Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Med nätverkssäkerhetsperimeter kan organisationer definiera en gräns för logisk nätverksisolering för PaaS-resurser, till exempel Azure Files som distribueras utanför deras virtuella nätverk. Den här funktionen begränsar åtkomsten till paaS-resurser utanför perimetern. Du kan dock undanta åtkomst med hjälp av explicita åtkomstregler för offentlig inkommande och utgående trafik. Detta förhindrar oönskad dataexfiltrering från dina lagringsresurser. Inom en nätverkssäkerhetsperimeter kan medlemsresurser fritt kommunicera med varandra. Regler för nätverkssäkerhetsperimeter åsidosätter lagringskontots egna brandväggsinställningar. Åtkomst inifrån perimetern har högsta prioritet jämfört med andra nätverksbegränsningar.
Du hittar listan över tjänster som är registrerade i nätverkssäkerhetsperimetern här. Om en tjänst inte visas är den inte registrerad ännu. Om du vill tillåta åtkomst till en specifik resurs från en icke-registrerad tjänst kan du skapa en prenumerationsbaserad regel för nätverkssäkerhetsperimetern. En prenumerationsbaserad regel ger åtkomst till alla resurser i den prenumerationen. Mer information om hur du lägger till en prenumerationsbaserad åtkomstregel finns i den här dokumentationen.
Åtkomstlägen
När du registrerar lagringskonton till en nätverkssäkerhetsperimeter kan du antingen starta i övergångsläge (tidigare inlärningsläge) eller gå direkt till Framtvingat läge. Övergångsläge (standardåtkomstläge) gör att lagringskontot kan återgå till sina befintliga brandväggsregler eller inställningar för betrodda tjänster om en perimeterregel ännu inte tillåter en anslutning. Framtvingat läge blockerar strikt all offentlig inkommande och utgående trafik om det inte uttryckligen tillåts av en regel för nätverkssäkerhetsperimeter, vilket säkerställer maximalt skydd för ditt lagringskonto. I läge med restriktioner respekteras inte undantag för betrodda tjänster i Azure. Relevanta Azure-resurser eller specifika prenumerationer måste uttryckligen tillåtas via perimeterregler. Mer information finns i Övergång till en nätverkssäkerhetsperimeter i Azure.
Viktigt!
Drift av lagringskonton i övergångsläge bör endast fungera som ett övergångssteg. Skadliga aktörer kan utnyttja oskyddade resurser för att exfiltrera data. Därför är det viktigt att övergå till en helt säker konfiguration så snart som möjligt med åtkomstläget inställt på Framtvingat.
Nätverksprioritet
När ett lagringskonto ingår i en nätverkssäkerhetsperimeter åsidosätter den relevanta profilens åtkomstregler kontots egna brandväggsinställningar och blir den högsta nätverksgrindshållaren. Åtkomst som tillåts eller nekas av perimetern har företräde och lagringskontots Inställningar för tillåtna nätverk kringgås när lagringskontot är associerat i framtvingat läge. Om du tar bort lagringskontot från en nätverkssäkerhetsperimeter återgår kontrollen till den vanliga brandväggen. Nätverkssäkerhetsperimeter påverkar inte privat slutpunktstrafik. Anslutningar via privat länk lyckas alltid. För interna Azure-tjänster (betrodda tjänster) tillåts endast tjänster som uttryckligen registreras i nätverkssäkerhetsperimetern via regler för perimeteråtkomst. Annars blockeras deras trafik som standardinställning, även om de är betrodda enligt brandväggsreglerna för lagringskontot. För tjänster som ännu inte har registrerats inkluderar alternativen regler på prenumerationsnivå för inkommande och fullständigt kvalificerade domännamn (FQDN) för utgående åtkomst eller via privata länkar.
Viktigt!
Privat slutpunktstrafik anses vara mycket säker och omfattas därför inte av regler för nätverkssäkerhetsperimeter. All annan trafik, inklusive betrodda tjänster, omfattas av regler för nätverkssäkerhetsperimeter om lagringskontot är associerat med en perimeter.
Funktionstäckning under nätverkssäkerhetsperimeter
När ett lagringskonto är associerat med en nätverkssäkerhetsperimeter stöds alla standardåtgärder för dataplan för blobar, filer, tabeller och köer om de inte anges under de kända begränsningarna. Du kan begränsa HTTPS-baserade åtgärder för Azure Files, Azure Blob Storage, Azure Data Lake Storage Gen2, Azure Table Storage och Azure Queue Storage med hjälp av nätverkssäkerhetsperimeter.
Följande tabeller beskriver endast nätverkssäkerhetsperimeter och protokollstöd för Azure Files. Om du letar efter funktionstäckning för Azure Blob Storage och andra Azure Storage-tjänster kan du läsa den här artikeln.
I följande tabell beskrivs stöd för tillämpning av inkommande nätverkssäkerhetsperimeter för Azure Files.
| Feature | Supportstatus | Recommendations |
|---|---|---|
| Privat länk | Stöds för alla protokoll (REST, SMB, NFS) | Private Link-regler har företräde framför nätverkssäkerhetsperimeter. Inkommande Private Link-trafik accepteras alltid, oavsett nätverkssäkerhetsperimeterkonfiguration. |
| Azure Files REST med OAuth | Understödd | Fullständigt stöd |
| Azure Files REST med delad nyckel eller SAS-autentisering | Stöder endast inkommande IP-regler | Delad nyckel och SAS är inte OAuth-baserade protokoll, så de kan inte bära information om källperimeter eller prenumeration. Därför respekteras inte regler för inkommande omkrets och prenumerationsregler. IP-regler stöds (upp till 200 regler). |
| Azure Files SMB med NTLM eller Kerberos | Stöder endast inkommande IP-regler | NTLM eller Kerberos är inte OAuth-baserade protokoll, så de kan inte bära information om källperimeter eller prenumeration. Därför respekteras inte regler för inkommande omkrets och prenumerationsregler. IP-regler stöds (upp till 200 regler). |
| Azure Files NFS | All inkommande trafik blockeras | All inkommande trafik utom Private Link kommer att nekas om du placerar ditt lagringskonto i en nätverkssäkerhetsperimeter i enforcerat läge. Utgående trafik för kundhanterade nycklar (CMK) stöds. |
I följande tabell beskrivs integrationsstöd för nätverkssäkerhetsperimeter för Azure Files.
| Feature | Supportstatus | Recommendations |
|---|---|---|
| Kundhanterade nycklar | Stöds för alla protokoll (REST, SMB, NFS) | Om du placerar Nyckelvalvet som är värd för CMK:n i en nätverkssäkerhetsperimeter bör du placera lagringskontot i samma perimeter eller på annat sätt konfigurera nätverkssäkerhetsperimeterprofilen för Key Vault så att lagringskontot kan kommunicera med det. |
| Azure Backup | Stöds inte. Azure Backup har ännu inte registrerats för nätverkssäkerhetsperimeter | Undvik att använda säkerhetsperimeter för nätverk för lagringskonton med hjälp av Azure Backup tills onboardingen är klar. |
| Azure File Sync | Stöds inte fullt ut. Azure File Sync har en känd begränsning med nätverkssäkerhetsperimeter. | Om du vill ansluta en Storage Sync Service-resurs till ditt lagringskonto måste du först konfigurera Tjänsten för synkronisering av lagring för att använda hanterade identiteter. Konfigurera sedan en regel för nätverkssäkerhetsperimeter för den inkommande profilen så att prenumerationen på Storage Sync Service finns på tillåtelselistan. Storage Sync Services kan inte associeras med perimetrar. |
Varning
För lagringskonton som är associerade med en nätverkssäkerhetsperimeter kontrollerar du att Azure Key Vault är tillgängligt från den perimeter som lagringskontot är associerat med för att kundhanterade nycklar (CMK) ska fungera.
Associera en nätverkssäkerhetsperimeter med ett lagringskonto
Följ dessa vanliga instruktioner för alla PaaS-resurser om du vill associera en nätverkssäkerhetsperimeter med ett lagringskonto.
Nästa steg
- Läs mer om Azure-nätverkstjänstslutpunkter.
- Aktivera diagnostikloggar för nätverkssäkerhetsperimeter.