

  2. Velg Opprett.

  3. Velg en abonnements - og ressursgruppe.

  4. Skriv inn navn, for eksempel storageblob-connectors-nsp

  5. Velg et område. Området må være det samme området som lagringskontoen.

  6. Skriv inn et profilnavn eller godta standard. Profilen definerer settet med regler som brukes på tilknyttede ressurser. Du kan ha flere profiler i én enkelt NSP for å bruke forskjellige regler på forskjellige ressurser om nødvendig.

  7. Velg Se gjennom + opprett og deretter Opprett.

    Et skjermbilde som viser opprettingen av en perimeter for nettverkssikkerhet i Azure Portal.

Knytt lagringskontoen til perimeteren for nettverkssikkerhet

  1. Åpne den nyopprettede perimeterressursen for nettverkssikkerhet i Azure Portal.

  2. Velg Profiler, og velg deretter profilnavnet du brukte da du opprettet NSP-ressursen.

  3. Velg tilknyttede ressurser.

  4. Velg Legg til.

  5. Søk etter og legg til lagringskontoen, og velg deretter Velg.

  6. Velg Tilknytt.

Tilgangsmodusen er satt til Overgang som standard, slik at du kan validere konfigurasjonen før du håndhever begrensninger.

Et skjermbilde som viser hvordan du knytter en lagringskonto til Network Security Perimeter i Azure Portal.

Aktiver System-Assigned identitet i systememnet for hendelsesrutenett

  1. Gå til Hendelser-fanen fra lagringskontoen.

  2. Velg systememnet som brukes til å strømme blob-opprettelseshendelser til lagringskøen.

    Et skjermbilde som viser Hendelse-fanen for Lagringskontoer i Azure Portal.

  3. Velg identitet.

  4. Angi Status til System tilordnet-fanen.

  5. Velg Lagre, og kopier deretter objekt-ID-en for den administrerte identiteten for senere bruk.

    Et skjermbilde som viser oppretting av en administrert identitet for et systememne for hendelsesrutenett i Azure Portal.

Gi RBAC-tillatelser for lagringskøen

  1. Gå til lagringskontoen.

  2. Velg Access Control (IAM).

  3. Velg Legg til.

  4. Søk etter og velg avsenderrollen for dataavsender i lagringskøen (omfang: lagringskontoen).

  5. Velg Medlemmer-fanen , og velg deretter medlemmer.

  6. Lim inn objekt-ID-en for den administrerte identiteten for hendelsesrutenettet i ruten Velg medlemmer , som ble opprettet i forrige trinn.

  7. Velg den administrerte identiteten, og velg deretter Velg.

  8. Velg Se gjennom + tilordne for å fullføre rolletilordningen. Et skjermbilde som viser tilordningen av avsenderrollen for datameldingsavsender i lagringskø til en administrert identitet i Azure Portal.

Aktiver administrert identitet i hendelsesabonnementet

  1. Åpne systememnet for hendelsesrutenettet.

  2. Velg hendelsesabonnementet som er rettet mot køen.

  3. Velg fanen Flere innstillinger .

  4. Angi administrert identitetstype til systemtilknyttet.

  5. Velg Lagre.

  6. Se gjennom måledataene for event grid-abonnementet for å validere at meldinger publiseres til lagringskøen etter denne oppdateringen.

Et skjermbilde som viser aktivering av administrert identitet for et Event Grid-abonnement i Azure Portal.

Konfigurere innkommende tilgangsregler på profilen for nettverkssikkerhetsperimeter

Følgende regler er nødvendige for å tillate at hendelsesrutenettet leverer meldinger til lagringskontoen mens du blokkerer uautorisert tilgang. Avhengig av at systemet sender data til lagringskontoen eller får tilgang til lagringsressursene, må du kanskje legge til flere inngående regler. Se gjennom scenarioet og trafikkmønstrene for å bruke de nødvendige reglene på en trygg måte, og gi tid til regeloverføring.

Regel 1: Tillat abonnementet (levering av hendelsesrutenett)

Levering av hendelsesrutenett stammer ikke fra faste offentlige IP-er. NSP validerer levering ved hjelp av abonnementsidentitet.

  1. Gå til Perimeter for nettverkssikkerhet, og velg NSP.

  2. Velg Profiler , og velg deretter profilen som er knyttet til lagringskontoen.

  3. Velg innkommende tilgangsregler , og velg deretter Legg til.

    Et skjermbilde som viser siden for innkommende tilgangsregler i Azure Portal.

  4. Skriv inn et regelnavn, for eksempel Allow-Subscription.

  5. Velg Abonnement fra rullegardinlisten Kildetype .

  6. Velg abonnementet fra rullegardinlisten Tillatte kilder .

  7. Velg Legg til for å opprette regelen.

    Et skjermbilde som viser opprettingen av en inngående tilgangsregel for å tillate et abonnement i Azure Portal.

Obs!

Det kan ta noen minutter før regler vises i listen etter oppretting.

Regel 2: Tillat IP-områder for scuba-tjenesten

  1. Opprett en ny inngående tilgangsregler.

  2. Skriv inn et regelnavn, for eksempel Allow-Scuba.

  3. Velg IP-adresseområder fra rullegardinlisten kildetype .

  4. Åpne nedlastingssiden for tjenestekoden .

  5. Velg skyen, for eksempel Azure Offentlig.

  6. Velg Last ned-knappen , og åpne den nedlastede filen for å få listen over IP-områder.

  7. Scuba Finn servicekoden, og kopier de tilknyttede IPv4-områdene.

  8. Lim inn IPv4-områdene i Tillatte kilder-feltet etter at du har fjernet anførselstegn og etterfølgende komma.

  9. Velg Legg til for å opprette regelen.

    Viktig

    Fjern anførselstegnene fra IP-områdene, og kontroller at det ikke er noe etterfølgende komma på den siste oppføringen før du limer dem inn i Tillatte kilder-feltet . Oppdatering av tjenestekodeområder over tid; oppdater regelmessig for å holde reglene oppdaterte.

    Et skjermbilde som viser en del av ServiceTags_Public.json-filen med Scuba-tjenestekoden og IPv4-områdene uthevet.

Validere og fremtvinge

Når du har konfigurert reglene, overvåker du diagnoseloggene for nettverkssikkerhetsperimeteren for å validere at legitim trafikk er tillatt, og det er ingen forstyrrelser. Når du har bekreftet at reglene tillater nødvendig trafikk på riktig måte, kan du bytte fra overgangsmodus til fremtvunget modus for å blokkere uautorisert tilgang.

Overgangsmodus

Aktiver diagnoselogger for Perimeter for nettverkssikkerhet og se gjennom innsamlede telemetri for å validere kommunikasjonsmønstre før håndhevelse. Hvis du vil ha mer informasjon, kan du se Diagnoselogger for Perimeter for nettverkssikkerhet.

Bruk håndhevelsesmodus

Når valideringen er fullført, setter du tilgangsmodusen til Fremtvunget på følgende måte:

  1. Velg Tilknyttede ressurser under Innstillinger på siden Perimeter for nettverkssikkerhet.

  2. Velg lagringskontoen.

  3. Velg Endre tilgangsmodus.

  4. Velg Fremtvunget , og deretter Lagre.

    Et skjermbilde som viser hvordan du endrer tilgangsmodusen for en lagringskonto som er knyttet til en perimeter for nettverkssikkerhet i Azure Portal.

Validering etter håndhevelse

Følg håndhevelse, overvåke miljøet nøye for enhver blokkert trafikk som kan indikere feilkonfigureringer. Valider hendelsesrutenettkonfigurasjonen påvirkes ikke ved å se gjennom abonnementsmåledataene for hendelsesrutenettets systememne.

Bruk diagnoseloggene til å undersøke og løse eventuelle problemer som oppstår. Se gjennom måledataene på lagringskontoen (køinngang og feil) og Event Grid (leveringssuksess) for å validere for eventuelle feil. Rull tilbake til overgangsmodus hvis du opplever forstyrrelser og gjentar undersøkelser ved hjelp av diagnoseloggene.

Angi sikret av perimeter på lagringskontoen (valgfritt)

Hvis du angir lagringskontoen til Secured by Perimeter , sikrer du at all trafikk til lagringskontoen evalueres mot reglene for nettverkssikkerhetsperimeter og blokkerer tilgang til offentlige nettverk.

  1. Gå til lagringskontoen.

  2. Velg Nettverk under Sikkerhet + nettverk.

  3. Velg Administrer under Offentlig nettverkstilgang.

  4. Angi sikret av perimeter (mest begrenset).

  5. Velg Lagre.

Et skjermbilde som viser hvordan du angir en lagringskonto til Sikret av perimeter i Azure Portal.

Neste trinn

I denne artikkelen lærte du hvordan du aktiverer nettverkssikkerhet på lagringsressursene som er integrert med Azure Storage-koblingen. Hvis du vil ha mer informasjon, kan du se artiklene om nettverkssikkerhetsperimeter .

  • Last updated on