你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure 网络安全边界在部署于虚拟网络外的平台即服务(PaaS)资源周围创建逻辑网络边界。 网络安全边界通过建立安全边界来帮助控制对 Azure Storage 帐户和 Azure Key Vault 等资源的公共网络访问。
默认情况下,网络安全外围限制对边界内 PaaS 资源的公共访问。 可以通过针对入站和出站流量的显式访问规则授予例外权限。 此方法有助于防止数据外泄,同时维护应用程序所需的连接。
有关涉及从虚拟网络到 PaaS 资源的流量的访问模式,请参阅 什么是Azure Private Link?
网络安全外围的功能包括:
- 在外围成员内进行资源到资源访问通信,可防止数据外泄到未经授权的目标。
- 使用适用于与外围关联的 PaaS 资源的显式规则进行外部公共访问管理。
- 访问用于审核和合规性的日志。
- 跨 PaaS 资源的统一体验。
Important
网络安全边界现已在所有 Azure 公有云区域中全面可用。 有关支持的服务的信息,请参阅支持的 PaaS 服务的“载入专用链接资源”。
网络安全外围的组件
网络安全外围包括以下组件:
| Component | Description |
|---|---|
| 网络安全外围 | 定义逻辑网络边界来保护 PaaS 资源的顶级资源。 |
| Profile | 应用于与配置文件关联的资源的访问规则的集合。 |
| 访问规则 | 外围中允许在外围之外进行访问的入站和出站资源规则。 |
| 资源关联 | PaaS 资源的外围成员身份。 |
| 诊断设置 | Microsoft Insights 托管的扩展资源,用于收集外围中所有资源的日志和指标。 |
Note
为确保组织和信息安全,不要在网络安全外围规则或其他网络安全外围配置中添加任何个人身份信息或敏感数据。
网络安全外围属性
创建网络安全外围时,可以指定以下属性:
| Property | Description |
|---|---|
| Name | 资源组内的唯一名称。 |
| Location | 资源所在的受支持Azure区域。 |
| 资源组名称 | 应存在网络安全外围的资源组的名称。 |
网络安全外围中的访问模式
管理员通过创建资源关联将 PaaS 资源添加到外围。 可通过两种访问模式创建这些关联。 访问模式如下:
| Mode | Description |
|---|---|
| 转换模式(以前是学习模式) | - 默认访问模式。 - 帮助网络管理员了解其 PaaS 资源的现有访问模式。 - 在转换为强制模式之前建议的使用模式。 |
| 强制模式 | - 必须由管理员设置。 - 默认情况下,除非 存在“允许 访问规则”,否则在此模式下拒绝除外围流量之外的所有流量。 |
详细了解如何从转换模式(以前是学习模式)移到过渡到网络安全外围一文中的强制模式。
为何使用网络安全外围?
网络安全外围为部署在虚拟网络外部的 PaaS 服务通信提供一个安全外围。 它允许你控制对 Azure PaaS 资源的网络访问。 一些常见用例包括:
- 在 PaaS 资源周围创建一个安全边界。
- 通过将 PaaS 资源关联到外围来防止数据外泄。
- 启用访问规则以授予安全外围外部的访问权限。
- 在单一控制面板中管理网络安全外围内所有 PaaS 资源的访问规则。
- 启用诊断设置,生成外围内的 PaaS 资源的访问日志用于审核和合规性。
- 允许专用终结点流量,而无需显式访问规则。
网络安全外围的工作原理?
创建网络安全外围,并且 PaaS 资源在强制模式下与外围关联时,默认情况下会拒绝所有公共流量,从而防止外围外部的数据外泄。
访问规则可用于批准外围外部的公共入站和出站流量。 可以使用客户端的网络和标识属性(例如源 IP 地址、订阅)批准公共入站访问。 可以使用外部目标的 FQDN(完全限定的域名)批准公共出站访问。
例如,在创建网络安全外围并将一组 PaaS 资源与强制模式下的外围(如 Azure Key Vault 和Azure Storage)相关联时,默认情况下,所有传入和传出公共流量都会被拒绝访问这些 PaaS 资源。 若要允许外围外部的任何访问,可以创建必要的访问规则。 在同一外围内,可以创建配置文件,以对具有一组相似的入站和出站访问要求的 PaaS 资源进行分组。
加入的专用链接资源
网络安全外围感知专用链接资源是可与网络安全外围关联的 PaaS 资源。 目前,加入的专用链接资源列表如下所示:
| 专用链接资源名称 | 资源类型 | Resources | 可用性 |
|---|---|---|---|
| Azure Monitor | Microsoft.Insights/dataCollectionEndpoints Microsoft.Insights/ScheduledQueryRules Microsoft.Insights/actionGroups Microsoft.OperationalInsights/workspaces |
Log Analytics工作区、Application Insights、警报、通知服务 | 普遍可用 |
| Azure AI 搜索 | Microsoft.Search/searchServices | 正式版 | |
| Cosmos DB | Microsoft.DocumentDB/databaseAccounts | 公共预览版 | |
| 事件中心 | Microsoft.EventHub/namespaces | 正式版 | |
| 密钥保管库 | Microsoft.KeyVault/vaults | 正式版 | |
| SQL DB | Microsoft.Sql/servers | 公共预览版 | |
| Storage | Microsoft.Storage/storageAccounts | 正式版 | |
| Azure OpenAI 服务 | Microsoft。CognitiveServices(kind=“OpenAI”) | 公共预览版 | |
| Microsoft Foundry | Microsoft。CognitiveServices(kind=“AIServices”) | 正式版 | |
| Azure 服务总线 | Microsoft.ServiceBus/namespaces | 正式版 |
Important
网络安全外围中加入的以下服务为公共预览版:
- Cosmos DB
- SQL 数据库
- Azure OpenAI 服务
这些预览版在提供时没有附带服务级别协议,不建议用于生产工作负载。 某些功能可能不受支持或者受限。 有关详细信息,请参阅 Microsoft Azure 预览版的使用条款。
Note
如需当前不支持的方案的相关信息,请参阅相应的专用链接资源文档。
支持的访问规则类型
网络安全外围支持以下访问规则类型:
| Direction | 访问规则类型 |
|---|---|
| Inbound | 基于订阅的规则 |
| Inbound | 基于 IP 的规则(检查已加入的相应专用链接资源是否支持 v6) |
| Outbound | 基于 FQDN 的规则 |
Note
基于订阅的外围流量和入站访问规则不支持通过共享访问签名 (SAS) 令牌进行身份验证。 在这些情况下,拒绝使用 SAS 令牌的请求,并显示身份验证错误。 根据您的特定资源,使用其他受支持的身份验证方法。
网络安全外围的局限性
日志记录限制
网络安全外围目前在所有Azure公有云区域中可用。 但是,在为网络安全外围启用访问日志时,要与网络安全外围关联的Log Analytics工作区需要位于Azure Monitor支持的区域之一。
Note
对于 PaaS 资源日志,请使用 Log Analytics 工作区、存储或事件中心作为与 PaaS 资源关联的日志目标。
Microsoft Sentinel 限制
以下是已知的限制:
- 已启用 Microsoft Sentinel 的 Log Analytics 工作区不支持网络安全边界。 如果在工作区上启用了网络安全外围,则会自动禁用分析规则。 有关更多信息,请参阅 部署 Microsoft Sentinel 的必备条件。
- 启用了网络安全外围的存储帐户不支持Azure Backup。 如果启用了备份,或者计划使用Azure Backup,我们建议不要将存储帐户与网络安全外围相关联。
缩放限制
网络安全外围功能可用于支持具有常见公用网络控制的 PaaS 资源部署,但存在以下缩放限制:
| Limitation | Description |
|---|---|
| 网络安全外围的数量 | 每个订阅最多支持 100 个(这是推荐的限制)。 |
| 每个网络安全外围的配置文件数 | 最多支持 200 个(这是推荐的限制)。 |
| 每个配置文件的规则元素数 | 入站和出站硬限制各支持最多 200。 |
| 订阅中与同一网络安全外围关联的 PaaS 资源数 | 最多支持 1000 个(这是推荐的限制)。 |
其他限制
网络安全外围具有其他限制,如下所示:
| Limitation/Issue | Description |
|---|---|
| 网络安全外围访问日志中缺少字段 | 可以聚合网络安全外围访问日志。 如果缺少字段“count”和“timeGeneratedEndTime”,请考虑聚合计数为 1。 |
| 通过 SDK 创建关联失败并出现权限问题 | 在对范围“/subscriptions/xyz/providers/Microsoft.Network/locations/xyz/networkSecurityPerimeterOperationStatuses/xyz”执行操作“Microsoft.Network/locations/networkSecurityPerimeterOperationStatuses/read”时,可能会收到“Status: 403 (Forbidden); ErrorCode: AuthorizationFailed”。 在修复之前,请使用权限“Microsoft.Network/locations/*/read”,或者在 CreateOrUpdateAsync SDK API 中使用 WaitUntil.Started 来进行关联创建。 |
| 为了支持网络安全外围,资源名称不能超过 44 个字符 | 从 Azure 门户创建的网络安全外围资源关联的格式为 {resourceName}-{perimeter-guid}。 若要符合名称字段不能超过 80 个字符这一要求,资源名称必须限制为 44 个字符。 |
| 不支持服务终结点流量。 | 建议将专用终结点用于 IaaS 到 PaaS 通信。 目前,即使入站规则允许 0.0.0.0/0,服务终结点流量也可能会被拒绝。 |
Note
有关每项服务的相应限制,请参阅单独的 PaaS 文档。