Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Met netwerkbeveiligingsperimeter kunnen organisaties een logische netwerkisolatiegrens definiëren voor PaaS-resources, zoals Azure Files die buiten hun virtuele netwerken worden geïmplementeerd. Met deze functie wordt de toegang tot openbare netwerken beperkt tot PaaS-resources buiten de perimeter. U kunt echter toegang uitsluiten met behulp van expliciete toegangsregels voor openbaar binnenkomend en uitgaand verkeer. Dit helpt ongewenste gegevensexfiltratie van uw opslagbronnen te voorkomen. Binnen een netwerkbeveiligingsperimeter kunnen lidbronnen vrij communiceren met elkaar. Perimeterregels voor netwerkbeveiliging overschrijven de eigen firewallinstellingen van het opslagaccount. Toegang vanuit de perimeter heeft de hoogste prioriteit boven andere netwerkbeperkingen.
Hier vindt u de lijst met services die zijn toegevoegd aan de netwerkbeveiligingsperimeter. Als een service niet wordt vermeld, wordt deze nog niet onboarded. Als u toegang wilt verlenen tot een specifieke resource vanuit een niet-geïntegreerde service, kunt u een regel op basis van abonnement maken voor de netwerkbeveiligingsperimeter. Een regel op basis van een abonnement verleent toegang tot alle resources binnen dat abonnement. Raadpleeg deze documentatie voor meer informatie over het toevoegen van een toegangsregel op basis van een abonnement.
Toegangsmodi
Wanneer u opslagaccounts onboardt naar een netwerkbeveiligingsperimeter, kunt u beginnen in de overgangsmodus (voorheen leermodus) of rechtstreeks naar de modus Afgedwongen gaan. Met de overgangsmodus (de standaardtoegangsmodus) kan het opslagaccount terugvallen op de bestaande firewallregels of instellingen voor vertrouwde services als een perimeterregel nog geen verbinding toestaat. De afgedwongen modus blokkeert strikt alle openbare inkomende en uitgaande verkeer, tenzij dit expliciet is toegestaan door een netwerkbeveiligingsperimeterregel, waardoor maximale beveiliging voor uw opslagaccount wordt gegarandeerd. In de modus Afgedwongen worden de uitzonderingen voor vertrouwde services van Azure niet gehonoreerd. Relevante Azure-resources of specifieke abonnementen moeten expliciet worden toegestaan via perimeterregels. Zie Overgang naar een netwerkbeveiligingsperimeter in Azure voor meer informatie.
Belangrijk
Het uitvoeren van opslagaccounts in de overgangsmodus mag alleen als een overgangsstap dienen. Kwaadwillende actoren kunnen onbeveiligde resources misbruiken om gegevens te exfiltreren. Daarom is het van cruciaal belang om zo snel mogelijk over te stappen op een volledig beveiligde configuratie met de toegangsmodus die is ingesteld op Afgedwongen.
Netwerkprioriteit
Wanneer een opslagaccount deel uitmaakt van een netwerkbeveiligingsperimeter, overschrijven de toegangsregels van het relevante profiel de eigen firewallinstellingen van het account en worden ze de netwerkgatekeeper op het hoogste niveau. Toegang die door de perimeter is toegestaan of geweigerd, heeft voorrang en de instellingen voor toegestane netwerken van het opslagaccount worden overgeslagen wanneer het opslagaccount is gekoppeld aan de afgedwongen modus. Als u het opslagaccount van een netwerkbeveiligingsperimeter verwijdert, wordt de controle teruggezet naar de normale firewall. Netwerkbeveiligingsperimeters hebben geen invloed op privé-eindpuntverkeer. Verbindingen via private link slagen altijd. Voor interne Azure-services (vertrouwde services) zijn alleen services die expliciet zijn toegevoegd aan de perimeterbeveiligingsperimeter, toegestaan via perimetertoegangsregels. Anders wordt het verkeer standaard geblokkeerd, zelfs wanneer deze als betrouwbaar worden beschouwd volgens de firewall-instellingen van het opslagaccount. Voor services die nog niet zijn ingebouwd, zijn alternatieven regels op het niveau van het abonnement voor binnenkomende toegang en FQDN's (Fully Qualified Domain Names) voor uitgaande toegang, of via privékoppelingen.
Belangrijk
Privé-eindpuntverkeer wordt beschouwd als zeer veilig en is daarom niet onderworpen aan regels voor netwerkbeveiligingsperimeter. Al het andere verkeer, inclusief vertrouwde services, is onderhevig aan perimeterregels voor netwerkbeveiliging als het opslagaccount is gekoppeld aan een perimeter.
Functiedekking onder netwerkbeveiligingsperimeter
Wanneer een opslagaccount is gekoppeld aan een netwerkbeveiligingsperimeter, worden alle standaardbewerkingen voor gegevensvlakbewerkingen voor blobs, bestanden, tabellen en wachtrijen ondersteund, tenzij opgegeven onder de bekende beperkingen. U kunt HTTPS-bewerkingen beperken voor Azure Files, Azure Blob Storage, Azure Data Lake Storage Gen2, Azure Table Storage en Azure Queue Storage met behulp van netwerkbeveiligingsperimeter.
In de volgende tabellen worden alleen perimeter- en protocolondersteuning voor netwerkbeveiliging voor Azure Files beschreven. Als u op zoek bent naar functiedekking voor Azure Blob Storage en andere Azure Storage-services, raadpleegt u dit artikel.
In de volgende tabel wordt ondersteuning beschreven voor het afdwingen van binnenkomende netwerkbeveiligingsperimeter voor Azure Files.
| Feature | Ondersteuningsstatus | Aanbevelingen |
|---|---|---|
| Private Link | Ondersteund in alle protocollen (REST, SMB, NFS) | Private Link-regels hebben voorrang op de perimeter van de netwerkbeveiliging. Binnenkomend Privé Link-verkeer wordt altijd geaccepteerd, ongeacht de configuratie van de netwerkbeveiligingsperimeter. |
| Azure Files REST met OAuth | Ondersteund | Volledige ondersteuning |
| Azure Files REST met gedeelde sleutel of SAS-verificatie | Ondersteunt alleen binnenkomende IP-regels | Gedeelde sleutel en SAS zijn geen OAuth-protocollen, zodat ze geen informatie over de bronperimeter of het abonnement kunnen bevatten. Daarom worden binnenkomende perimeter- en abonnementsregels niet gehonoreerd. IP-regels worden ondersteund (maximaal 200 regels). |
| Azure Files SMB met NTLM of Kerberos | Ondersteunt alleen binnenkomende IP-regels | NTLM of Kerberos zijn geen OAuth-protocollen, zodat ze geen informatie over bronperimeter of -abonnement kunnen bevatten. Daarom worden binnenkomende perimeter- en abonnementsregels niet gehonoreerd. IP-regels worden ondersteund (maximaal 200 regels). |
| Azure Files NFS | Al het inkomende verkeer is geweigerd | Al het binnenkomende verkeer behalve Private Link wordt geweigerd als u uw opslagaccount in een netwerkbeveiligingsperimeter plaatst in de modus Afgedwongen. Uitgaand verkeer voor door de klant beheerde sleutels (CMK) wordt ondersteund. |
In de volgende tabel wordt de integratieondersteuning voor netwerkbeveiligingsperimeter voor Azure Files beschreven.
| Feature | Ondersteuningsstatus | Aanbevelingen |
|---|---|---|
| Klantbeheer Sleutels | Ondersteund in alle protocollen (REST, SMB, NFS) | Als u de Key Vault plaatst die als host fungeert voor de CMK in een netwerkbeveiligingsperimeter, moet u het opslagaccount in dezelfde perimeter plaatsen of het netwerkbeveiligingsperimeterprofiel van de Key Vault zo configureren dat het opslagaccount ermee kan communiceren. |
| Azure Backup | Wordt niet ondersteund. Azure Backup is nog niet aangesloten op de netwerkbeveiligingsperimeter | Vermijd het gebruik van netwerkbeveiligingsperimeter voor opslagaccounts met behulp van Azure Backup totdat de onboarding is voltooid. |
| Azure File Sync | Niet volledig ondersteund. Azure File Sync heeft een bekende beperking met netwerkbeveiligingsperimeters. | Als u een opslagsynchronisatieserviceresource wilt verbinden met uw opslagaccount, moet u eerst de opslagsynchronisatieservice configureren voor het gebruik van beheerde identiteiten. Configureer vervolgens een binnenkomende netwerkbeveiligingsprofielregel om het abonnement van de opslagsynchronisatieservice toe te staan. Opslagsynchronisatieservices kunnen niet worden gekoppeld aan perimeters. |
Waarschuwing
Voor opslagaccounts die zijn gekoppeld aan een netwerkbeveiligingsperimeter, moet u ervoor zorgen dat de Azure Key Vault toegankelijk is vanuit de perimeter waaraan het opslagaccount is gekoppeld, zodat cmk-scenario's (door de klant beheerde sleutels) werken.
Een netwerkbeveiligingsperimeter koppelen aan een opslagaccount
Als u een netwerkbeveiligingsperimeter wilt koppelen aan een opslagaccount, volgt u deze algemene instructies voor alle PaaS-resources.