Aktivieren der Netzwerksicherheit für Azure Storage-Blobconnectors

Dieser Artikel enthält schrittweise Anweisungen zum Aktivieren der Netzwerksicherheit für die Speicherressourcen, die in Ihren Azure Storage-Connector integriert sind. Azure Netzwerksicherheitsperimeter (Network Security Perimeter, NSP) ist ein Azure natives Feature, das eine logische Isolationsgrenze für Ihre PaaS-Ressourcen erstellt. Durch das Zuordnen von Ressourcen wie Speicherkonten oder Datenbanken zu einem NSP können Sie den Netzwerkzugriff mithilfe eines vereinfachten Regelsatzes zentral verwalten. Weitere Informationen finden Sie unter Konzepte des Netzwerksicherheitsperimeters.

Voraussetzungen

Erstellen Sie vor dem Aktivieren der Netzwerksicherheit Ihre Connectorressourcen. Weitere Informationen finden Sie unter Einrichten Ihres Azure Storage-Connectors zum Streamen von Protokollen an Microsoft Sentinel, einschließlich des Event Grid-Systemthemas zum Streamen von Bloberstellungsereignissen an die Azure Storage-Warteschlange.

Stellen Sie zum Abschließen dieses Setups sicher, dass Sie über die folgenden Berechtigungen verfügen:

  • Abonnementbesitzer oder Mitwirkender zum Erstellen von Netzwerksicherheitsperimeterressourcen.
  • Speicherkontomitwirkender, um das Speicherkonto dem NSP zuzuordnen.
  • Speicherkonto-Benutzerzugriffsadministrator oder -besitzer, um der verwalteten Event Grid-Identität RBAC-Rollen zuzuweisen.
  • Event Grid-Mitwirkender, um verwaltete Identitäten zu aktivieren und Ereignisabonnements zu verwalten.

Aktivieren der Netzwerksicherheit

Um die Netzwerksicherheit für die Speicherressourcen zu aktivieren, die in Ihren Azure Storage-Connector integriert sind, erstellen Sie einen Netzwerksicherheitsperimeter (Network Security Perimeter, NSP), ordnen Sie das Speicherkonto zu, und konfigurieren Sie die Regeln, um Datenverkehr von Event Grid und anderen erforderlichen Quellen zuzulassen, während nicht autorisierter Zugriff blockiert wird. Führen Sie die folgenden Schritte aus, um die Konfiguration abzuschließen.

Erstellen eines Netzwerksicherheitsperimeters

  1. Suchen Sie im Azure-Portal nach Netzwerksicherheitsperimeter.

  2. Wählen Sie Erstellen aus.

  3. Wählen Sie ein Abonnement und eine Ressourcengruppe aus.

  4. Geben Sie Name ein, z. B. storageblob-connectors-nsp

  5. Wählen Sie eine Region aus. Die Region muss dieselbe Region wie das Speicherkonto sein.

  6. Geben Sie einen Profilnamen ein, oder übernehmen Sie den Standardwert. Das Profil definiert den Satz von Regeln, die auf zugeordnete Ressourcen angewendet werden. Sie können mehrere Profile in einem einzelnen NSP verwenden, um bei Bedarf unterschiedliche Regeln auf verschiedene Ressourcen anzuwenden.

  7. Wählen Sie Überprüfen + erstellen und dann Erstellen aus.

    Screenshot: Erstellung eines Netzwerksicherheitsperimeters im Azure-Portal.

Zuordnen des Speicherkontos zum Netzwerksicherheitsperimeter

  1. Öffnen Sie die neu erstellte Netzwerksicherheitsperimeterressource im Azure-Portal.

  2. Wählen Sie Profile und dann den Profilnamen aus, den Sie beim Erstellen der NSP-Ressource verwendet haben.

  3. Wählen Sie Zugeordnete Ressourcen aus.

  4. Klicken Sie auf Hinzufügen.

  5. Suchen Sie nach Ihrem Speicherkonto, fügen Sie es hinzu, und wählen Sie dann Auswählen aus.

  6. Wählen Sie Zuordnen aus.

Der Zugriffsmodus ist standardmäßig auf Transition festgelegt, sodass Sie die Konfiguration überprüfen können, bevor Sie Einschränkungen erzwingen.

Screenshot: Zuordnen eines Speicherkontos zum Netzwerksicherheitsperimeter im Azure-Portal

Aktivieren System-Assigned Identity on Event Grid System Topic

  1. Navigieren Sie in Ihrem Speicherkonto zur Registerkarte Ereignisse .

  2. Wählen Sie das Systemthema aus, das zum Streamen von Bloberstellungsereignissen an die Speicherwarteschlange verwendet wird.

    Screenshot: Registerkarte

  3. Wählen Sie Identität aus.

  4. Legen Sie auf der Registerkarte Systemseitig zugewiesen den Status auf Ein fest.

  5. Wählen Sie Speichern aus, und kopieren Sie dann die Objekt-ID der verwalteten Identität zur späteren Verwendung.

    Screenshot: Erstellung einer verwalteten Identität für ein Event Grid-Systemthema im Azure-Portal

Gewähren von RBAC-Berechtigungen für die Speicherwarteschlange

  1. Navigieren Sie zu Ihrem Speicherkonto.

  2. Wählen Sie Access Control (IAM) aus.

  3. Klicken Sie auf Hinzufügen.

  4. Suchen Sie nach der Rolle Storage Queue Data Message Sender (Bereich: das Speicherkonto), und wählen Sie sie aus.

  5. Wählen Sie die Registerkarte Mitglieder und dann Mitglieder auswählen aus.

  6. Fügen Sie im Bereich Mitglieder auswählen die Objekt-ID für die im vorherigen Schritt erstellte verwaltete Event Grid-Systemidentität ein.

  7. Wählen Sie die verwaltete Identität und dann Auswählen aus.

  8. Wählen Sie Überprüfen + zuweisen aus, um die Rollenzuweisung abzuschließen. Screenshot: Zuweisung der Rolle

Aktivieren der verwalteten Identität für das Ereignisabonnement

  1. Öffnen Sie das Event Grid-Systemthema.

  2. Wählen Sie das Ereignisabonnement aus, das auf die Warteschlange ausgerichtet ist.

  3. Wählen Sie die Registerkarte Zusätzliche Einstellungen aus.

  4. Legen Sie den Typ der verwalteten Identität auf Systemseitig zugewiesen fest.

  5. Klicken Sie auf Speichern.

  6. Überprüfen Sie die Event Grid-Abonnementmetriken, um zu überprüfen, ob Nachrichten nach diesem Update erfolgreich in der Speicherwarteschlange veröffentlicht wurden.

Screenshot: Aktivieren der verwalteten Identität für ein Event Grid-Abonnement im Azure-Portal

Konfigurieren von Regeln für eingehenden Zugriff im Netzwerksicherheitsperimeterprofil

Die folgenden Regeln sind erforderlich, damit Event Grid Nachrichten an das Speicherkonto übermitteln kann, während nicht autorisierter Zugriff blockiert wird. Abhängig vom System, das Daten an das Speicherkonto sendet oder auf die Speicherressourcen zugreift, müssen Sie möglicherweise zusätzliche Eingangsregeln hinzufügen. Überprüfen Sie Ihr Szenario und Ihre Datenverkehrsmuster, um die erforderlichen Regeln sicher anzuwenden und Zeit für die Regelweitergabe einzusehen.

Regel 1: Zulassen des Abonnements (Event Grid-Übermittlung)

Die Event Grid-Übermittlung stammt nicht von festen öffentlichen IP-Adressen. Der NSP überprüft die Übermittlung mithilfe der Abonnementidentität.

  1. Navigieren Sie zu Netzwerksicherheitsperimeter, und wählen Sie Ihren NSP aus.

  2. Wählen Sie Profile und dann das Profil aus, das Ihrem Speicherkonto zugeordnet ist.

  3. Wählen Sie Eingehende Zugriffsregeln und dann Hinzufügen aus.

    Screenshot: Seite

  4. Geben Sie einen Regelnamen ein, z. B Allow-Subscription. .

  5. Wählen Sie in der Dropdownliste Quelltyp die Option Abonnement aus.

  6. Wählen Sie in der Dropdownliste Zulässige Quellen Ihr Abonnement aus.

  7. Wählen Sie Hinzufügen aus, um die Regel zu erstellen.

    Screenshot: Erstellung einer Regel für eingehenden Zugriff, um ein Abonnement im Azure-Portal zuzulassen.

Hinweis

Es kann einige Minuten dauern, bis Regeln nach der Erstellung in der Liste angezeigt werden.

Regel 2: Ip-Adressbereiche des Scuba-Diensts zulassen

  1. Erstellen Sie eine zweite Regeln für eingehenden Zugriff.

  2. Geben Sie einen Regelnamen ein, z. B Allow-Scuba. .

  3. Wählen Sie in der Dropdownliste Quelltyp die Option IP-Adressbereiche aus.

  4. Öffnen Sie die Downloadseite des Diensttags .

  5. Wählen Sie Ihre Cloud aus, z. B. Azure Öffentlich.

  6. Wählen Sie die Schaltfläche Herunterladen aus, und öffnen Sie die heruntergeladene Datei, um die Liste der IP-Bereiche abzurufen.

  7. Suchen Sie das Scuba Diensttag, und kopieren Sie die zugeordneten IPv4-Bereiche.

  8. Fügen Sie die IPv4-Bereiche in das Feld Zulässige Quellen ein, nachdem Sie alle Anführungszeichen und nachfolgenden Kommas entfernt haben.

  9. Wählen Sie Hinzufügen aus, um die Regel zu erstellen.

    Wichtig

    Entfernen Sie die Anführungszeichen aus den IP-Adressbereichen, und stellen Sie sicher, dass der letzte Eintrag kein nachgestelltes Komma enthält, bevor Sie sie in das Feld Zulässige Quellen einfügen. Diensttagbereiche werden im Laufe der Zeit aktualisiert; Aktualisieren Sie regelmäßig, um die Regeln auf dem neuesten Stand zu halten.

    Screenshot: Teil der ServiceTags_Public.json-Datei mit hervorgehobenem Scuba-Diensttag und IPv4-Bereichen

Überprüfen und Erzwingen

Überwachen Sie nach dem Konfigurieren der Regeln die Diagnoseprotokolle für den Netzwerksicherheitsperimeter, um zu überprüfen, ob legitimer Datenverkehr zulässig ist und keine Unterbrechungen auftreten. Nachdem Sie bestätigt haben, dass die Regeln den erforderlichen Datenverkehr ordnungsgemäß zulassen, können Sie vom Übergangsmodus in den Erzwungenen Modus wechseln, um nicht autorisierten Zugriff zu blockieren.

Übergangsmodus

Aktivieren Sie Die Diagnoseprotokolle des Netzwerksicherheitsperimeters, und überprüfen Sie die gesammelten Telemetriedaten, um Kommunikationsmuster vor der Erzwingung zu überprüfen. Weitere Informationen finden Sie unter Diagnoseprotokolle für den Netzwerksicherheitsperimeter.

Erzwingungsmodus anwenden

Legen Sie nach erfolgreicher Überprüfung den Zugriffsmodus wie folgt auf Erzwungen fest:

  1. Wählen Sie auf der Seite Netzwerksicherheitsperimeter unter Einstellungendie Option Zugeordnete Ressourcen aus.

  2. Wählen Sie das Speicherkonto aus.

  3. Wählen Sie Zugriffsmodus ändern aus.

  4. Wählen Sie Erzwungen und dann Speichern aus.

    Screenshot: Ändern des Zugriffsmodus eines Speicherkontos, das einem Netzwerksicherheitsperimeter im Azure-Portal zugeordnet ist

Überprüfung nach der Erzwingung

Überwachen Sie nach der Erzwingung die Umgebung genau auf blockierten Datenverkehr, der auf Fehlkonfigurationen hinweisen kann. Überprüfen Sie, ob die Event Grid-Konfiguration nicht beeinträchtigt wird, indem Sie die Abonnementmetriken des Event Grid-Systemthemas überprüfen.

Verwenden Sie die Diagnoseprotokolle, um auftretende Probleme zu untersuchen und zu beheben. Überprüfen Sie die Metriken für das Speicherkonto (Eingang und Fehler in der Warteschlange) und Event Grid (Übermittlungserfolg), um auf Fehler zu überprüfen. Führen Sie ein Rollback in den Übergangsmodus durch, wenn eine Unterbrechung und wiederholte Untersuchung mithilfe der Diagnoseprotokolle auftritt.

Festlegen von "Durch Umkreis geschützt" für das Speicherkonto (optional)

Wenn Sie das Speicherkonto auf Durch Umkreis geschützt festlegen, wird sichergestellt, dass der gesamte Datenverkehr an das Speicherkonto anhand der Regeln für den Netzwerksicherheitsperimeter ausgewertet wird und der Zugriff auf öffentliche Netzwerke blockiert wird.

  1. Navigieren Sie zu Ihrem Speicherkonto.

  2. Wählen Sie unter Sicherheit + Netzwerk die Option Netzwerk aus.

  3. Wählen Sie unter Öffentlicher Netzwerkzugriff die Option Verwalten aus.

  4. Legen Sie Secured by Perimeter (Am meisten eingeschränkt) fest.

  5. Klicken Sie auf Speichern.

Screenshot: Festlegen eines Speicherkontos auf

Nächste Schritte

In diesem Artikel haben Sie erfahren, wie Sie die Netzwerksicherheit für die Speicherressourcen aktivieren, die in Ihren Azure Storage-Connector integriert sind. Weitere Informationen finden Sie in den Artikeln zum Netzwerksicherheitsperimeter .

  • Last updated on