Aktivera nätverkssäkerhet för blobanslutningar för Azure Storage

Den här artikeln innehåller stegvisa instruktioner om hur du aktiverar nätverkssäkerhet på de lagringsresurser som är integrerade med din Azure Storage-anslutningsapp. Azure nätverkssäkerhetsperimeter (NSP) är en Azure inbyggd funktion som skapar en gräns för logisk isolering för dina PaaS-resurser. Genom att associera resurser som lagringskonton eller databaser med en NSP kan du centralt hantera nätverksåtkomst med hjälp av en förenklad regeluppsättning. Mer information finns i Begrepp för nätverkssäkerhetsperimeter.

Förhandskrav

Skapa anslutningsresurserna innan du aktiverar nätverkssäkerhet. Se Konfigurera din Azure Storage Connector för att strömma loggar till Microsoft Sentinel, inklusive event grid-systemavsnittet som används för att strömma blobgenereringshändelser till Azure Storage-kön.

Kontrollera att du har följande behörigheter för att slutföra den här installationen:

  • Prenumerationsägare eller deltagare för att skapa resurser för nätverkssäkerhetsperimeter.
  • Lagringskontodeltagare för att associera lagringskontot med NSP.
  • Administratör för användaråtkomst för lagringskonto eller ägare för att tilldela RBAC-roller till den event grid-hanterade identiteten.
  • Event Grid-deltagare för att aktivera hanterad identitet och hantera händelseprenumerationer.

Aktivera nätverkssäkerhet

Om du vill aktivera nätverkssäkerhet på lagringsresurserna som är integrerade med din Azure Storage-anslutningsapp skapar du en nätverkssäkerhetsperimeter (NSP), associerar lagringskontot med det och konfigurerar reglerna för att tillåta trafik från Event Grid och andra nödvändiga källor samtidigt som obehörig åtkomst blockeras. Slutför konfigurationen med hjälp av följande steg.

Skapa en nätverkssäkerhetsperimeter

  1. I Azure Portal söker du efter nätverkssäkerhetsperimeter

  2. Välj Skapa.

  3. Välj en prenumeration och resursgrupp.

  4. Ange namn, till exempel storageblob-connectors-nsp

  5. Välj en region. Regionen måste vara samma region som lagringskontot.

  6. Ange ett profilnamn eller acceptera standardinställningen. Profilen definierar den uppsättning regler som tillämpas på associerade resurser. Du kan ha flera profiler i en enda NSP för att tillämpa olika regler på olika resurser om det behövs.

  7. Välj Granska + skapa och sedan Skapa.

    En skärmbild som visar skapandet av en nätverkssäkerhetsperimeter i Azure Portal.

Associera lagringskontot med nätverkssäkerhetsperimetern

  1. Öppna den nyligen skapade nätverkssäkerhetsperimeterresursen i Azure Portal.

  2. Välj Profiler och välj sedan det profilnamn som du använde när du skapade NSP-resursen.

  3. Välj Associerade resurser.

  4. Välj Lägg till.

  5. Sök efter och lägg till ditt lagringskonto och välj sedan Välj.

  6. Välj Associera.

Åtkomstläget är inställt på Övergång som standard, så att du kan verifiera konfigurationen innan du tillämpar begränsningar.

En skärmbild som visar hur du associerar ett lagringskonto med nätverkssäkerhetsperimetern i Azure Portal.

Aktivera System-Assigned identitet i Event Grid-systemämne

  1. Gå till fliken Händelser från ditt lagringskonto.

  2. Välj systemämnet som används för att strömma händelser för att skapa blobar till lagringskön.

    En skärmbild som visar fliken Händelse för lagringskonton i Azure Portal.

  3. Välj Identitet.

  4. På fliken Systemtilldelat anger du Status till .

  5. Välj Spara och kopiera sedan objekt-ID för den hanterade identiteten för senare användning.

    En skärmbild som visar skapandet av en hanterad identitet för ett Event Grid-systemämne i Azure Portal.

Bevilja RBAC-behörigheter i lagringskö

  1. Gå till ditt lagringskonto.

  2. Välj Access Control (IAM).

  3. Välj Lägg till.

  4. Sök efter och välj rollen Storage Queue Data Message Sender (omfång: lagringskontot).

  5. Välj fliken Medlemmar och sedan Välj medlemmar.

  6. I fönstret Välj medlemmar klistrar du in objekt-ID:t för event grid-systemämnet hanterad identitet som skapades i föregående steg.

  7. Välj den hanterade identiteten och välj sedan Välj.

  8. Välj Granska + tilldela för att slutföra rolltilldelningen. En skärmbild som visar tilldelningen av rollen Storage Queue Data Message Sender till en hanterad identitet i Azure Portal.

Aktivera hanterad identitet i händelseprenumerationen

  1. Öppna Event Grid-systemämnet.

  2. Välj den händelseprenumeration som riktar sig mot kön.

  3. Välj fliken Ytterligare inställningar .

  4. Ange Hanterad identitetstyp till Systemtilldelad.

  5. Välj Spara.

  6. Granska måtten för Event Grid-prenumerationen för att verifiera att meddelanden har publicerats till lagringskö efter den här uppdateringen.

En skärmbild som visar aktivering av hanterad identitet för en Event Grid-prenumeration i Azure Portal.

Konfigurera regler för inkommande åtkomst i profilen nätverkssäkerhetsperimeter

Följande regler krävs för att event grid ska kunna leverera meddelanden till lagringskontot samtidigt som obehörig åtkomst blockeras. Beroende på vilket system som skickar data till lagringskontot eller åtkomst till lagringsresurserna kan du behöva lägga till ytterligare regler för inkommande trafik. Granska scenariot och trafikmönstren för att på ett säkert sätt tillämpa de nödvändiga reglerna och ge tid för regelspridning.

Regel 1: Tillåt prenumerationen (Event Grid-leverans)

Event Grid-leveransen kommer inte från fasta offentliga IP-adresser. NSP verifierar leveransen med hjälp av prenumerationsidentitet.

  1. Gå till Nätverkssäkerhetsperimeter och välj din NSP.

  2. Välj Profiler och välj sedan den profil som är associerad med ditt lagringskonto.

  3. Välj Regler för inkommande åtkomst och välj sedan Lägg till.

    En skärmbild som visar sidan Regler för inkommande åtkomst i Azure Portal.

  4. Ange ett regelnamn, till exempel Allow-Subscription.

  5. Välj Prenumeration i listrutan Källtyp .

  6. Välj din prenumeration i listrutan Tillåtna källor .

  7. Välj Lägg till för att skapa regeln.

    En skärmbild som visar skapandet av en regel för inkommande åtkomst för att tillåta en prenumeration i Azure Portal.

Obs!

Det kan ta några minuter innan regler visas i listan när de har skapats.

Regel 2: Tillåt SCUBA-tjänstens IP-intervall

  1. Skapa en andra regler för inkommande åtkomst.

  2. Ange ett regelnamn, till exempel Allow-Scuba.

  3. Välj IP-adressintervall i listrutan Källtyp .

  4. Öppna nedladdningssidan för tjänsttaggen .

  5. Välj ditt moln, till exempel Azure Offentlig.

  6. Välj knappen Ladda ned och öppna den nedladdade filen för att hämta listan över IP-intervall.

  7. Leta upp Scuba tjänsttaggen och kopiera tillhörande IPv4-intervall.

  8. Klistra in IPv4-intervallen i fältet Tillåtna källor när du har tagit bort eventuella citattecken och avslutande kommatecken.

  9. Välj Lägg till för att skapa regeln.

    Viktigt

    Ta bort citattecken från IP-intervallen och se till att det inte finns något avslutande kommatecken på den sista posten innan du klistrar in dem i fältet Tillåtna källor . Tjänsttaggintervall uppdateras över tid. uppdatera regelbundet för att hålla reglerna aktuella.

    En skärmbild som visar en del av ServiceTags_Public.json-filen med Scuba Service-taggen och IPv4-intervallen markerade.

Verifiera och framtvinga

När du har konfigurerat reglerna övervakar du diagnostikloggarna för nätverkssäkerhetsperimetern för att verifiera att legitim trafik tillåts och att det inte finns några avbrott. När du har bekräftat att reglerna tillåter nödvändig trafik korrekt kan du växla från övergångsläge till Framtvingat läge för att blockera obehörig åtkomst.

Övergångsläge

Aktivera diagnostikloggar för nätverkssäkerhetsperimeter och granska insamlad telemetri för att verifiera kommunikationsmönster före tvingande. Mer information finns i Diagnostikloggar för nätverkssäkerhetsperimeter.

Tillämpa tvingande läge

När valideringen är klar anger du åtkomstläget till Framtvingat på följande sätt:

  1. På sidan Nätverkssäkerhetsperimeter går du till Inställningar och väljer Associerade resurser.

  2. Välj lagringskontot.

  3. Välj Ändra åtkomstläge.

  4. Välj Framtvingad och sedan Spara.

    En skärmbild som visar hur du ändrar åtkomstläget för ett lagringskonto som är associerat med en nätverkssäkerhetsperimeter i Azure Portal.

Validering efter tillämpning

Övervaka miljön noggrant efter blockerad trafik som kan tyda på felkonfigurationer. Kontrollera att Event Grid-konfigurationen inte påverkas av prenumerationsmåtten för Event Grid-systemämnet.

Använd diagnostikloggarna för att undersöka och lösa eventuella problem som uppstår. Granska måtten för lagringskontot (köingress och fel) och Event Grid (leverans lyckades) för att verifiera eventuella fel. Återställ till övergångsläget om du upplever störningar och upprepar undersökningen med hjälp av diagnostikloggarna.

Ange Skyddat av perimeter på lagringskontot (valfritt)

Genom att ställa in lagringskontot på Skyddat av perimeter ser du till att all trafik till lagringskontot utvärderas mot reglerna för nätverkssäkerhetsperimeter och blockerar åtkomsten till det offentliga nätverket.

  1. Gå till ditt lagringskonto.

  2. Under Säkerhet + nätverk väljer du Nätverk.

  3. Under Åtkomst till offentligt nätverk väljer du Hantera.

  4. Ange Skyddad av perimeter (mest begränsad).

  5. Välj Spara.

En skärmbild som visar hur du ställer in ett lagringskonto på

Nästa steg

I den här artikeln har du lärt dig hur du aktiverar nätverkssäkerhet på de lagringsresurser som är integrerade med din Azure Storage-anslutningsapp. Mer information finns i artiklarna om nätverkssäkerhetsperimeter .

  • Last updated on