Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
网络安全外围 允许组织为 PaaS 资源(例如部署在其虚拟网络外部的 Azure 文件)定义逻辑网络隔离边界。 此功能限制对外围外部 PaaS 资源的公用网络访问。 但是,可以通过对公共入站和出站流量使用明确的访问规则来豁免访问。 这有助于防止不需要的数据从存储资源外泄。 在网络安全外围内,成员资源可以自由地相互通信。 网络安全外围规则会覆盖存储帐户自己的防火墙设置。 从外围访问优先于其他网络限制。
可 在此处找到载入到网络安全外围的服务列表。 如果某项服务未列出,则尚未上线。 若要允许从非载入服务访问特定资源,可以为网络安全外围创建基于订阅的规则。 基于订阅的规则授予对该订阅中的所有资源的访问权限。 有关如何添加基于订阅的访问规则的详细信息,请参阅 本文档。
访问模式
将存储帐户加入网络安全外围时,可以开始 过渡 模式(以前是学习模式),也可以直接转到 “强制” 模式。 转换模式(默认访问模式)允许存储帐户回退到其现有的防火墙规则或 受信任的服务 设置(如果外围规则尚不允许连接)。 强制模式严格阻止所有公共入站和出站流量,除非网络安全外围规则明确允许,从而确保对存储帐户的最大保护。 在强制模式下,Azure 的受信任服务例外不会被承认。 必须通过外围规则显式允许相关的 Azure 资源或特定订阅。 有关详细信息,请参阅 在 Azure 中过渡到网络安全边界。
重要
在过渡模式下操作存储帐户应该仅作为一个临时步骤。 恶意参与者可能会利用不安全的资源来泄露数据。 因此,在访问模式设置为 “强制”的情况下,尽快过渡到完全安全的配置至关重要。
网络优先级
当存储帐户是网络安全边界的一部分时,相关配置文件的访问规则将替代帐户自己的防火墙设置,成为顶级网络看门人。 外围对访问的允许或拒绝具有优先权,当存储帐户以强制模式关联时,将绕过存储帐户的“允许网络”设置。 将存储帐户从网络安全外围移除后,其控制将恢复到常规防火墙。 网络安全外围不会影响专用终结点流量。 通过专用链接建立的连接始终成功。 对于内部 Azure 服务(受信任的服务),只有显式加入网络安全外围的服务才受外围访问规则的允许。 否则,即使在存储帐户的防火墙规则中已配置为信任,默认情况下也会阻止其流量。 对于尚未加入的服务,替代项包括入站和完全限定域名 (FQDN) 的订阅级规则,用于出站访问或通过专用链接。
重要
专用终结点流量被视为高度安全,因此不受网络安全外围规则的约束。 如果存储帐户与外围关联,则所有其他流量(包括受信任的服务)都受网络安全外围规则的约束。
网络安全外围下的功能覆盖范围
当存储帐户与网络安全外围关联时,除非根据已知限制指定,否则支持 Blob、文件、表和队列的所有标准数据平面操作。 可以使用网络安全周边限制 Azure Files、Azure Blob 存储、Azure Data Lake Storage Gen2、Azure 表存储和 Azure 队列存储的基于 HTTPS 的操作。
下表仅介绍了 Azure 文件的网络安全外围和协议支持。 如果要查找 Azure Blob 存储和其他 Azure 存储服务的功能覆盖范围,请参阅 本文。
下表介绍了对 Azure 文件存储的入站网络安全外围强制实施的支持。
| 功能 | 支持状态 | 建议 |
|---|---|---|
| 专用链接 | 在所有协议(REST、SMB、NFS)中受支持 | 专用链路规则优先于网络安全边界。 无论网络安全外围如何设置,入站的专用链接服务流量始终会被接受。 |
| 使用 OAuth 的 Azure 文件 REST | 已支持 | 完全支持 |
| Azure Files REST 使用共享密钥或 SAS 认证 | 仅支持入站 IP 规则 | 共享密钥和 SAS 不是基于 OAuth 的协议,因此它们不能携带有关源外围或订阅的信息。 因此,不会遵循入站边界和订阅规则。 支持 IP 规则(最多 200 条规则)。 |
| 支持 NTLM 或 Kerberos 的 Azure Files SMB | 仅支持入站 IP 规则 | NTLM 或 Kerberos 不是基于 OAuth 的协议,因此它们不能携带有关源外围或订阅的信息。 因此,不会遵循入站边界和订阅规则。 支持 IP 规则(最多 200 条规则)。 |
| Azure 文件 NFS | 所有入站流量均被拒绝 | 如果将存储帐户置于“强制”模式下的网络安全外围,除专用链接之外的所有入站流量都将被拒绝。 支持客户管理的密钥(CMK)的出站流量。 |
下表介绍了 Azure 文件存储网络安全外围的集成支持。
| 功能 | 支持状态 | 建议 |
|---|---|---|
| 客户管理的密钥 | 在所有协议(REST、SMB、NFS)中受支持 | 如果将托管 CMK 的 Key Vault 放置在网络安全外围中,则应将存储帐户放置在同一外围中,否则请将 Key Vault 的网络安全外围配置文件配置为允许存储帐户与其通信。 |
| Azure 备份 | 不支持。 Azure 备份尚未集成到网络安全边界 | 在载入完成之前,请避免对使用 Azure 备份的存储帐户使用网络安全外围。 |
| Azure 文件同步 | 不受完全支持。 Azure 文件同步在网络安全边界上具有已知限制。 | 若要将存储同步服务资源连接到存储帐户,必须先 将存储同步服务配置为使用托管标识。 然后,配置网络安全外围入站配置文件规则,以允许列出存储同步服务的订阅。 存储同步服务不能与外围关联。 |
警告
对于与网络安全外围关联的存储帐户,若要使客户管理的密钥(CMK)方案正常工作,请确保可从存储帐户关联的外围访问 Azure Key Vault。
将网络安全外围与存储帐户相关联
若要将网络安全外围与存储帐户相关联,请遵循所有 PaaS 资源的 这些常见说明 。
后续步骤
- 详细了解 Azure 网络服务终结点。
- 启用网络安全边界的诊断日志。