Ativar a Segurança de Rede para conectores de blobs de Armazenamento Azure

Este artigo fornece instruções passo a passo sobre como ativar a segurança de rede nos recursos de armazenamento integrados com o conector de Armazenamento do Azure. Azure perímetro de segurança de rede (NSP) é uma funcionalidade nativa Azure que cria um limite de isolamento lógico para os seus recursos PaaS. Ao associar recursos como contas de armazenamento ou bases de dados a um NSP, pode gerir centralmente o acesso à rede através de um conjunto de regras simplificado. Para obter mais informações, veja Conceitos de perímetro de segurança de rede.

Pré-requisitos

Antes de ativar a segurança de rede, crie os recursos do conector. Veja Configurar o Conector de Armazenamento do Azure para transmitir registos para Microsoft Sentinel, incluindo o tópico do sistema do Event Grid utilizado para transmitir eventos de criação de blobs para a fila de Armazenamento Azure.

Para concluir esta configuração, certifique-se de que tem as seguintes permissões:

• Proprietário ou Contribuidor da Subscrição para criar recursos de perímetro de segurança de rede.
• Contribuidor da Conta de Armazenamento para associar a conta de armazenamento ao NSP.
• Administrador ou Proprietário de Acesso de Utilizador da Conta de Armazenamento para atribuir funções RBAC à identidade gerida do Event Grid.
• Contribuidor do Event Grid para ativar a identidade gerida e gerir subscrições de eventos.

Ativar a Segurança de Rede

Para ativar a segurança de rede nos recursos de armazenamento integrados com o conector de Armazenamento do Azure, crie um Perímetro de Segurança de Rede (NSP), associe a conta de armazenamento à mesma e configure as regras para permitir o tráfego do Event Grid e de outras origens necessárias enquanto bloqueia o acesso não autorizado. Utilize os seguintes passos para concluir a configuração.

Criar um Perímetro de Segurança de Rede

1. No portal do Azure, procure Perímetros de Segurança de Rede

2. Selecione Criar.

3. Selecione uma Subscrição e um Grupo de recursos.

4. Introduza Nome, por exemplo storageblob-connectors-nsp

5. Selecione uma Região. A região tem de ser a mesma região que a conta de armazenamento.

6. Introduza um Nome do perfil ou aceite a predefinição. O perfil define o conjunto de regras que são aplicadas aos recursos associados. Pode ter vários perfis num único NSP para aplicar regras diferentes a recursos diferentes, se necessário.

7. Selecione Rever + criar e, em seguida , Criar.

   

Associar a Conta de Armazenamento ao Perímetro de Segurança de Rede

1. Abra o recurso de Perímetro de Segurança de Rede recentemente criado no portal do Azure.

2. Selecione Perfis e, em seguida, selecione o nome do perfil que utilizou ao criar o recurso NSP.

3. Selecione Recursos associados.

4. Selecione Adicionar.

5. Procure e adicione a sua conta de armazenamento e, em seguida, selecione Selecionar.

6. Selecione Associar.

O modo de acesso está definido como Transição por predefinição , o que lhe permite validar a configuração antes de impor restrições.

Ativar a Identidade do System-Assigned no Tópico do Sistema do Event Grid

1. A partir da sua conta de armazenamento, navegue para o separador Eventos .

2. Selecione o Tópico de Sistema utilizado para transmitir eventos de criação de blobs para a fila de armazenamento.

   

3. Selecione Identidade.

4. No separador Sistema atribuído , defina o Estado como Ativado.

5. Selecione Guardar e, em seguida, copie o ID de Objeto da identidade gerida para utilização posterior.

   

Conceder permissões RBAC na Fila de Armazenamento

1. Navegue para a sua Conta de Armazenamento.

2. Selecione Controlo de Acesso (IAM).

3. Selecione Adicionar.

4. Procure e selecione a função Remetente da Mensagem de Dados da Fila de Armazenamento (âmbito: a conta de armazenamento).

5. Selecione o separador Membros e, em seguida , Selecione membros.

6. No painel Selecionar membros , cole o ID do Objeto para a identidade gerida do tópico do sistema do Event Grid criado no passo anterior.

7. Selecione a identidade gerida e, em seguida, selecione Selecionar.

8. Selecione Rever + atribuir para concluir a atribuição de função.

Ativar a Identidade Gerida na subscrição do evento

1. Abra o Tópico do Sistema do Event Grid.

2. Selecione a subscrição de eventos que visa a fila.

3. Selecione o separador Definições adicionais .

4. Defina o Tipo de identidade geridacomo Atribuído pelo sistema.

5. Seleccione Guardar.

6. Reveja as métricas da subscrição do Event Grid para validar que as mensagens são publicadas com êxito na fila de armazenamento após esta atualização.

Configurar regras de Acesso de Entrada no perfil de Perímetro de Segurança de Rede

São necessárias as seguintes regras para permitir que o Event Grid entregue mensagens à conta de armazenamento enquanto bloqueia o acesso não autorizado. Consoante o sistema que está a enviar dados para a conta de armazenamento ou o acesso aos recursos de armazenamento, poderá ter de adicionar regras de entrada adicionais. Reveja o cenário e os padrões de tráfego para aplicar com segurança as regras necessárias e aguarde tempo para a propagação de regras.

Regra 1: Permitir a Subscrição (Entrega do Event Grid)

A entrega do Event Grid não tem origem em IPs públicos fixos. O NSP valida a entrega com a identidade da subscrição.

1. Navegue para Perímetro de Segurança de Rede e selecione o NSP.

2. Selecione Perfis e, em seguida, selecione o perfil associado à sua conta de armazenamento.

3. Selecione Regras de acesso de entrada e, em seguida, selecione Adicionar.

   

4. Introduza um Nome da regra, por exemplo Allow-Subscription.

5. Selecione Subscrição no menu pendente Tipo de origem.

6. Selecione a sua subscrição no menu pendente Origens Permitidas .

7. Selecione Adicionar para criar a regra.

   

Regra 2: Permitir intervalos de IP do serviço Scuba

1. Crie uma segunda regra de acesso de entrada.

2. Introduza um Nome da regra, por exemplo Allow-Scuba.

3. Selecione Intervalos de endereços IP no menu pendente Tipo de origem.

4. Abra a página de transferência da etiqueta de serviço .

5. Selecione a sua cloud, por exemplo, Azure Público.

6. Selecione o botão Transferir e abra o ficheiro transferido para obter a lista de intervalos de IP.

7. Localize a etiqueta de Scuba serviço e copie os intervalos IPv4 associados.

8. Cole os intervalos IPv4 no campo Origens Permitidas depois de remover as aspas e vírgulas à direita.

9. Selecione Adicionar para criar a regra.

   Importante

   Remova as aspas dos intervalos de IP e certifique-se de que não existe nenhuma vírgula à direita na última entrada antes de colá-las no campo Origens Permitidas . Atualização dos intervalos de etiquetas de serviço ao longo do tempo; atualize regularmente para manter as regras atualizadas.

   

Validar e impor

Depois de configurar as regras, monitorize os registos de diagnóstico do Perímetro de Segurança de Rede para validar que o tráfego legítimo é permitido e não existem interrupções. Depois de confirmar que as regras estão a permitir corretamente o tráfego necessário, pode mudar do Modo de transição para o modo Imposto para bloquear o acesso não autorizado.

Modo de transição

Ative os registos de diagnóstico do Perímetro de Segurança de Rede e reveja a telemetria recolhida para validar os padrões de comunicação antes da imposição. Para obter mais informações, veja Registos de diagnóstico do Perímetro de Segurança de Rede.

Aplicar modo de Imposição

Assim que a validação for efetuada com êxito, defina o modo de acesso como Imposto da seguinte forma:

1. Na página Perímetro de Segurança de Rede, em Definições, selecione Recursos associados.

2. Selecione a conta de armazenamento.

3. Selecione Alterar modo de acesso.

4. Selecione Imposto e, em seguida, Guardar.

   

Validação pós-imposição

Após a imposição, monitorize o ambiente de perto quanto a qualquer tráfego bloqueado que possa indicar configurações incorretas. Valide se a configuração do Event Grid não é afetada ao rever as métricas de subscrição do tópico do sistema do Event Grid.

Utilize os registos de diagnóstico para investigar e resolver quaisquer problemas que surjam. Reveja as métricas na conta de armazenamento (entrada da fila e erros) e Event Grid (êxito na entrega) para validar se existem erros. Reverter para o Modo de Transição se ocorrer alguma interrupção e repetir a investigação com os registos de diagnóstico.

Definir Protegido por Perímetro na Conta de Armazenamento (Opcional)

Definir a conta de armazenamento como Protegida por Perímetro garante que todo o tráfego para a conta de armazenamento é avaliado em relação às regras de Perímetro de Segurança de Rede e bloqueia o acesso à rede pública.

1. Navegue para a sua Conta de Armazenamento.

2. Em Segurança + rede, selecione Rede.

3. Em Acesso à rede pública, selecione Gerir.

4. Definir Protegido por Perímetro (Mais restrito).

5. Seleccione Guardar.

Passos seguintes

Neste artigo, aprendeu a ativar a segurança de rede nos recursos de armazenamento integrados com o conector de Armazenamento do Azure. Para obter mais informações, veja os artigos Network Security Perimeter (Perímetro de Segurança de Rede ).

• Reveja as regras de ligação de dados no data-connection-rules-reference-azure-storage.md.
• Resolver problemas de rede do conector no azure-storage-blob-connector-troubleshoot.md.