Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Azure Service Bus ondersteunt integratie met een netwerkbeveiligingsperimeter.
Een netwerkbeveiligingsperimeter helpt netwerkverkeer te beveiligen tussen Azure Service Bus en andere PaaS-aanbiedingen (Platform as a Service), zoals Azure Key Vault. Door communicatie met Azure-resources binnen de grenzen te beperken, blokkeert een netwerkbeveiligingsperimeter pogingen om toegang te krijgen tot andere resources door onbevoegden.
Met een netwerkbeveiligingsperimeter:
- PaaS-resources die aan een specifieke perimeter zijn gekoppeld, kunnen standaard alleen communiceren met andere PaaS-resources binnen dezelfde perimeter.
- U kunt externe binnenkomende en uitgaande communicatie actief toestaan door expliciete toegangsregels in te stellen.
- Diagnostische logboeken zijn ingeschakeld voor PaaS-resources binnen de perimeter voor controle en naleving.
De integratie van Service Bus in dit framework verbetert de mogelijkheden voor berichten en biedt krachtige beveiligingsmaatregelen. Deze integratie verbetert de schaalbaarheid en betrouwbaarheid van het platform. Het versterkt ook strategieën voor gegevensbescherming om risico's te beperken die verband houden met onbevoegde toegang of gegevensschendingen.
Door te werken als een service onder Azure Private Link, faciliteert een netwerkbeveiligingsperimeter veilige communicatie voor PaaS-services die buiten het virtuele netwerk zijn geïmplementeerd. Het maakt naadloze interactie mogelijk tussen PaaS-services binnen de perimeter en vereenvoudigt de communicatie met externe resources via zorgvuldig geconfigureerde toegangsregels. Het biedt ook ondersteuning voor uitgaande resources, zoals Azure Key Vault, voor door de klant beheerde sleutels (CMK's). Deze ondersteuning verbetert de veelzijdigheid en het nut verder in diverse cloudomgevingen.
Scenario's voor netwerkbeveiligingsperimeter in Service Bus
Azure Service Bus ondersteunt scenario's waarvoor toegang tot andere PaaS-resources is vereist. CMK's vereisen communicatie met Azure Key Vault. Zie Door de klant beheerde sleutels configureren voor het versleutelen van Azure Service Bus data-at-rest voor meer informatie.
Voor verouderde geo-disaster recovery (alias-gebaseerde koppeling) moeten zowel de primaire als de secundaire naamruimten worden gekoppeld aan dezelfde netwerkbeveiligingsperimeter. Als alleen de primaire is gekoppeld, mislukt het koppelen.
Perimeterregels voor netwerkbeveiliging beheren geen privékoppelingsverkeer via privé-eindpunten.
Een netwerkbeveiligingsperimeter maken
Maak uw eigen perimeterresource voor netwerkbeveiliging met behulp van Azure Portal, Azure PowerShell of de Azure CLI.
Service Bus koppelen aan een netwerkbeveiligingsperimeter in de Azure-portal
U kunt uw Service Bus-naamruimte rechtstreeks vanuit de Service Bus-naamruimte in Azure Portal koppelen aan een netwerkbeveiligingsperimeter:
Selecteer Netwerken op de pagina voor uw Service Bus-naamruimte onder Instellingen.
Selecteer het tabblad Openbare toegang .
Selecteer Koppelen in de sectie Netwerkbeveiligingsperimeter.
In het dialoogvenster Netwerkbeveiligingsperimeter selecteren zoekt en selecteert u de netwerkbeveiligingsperimeter die u wilt koppelen aan de naamruimte.
Selecteer een profiel dat u aan de naamruimte wilt koppelen.
Selecteer Koppelen om de koppeling te voltooien.
De koppeling controleren met behulp van de Azure CLI
Controleer of uw naamruimte is gekoppeld aan een netwerkbeveiligingsperimeter:
az servicebus namespace network-rule-set show \
--name <namespace-name> \
--resource-group <resource-group>
Wanneer de koppeling bestaat, toont het publicNetworkAccess veld SecuredByPerimeter.
Problemen oplossen
Functiebeschikbaarheid
Voor sommige mogelijkheden van netwerkbeveiligingsperimeters moeten functievlagmen worden geregistreerd in uw abonnement. Als er een fout 'Deze functie is niet beschikbaar voor een bepaald abonnement' wordt weergegeven bij het configureren van toegangsregels of perimeterkoppelingen, of als uw naamruimte niet wordt weergegeven in de lijst met gekoppelde resources bij het configureren van een netwerkbeveiligingsperimeter, registreert u de vereiste functievlag en registreert u de netwerkprovider opnieuw:
| Vermogen | Functievlag | Registratieopdracht |
|---|---|---|
| NSP-resource-koppeling | AllowNetworkSecurityPerimeter |
az feature register --namespace Microsoft.Network --name AllowNetworkSecurityPerimeter |
| Grensoverschrijdende koppelingen | AllowNspLink |
az feature register --namespace Microsoft.Network --name AllowNspLink |
| Binnenkomende regels voor servicetags | EnableServiceTagsInNsp |
az feature register --namespace Microsoft.Network --name EnableServiceTagsInNsp |
Nadat de registratie is uitgevoerd, moet u de wijziging doorgeven:
az provider register -n Microsoft.Network
Het doorgeven van functievlagken kan tot 15 minuten duren.
Naamruimtekoppeling aan een netwerkbeveiligingsperimeter
Wanneer u een verouderde geo-noodherstelkoppeling maakt, moeten de primaire en secundaire naamruimten zijn gekoppeld aan dezelfde netwerkbeveiligingsperimeter. Als de fout DisasterRecoveryConfigSecondaryMustHaveAssociationsUnderSameNSP wordt weergegeven, koppelt u de secundaire naamruimte aan dezelfde perimeter en voert u de koppeling opnieuw uit.