你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

为Azure存储 blob 连接器启用网络安全

本文提供有关如何在与 Azure 存储连接器集成的存储资源上启用网络安全的分步说明。 Azure网络安全外围 (NSP) 是一项Azure本机功能,它为 PaaS 资源创建逻辑隔离边界。 通过将存储帐户或数据库等资源与 NSP 关联,可以使用简化的规则集集中管理网络访问。 有关详细信息,请参阅 网络安全外围概念

先决条件

在启用网络安全之前,请创建连接器资源。 请参阅设置Azure存储连接器以将日志流式传输到Microsoft Sentinel,包括用于将 blob 创建事件流式传输到Azure存储队列的事件网格系统主题。

若要完成此设置,请确保具有以下权限:

  • 用于创建网络安全外围资源的订阅所有者或参与者。
  • 存储帐户参与者,用于将存储帐户与 NSP 相关联。
  • 存储帐户用户访问管理员或所有者,用于将 RBAC 角色分配给事件网格托管标识。
  • 用于启用托管标识和管理事件订阅的事件网格参与者。

启用网络安全

若要在与 Azure 存储连接器集成的存储资源上启用网络安全,请创建网络安全外围 (NSP) ,将存储帐户与其关联,并将规则配置为允许来自事件网格和其他所需源的流量,同时阻止未经授权的访问。 使用以下步骤完成配置。

创建网络安全外围

  1. 在Azure 门户中,搜索“网络安全外围”

  2. 选择“创建”。

  3. 选择“订阅”和“资源组”。

  4. 输入 名称,例如 storageblob-connectors-nsp

  5. 选择 一个区域。 该区域必须与存储帐户同一区域。

  6. 输入 配置文件名称 或接受默认值。 配置文件定义应用于关联资源的规则集。 如果需要,可以在单个 NSP 中拥有多个配置文件,以便对不同的资源应用不同的规则。

  7. 选择“ 查看 + 创建 ”,然后选择 “创建”。

    显示Azure 门户中创建网络安全外围的屏幕截图。

将存储帐户与网络安全外围关联

  1. 在Azure 门户中打开新创建的网络安全外围资源。

  2. 选择“ 配置文件”,然后选择创建 NSP 资源时使用的配置文件名称。

  3. 选择 “关联的资源”。

  4. 选择“添加”。

  5. 搜索并添加存储帐户,然后选择“ 选择”。

  6. 选择“ 关联”。

默认情况下,访问模式设置为 “转换 ”,允许在强制实施限制之前验证配置。

显示如何将存储帐户与Azure 门户中的网络安全外围关联的屏幕截图。

在事件网格系统主题上启用 System-Assigned 标识

  1. 在存储帐户中,导航到“ 事件 ”选项卡。

  2. 选择用于将 Blob 创建事件流式传输到存储队列 的系统主题

    显示Azure 门户中存储帐户的“事件”选项卡的屏幕截图。

  3. 选择“ 标识”。

  4. 在“ 系统分配 ”选项卡上,将 “状态” 设置为“ 打开”。

  5. 选择“ 保存”,然后复制托管标识 的对象 ID 供以后使用。

    显示Azure 门户中为事件网格系统主题创建托管标识的屏幕截图。

授予对存储队列的 RBAC 权限

  1. 导航到 存储帐户

  2. 选择访问控制 (IAM)

  3. 选择“添加”。

  4. 搜索并选择 “存储队列数据消息发送者” 角色 (范围:存储帐户) 。

  5. 选择“ 成员 ”选项卡,然后选择 “选择成员”。

  6. “选择成员 ”窗格中,粘贴在上一步中创建的事件网格系统主题托管标识的对象 ID。

  7. 选择托管标识,然后选择 “选择”。

  8. 选择“ 查看 + 分配 ”以完成角色分配。 显示存储队列数据消息发送者角色分配给Azure 门户中的托管标识的屏幕截图。

在事件订阅上启用托管标识

  1. 打开 事件网格系统主题

  2. 选择面向队列的事件订阅。

  3. 选择“ 其他设置 ”选项卡。

  4. “托管标识类型 ”设置为 “系统分配”。

  5. 选择“保存”

  6. 查看事件网格订阅指标,以验证消息在此更新后是否已成功发布到存储队列。

显示Azure 门户中为事件网格订阅启用托管标识的屏幕截图。

在网络安全外围配置文件上配置入站访问规则

需要以下规则才能允许事件网格在阻止未经授权的访问的同时将消息传递到存储帐户。 根据向存储帐户发送数据或访问存储资源的系统,可能需要添加其他入站规则。 查看方案和流量模式,以安全地应用必要的规则,并为规则传播留出时间。

规则 1:允许订阅 (事件网格传递)

事件网格传递不源自固定的公共 IP。 NSP 使用订阅标识验证传递。

  1. 导航到“网络安全外围”并选择 NSP。

  2. 选择“ 配置文件 ”,然后选择与存储帐户关联的配置文件。

  3. 选择“ 入站访问规则 ”,然后选择“ 添加”。

    显示Azure 门户中的“入站访问规则”页的屏幕截图。

  4. 输入 规则名称,例如 Allow-Subscription

  5. “源类型”下拉列表中选择“订阅”。

  6. “允许的源 ”下拉列表中选择订阅。

  7. 选择“ 添加” 以创建规则。

    显示创建入站访问规则以允许Azure 门户订阅的屏幕截图。

注意

创建后,规则可能需要几分钟才会显示在列表中。

规则 2:允许水肺服务 IP 范围

  1. 创建第二个 入站访问规则

  2. 输入 规则名称,例如 Allow-Scuba

  3. 从“源类型”下拉列表中选择“IP 地址范围”。

  4. 打开 服务标记下载 页。

  5. 选择云,例如“Azure公共”。

  6. 选择“ 下载 ”按钮并打开下载的文件以获取 IP 范围列表。

  7. Scuba找到服务标记并复制关联的 IPv4 范围。

  8. 删除任何引号和尾随逗号后,将 IPv4 范围粘贴到 “允许的源 ”字段中。

  9. 选择“ 添加” 以创建规则。

    重要

    从 IP 范围中删除引号,并确保在将最后一个条目粘贴到 “允许的源 ”字段中之前,最后一个条目上没有尾随逗号。 服务标记范围随时间推移而更新;定期刷新以保持规则最新。

    显示ServiceTags_Public.json文件的一部分的屏幕截图,其中突出显示了“水肺服务标记”和“IPv4 范围”。

验证并强制实施

配置规则后,监视网络安全外围的诊断日志,以验证是否允许合法流量,并且没有中断。 确认规则正确允许必要的流量后,可以从转换模式切换到强制模式来阻止未经授权的访问。

转换模式

启用网络安全外围诊断日志并查看收集的遥测数据,以在强制实施之前验证通信模式。 有关详细信息,请参阅 网络安全外围的诊断日志

应用强制模式

验证成功后,将访问模式设置为 “强制” ,如下所示:

  1. 在“网络安全外围”页 的“设置”下,选择“ 关联的资源”。

  2. 选择存储帐户。

  3. 选择“ 更改访问模式”。

  4. 选择 “强制实施 ”,然后选择 “保存”。

    显示如何更改与Azure 门户中的网络安全外围关联的存储帐户的访问模式的屏幕截图。

强制实施后验证

强制实施后,密切监视环境,以查找任何可能指示配置错误的受阻流量。 查看事件网格系统主题订阅指标,验证事件网格配置是否受到影响。

使用诊断日志调查和解决出现的任何问题。 查看存储帐户的指标 (队列入口和错误) 和事件网格 (传递成功) 以验证是否存在任何错误。 如果遇到任何中断并使用诊断日志重复调查,请回滚到转换模式。

在存储帐户上设置受外围保护 (可选)

将存储帐户设置为 “受外围保护 ”可确保根据网络安全外围规则评估到存储帐户的所有流量,并阻止公用网络访问。

  1. 导航到 存储帐户

  2. 在“ 安全性 + 网络”下,选择“ 网络”。

  3. 在“ 公用网络访问”下,选择“ 管理”。

  4. 设置 受外围保护 (大多数受限)

  5. 选择“保存”

显示如何在Azure 门户中将存储帐户设置为“受外围保护”的屏幕截图。

后续步骤

本文介绍了如何在与 Azure 存储连接器集成的存储资源上启用网络安全。 有关详细信息,请参阅 网络安全外围 文章。

  • Last updated on