Netwerkbeveiliging inschakelen voor Azure Storage-blobconnectors

Dit artikel bevat stapsgewijze instructies voor het inschakelen van netwerkbeveiliging op de opslagresources die zijn geïntegreerd met uw Azure Storage-connector. Azure netwerkbeveiligingsperimeter (NSP) is een Azure-systeemeigen functie waarmee een logische isolatiegrens voor uw PaaS-resources wordt gemaakt. Door resources zoals opslagaccounts of databases te koppelen aan een NSP, kunt u de netwerktoegang centraal beheren met behulp van een vereenvoudigde regelset. Zie Perimeterconcepten voor netwerkbeveiliging voor meer informatie.

Vereisten

Maak uw connectorresources voordat u netwerkbeveiliging inschakelt. Zie Uw Azure Storage Connector instellen voor het streamen van logboeken naar Microsoft Sentinel, inclusief het Event Grid-systeemonderwerp dat wordt gebruikt om gebeurtenissen voor het maken van blob's te streamen naar de Azure Storage-wachtrij.

Zorg ervoor dat u over de volgende machtigingen beschikt om deze installatie te voltooien:

  • Abonnementseigenaar of Inzender voor het maken van perimeterresources voor netwerkbeveiliging.
  • Opslagaccountbijdrager om het opslagaccount te koppelen aan de NSP.
  • Beheerder of eigenaar van gebruikerstoegang voor opslagaccounts om RBAC-rollen toe te wijzen aan de door Event Grid beheerde identiteit.
  • Event Grid-inzender om beheerde identiteit in te schakelen en gebeurtenisabonnementen te beheren.

Netwerkbeveiliging inschakelen

Als u netwerkbeveiliging wilt inschakelen voor de opslagresources die zijn geïntegreerd met uw Azure Storage-connector, maakt u een Netwerkbeveiligingsperimeter (NSP), koppelt u het opslagaccount eraan en configureert u de regels om verkeer van Event Grid en andere vereiste bronnen toe te staan terwijl onbevoegde toegang wordt geblokkeerd. Gebruik de volgende stappen om de configuratie te voltooien.

Een netwerkbeveiligingsperimeter maken

  1. Zoek in de Azure Portal naar Netwerkbeveiligingsperimeter

  2. Selecteer Maken.

  3. Selecteer een abonnement en resourcegroep.

  4. Voer bijvoorbeeld Naam instorageblob-connectors-nsp

  5. Selecteer een regio. De regio moet dezelfde regio zijn als het opslagaccount.

  6. Voer een profielnaam in of accepteer de standaardwaarde. Het profiel definieert de set regels die wordt toegepast op gekoppelde resources. U kunt meerdere profielen binnen één NSP hebben om indien nodig verschillende regels toe te passen op verschillende resources.

  7. Selecteer Beoordelen en maken en vervolgens Maken.

    Een schermopname van het maken van een netwerkbeveiligingsperimeter in de Azure Portal.

Het opslagaccount koppelen aan de netwerkbeveiligingsperimeter

  1. Open de zojuist gemaakte Netwerkbeveiligingsperimeterresource in de Azure Portal.

  2. Selecteer Profielen en selecteer vervolgens de profielnaam die u hebt gebruikt bij het maken van de NSP-resource.

  3. Selecteer Gekoppelde resources.

  4. Kies Toevoegen.

  5. Zoek en voeg uw opslagaccount toe en selecteer vervolgens Selecteren.

  6. Selecteer Koppelen.

De toegangsmodus is standaard ingesteld op Overgang , zodat u de configuratie kunt valideren voordat u beperkingen afdwingt.

Een schermopname die laat zien hoe u een opslagaccount koppelt aan de netwerkbeveiligingsperimeter in de Azure Portal.

System-Assigned-identiteit inschakelen op event grid-systeemonderwerp

  1. Ga vanuit uw opslagaccount naar het tabblad Gebeurtenissen .

  2. Selecteer het systeemonderwerp dat wordt gebruikt om gebeurtenissen voor het maken van blob's te streamen naar de opslagwachtrij.

    Een schermopname van het tabblad Gebeurtenis voor Opslagaccounts in de Azure Portal.

  3. Selecteer Identiteit.

  4. Stel op het tabblad Door het systeem toegewezen de status in op Aan.

  5. Selecteer Opslaan en kopieer vervolgens de object-id van de beheerde identiteit voor later gebruik.

    Een schermopname van het maken van een beheerde identiteit voor een Event Grid-systeemonderwerp in de Azure Portal.

RBAC-machtigingen verlenen voor de opslagwachtrij

  1. Navigeer naar uw opslagaccount.

  2. Selecteer Access Control (IAM).

  3. Kies Toevoegen.

  4. Zoek en selecteer de rol Afzender van opslagwachtrijgegevensbericht (bereik: het opslagaccount).

  5. Selecteer het tabblad Leden en vervolgens Leden selecteren.

  6. Plak in het deelvenster Leden selecteren de object-id voor het event grid-systeemonderwerp beheerde identiteit die in de vorige stap is gemaakt.

  7. Selecteer de beheerde identiteit en selecteer vervolgens Selecteren.

  8. Selecteer Beoordelen en toewijzen om de roltoewijzing te voltooien. Een schermopname van de toewijzing van de rol Afzender van berichten in opslagwachtrijgegevens aan een beheerde identiteit in de Azure Portal.

Beheerde identiteit inschakelen voor het gebeurtenisabonnement

  1. Open het Event Grid-systeemonderwerp.

  2. Selecteer het gebeurtenisabonnement dat is gericht op de wachtrij.

  3. Selecteer het tabblad Aanvullende instellingen .

  4. Stel Het type beheerde identiteit in op Door het systeem toegewezen.

  5. Klik op Opslaan.

  6. Bekijk de metrische gegevens van het Event Grid-abonnement om te controleren of berichten na deze update naar de opslagwachtrij zijn gepubliceerd.

Een schermopname van het inschakelen van beheerde identiteit voor een Event Grid-abonnement in de Azure Portal.

Regels voor binnenkomende toegang configureren in het netwerkbeveiligingsperimeterprofiel

De volgende regels zijn vereist om Event Grid toe te staan berichten af te leveren aan het opslagaccount terwijl onbevoegde toegang wordt geblokkeerd. Afhankelijk van het systeem dat gegevens naar het opslagaccount verzendt of toegang heeft tot de opslagresources, moet u mogelijk aanvullende regels voor binnenkomend verkeer toevoegen. Controleer uw scenario en verkeerspatronen om de benodigde regels veilig toe te passen en tijd toe te staan voor het doorgeven van regels.

Regel 1: Het abonnement toestaan (Event Grid-levering)

Event Grid-levering is niet afkomstig van vaste openbare IP-adressen. De NSP valideert de levering met behulp van abonnementsidentiteit.

  1. Navigeer naar Netwerkbeveiligingsperimeter en selecteer uw NSP.

  2. Selecteer Profielen en selecteer vervolgens het profiel dat is gekoppeld aan uw opslagaccount.

  3. Selecteer Regels voor binnenkomende toegang en selecteer vervolgens Toevoegen.

    Een schermopname van de pagina Regels voor binnenkomende toegang in de Azure Portal.

  4. Voer een regelnaam in, bijvoorbeeld Allow-Subscription.

  5. Selecteer Abonnement in de vervolgkeuzelijst Brontype .

  6. Selecteer uw abonnement in de vervolgkeuzelijst Toegestane bronnen .

  7. Selecteer Toevoegen om de regel te maken.

    Een schermopname van het maken van een regel voor binnenkomende toegang om een abonnement toe te staan in de Azure Portal.

Opmerking

Het kan enkele minuten duren voordat regels worden weergegeven in de lijst nadat ze zijn gemaakt.

Regel 2: IP-bereiken van Scuba-service toestaan

  1. Maak een tweede regels voor binnenkomende toegang.

  2. Voer een regelnaam in, bijvoorbeeld Allow-Scuba.

  3. Selecteer IP-adresbereiken in de vervolgkeuzelijst Brontype .

  4. Open de downloadpagina van de servicetag .

  5. Selecteer uw cloud, bijvoorbeeld Azure Openbaar.

  6. Selecteer de knop Downloaden en open het gedownloade bestand om de lijst met IP-bereiken op te halen.

  7. Zoek de Scuba servicetag en kopieer de bijbehorende IPv4-bereiken.

  8. Plak de IPv4-bereiken in het veld Toegestane bronnen nadat u eventuele aanhalingstekens en volgkomma's hebt verwijderd.

  9. Selecteer Toevoegen om de regel te maken.

    Belangrijk

    Verwijder de aanhalingstekens uit de IP-bereiken en zorg ervoor dat de laatste vermelding geen volgkomma bevat voordat u ze in het veld Toegestane bronnen plakt. Servicetagbereiken worden in de loop van de tijd bijgewerkt; regelmatig vernieuwen om regels actueel te houden.

    Een schermopname van een deel van het ServiceTags_Public.json-bestand met de Scuba-servicetag en IPv4-bereiken gemarkeerd.

Valideren en afdwingen

Nadat u de regels hebt geconfigureerd, controleert u de diagnostische logboeken voor de netwerkbeveiligingsperimeter om te controleren of legitiem verkeer is toegestaan en dat er geen onderbrekingen zijn. Zodra u hebt bevestigd dat de regels het benodigde verkeer correct toestaan, kunt u overschakelen van de overgangsmodus naar de modus Afgedwongen om onbevoegde toegang te blokkeren.

Overgangsmodus

Schakel diagnostische logboeken voor netwerkbeveiligingsperimeter in en bekijk verzamelde telemetrie om communicatiepatronen te valideren voordat deze worden afgedwongen. Zie Diagnostische logboeken voor netwerkbeveiligingsperimeter voor meer informatie.

Afdwingingsmodus toepassen

Zodra de validatie is voltooid, stelt u de toegangsmodus als volgt in op Afgedwongen :

  1. Selecteer op de pagina Netwerkbeveiligingsperimeter onder Instellingende optie Gekoppelde resources.

  2. Selecteer het opslagaccount.

  3. Selecteer Toegangsmodus wijzigen.

  4. Selecteer Afgedwongen en vervolgens Opslaan.

    Een schermopname van het wijzigen van de toegangsmodus van een opslagaccount dat is gekoppeld aan een netwerkbeveiligingsperimeter in de Azure Portal.

Validatie na afdwinging

Controleer na afdwingen de omgeving nauwlettend op geblokkeerd verkeer dat kan duiden op onjuiste configuraties. Controleer of de Event Grid-configuratie niet wordt beïnvloed door de metrische gegevens van het Event Grid-systeemonderwerpabonnement te bekijken.

Gebruik de diagnostische logboeken om eventuele problemen te onderzoeken en op te lossen. Controleer de metrische gegevens voor het opslagaccount (inkomend verkeer in de wachtrij en fouten) en Event Grid (geslaagde levering) om te valideren op eventuele fouten. Ga terug naar de overgangsmodus als u onderbrekingen ondervindt en onderzoek herhaalt met behulp van de diagnostische logboeken.

Beveiligd door perimeter instellen voor het opslagaccount (optioneel)

Als u het opslagaccount instelt op Beveiligd door perimeter , zorgt u ervoor dat al het verkeer naar het opslagaccount wordt geëvalueerd op basis van de regels voor netwerkbeveiligingsperimeter en de toegang tot het openbare netwerk wordt geblokkeerd.

  1. Navigeer naar uw opslagaccount.

  2. Selecteer onder Beveiliging en netwerkende optie Netwerken.

  3. Selecteer beheren onder Openbare netwerktoegang.

  4. Stel Beveiligd door perimeter (meest beperkt) in.

  5. Klik op Opslaan.

Een schermopname die laat zien hoe u een opslagaccount instelt op 'Beveiligd door perimeter' in de Azure Portal.

Volgende stappen

In dit artikel hebt u geleerd hoe u netwerkbeveiliging inschakelt voor de opslagresources die zijn geïntegreerd met uw Azure Storage-connector. Zie de artikelen Netwerkbeveiligingsperimeter voor meer informatie.

  • Last updated on