Azure 网络安全外围从逻辑上为部署在虚拟网络之外的平台即服务(PaaS)资源划定网络边界。 网络安全外围通过建立安全外围来帮助控制对 Azure 存储帐户和 Azure Key Vault 等资源的公用网络访问。
默认情况下,网络安全外围限制对边界内 PaaS 资源的公共访问。 可以通过显式访问规则为入站和出站流量授予例外。 此方法有助于防止数据外泄,同时维护应用程序所需的连接。
有关涉及从虚拟网络到 PaaS 资源的流量的访问模式,请参阅 什么是 Azure 专用链接?。
网络安全外围的功能包括:
- 资源对资源的访问通信在边界成员内,防止数据外泄到未经授权的目的地。
- 外部公共访问管理,其中包含与外围关联的 PaaS 资源的显式规则。
- 用于审核和合规的访问日志。
- 跨 PaaS 资源的统一体验。
网络安全边界组件
网络安全外围包括以下组件:
| 组件 | 说明 |
|---|---|
| 网络安全边界 | 定义逻辑网络边界以保护 PaaS 资源的顶级资源。 |
| 轮廓 | 应用于与配置文件关联的资源的访问规则的集合。 |
| 访问规则 | 对周边资源的入站和出站规则,以允许访问周边之外的区域。 |
| 资源关联 | PaaS 资源的边界成员身份。 |
| 诊断设置 | Microsoft Insights 托管的扩展资源,用于收集外围中所有资源的日志和指标。 |
注释
对于组织和信息安全,请勿在网络安全外围规则或其他网络安全外围配置中包含任何个人身份或敏感数据。
网络安全外围属性
创建网络安全外围时,可以指定以下属性:
| 属性 | 说明 |
|---|---|
| 名称 | 资源组中的唯一名称。 |
| 位置 | 资源所在的受支持 Azure 区域。 |
| 资源组名称 | 应该存在网络安全边界的资源组的名称。 |
网络安全外围中的访问模式
管理员通过创建资源关联将 PaaS 资源添加到外围。 可以通过两种访问模式进行这些关联。 访问模式为:
| 模式 | 说明 |
|---|---|
| 转换模式(以前是学习模式) | - 默认访问模式。 - 帮助网络管理员了解其 PaaS 资源的现有访问模式。 在转换为强制模式之前,建议先使用建议模式。 |
| 强制模式 | - 必须由管理员设置。 - 默认情况下,除非存在允许访问规则,否则在此模式下会拒绝除内部边界流量之外的所有流量。 |
详细了解如何从转换模式(原先的学习模式)过渡到启用强制模式,详见过渡到网络安全外围文章。
为何使用网络安全外围?
网络安全外围为部署在虚拟网络外部的 PaaS 服务通信提供安全外围。 它允许你控制对 Azure PaaS 资源的网络访问。 一些常见用例包括:
- 围绕 PaaS 资源创建安全边界。
- 通过将 PaaS 资源关联到外围来防止数据外泄。
- 启用访问规则以授予安全外围外部的访问权限。
- 在统一管理界面中管理网络安全外围内所有 PaaS 资源的访问规则。
- 启用诊断设置,以在审核和符合性外围内生成 PaaS 资源的访问日志。
- 允许专用终结点流量,而无需显式访问规则。
网络安全边界的工作原理是什么?
创建网络安全外围并且 PaaS 资源以强制模式与外围关联时,默认情况下会拒绝所有公共流量,从而防止外围外部数据外泄。
访问规则可用于批准外围外部的公共入站和出站流量。 可以使用客户端的网络和标识属性(例如源 IP 地址、订阅)批准公共入站访问。 公共出站访问可以通过使用外部目标的 FQDN(完全限定域名)来允许。
例如,在创建网络安全外围并将一组 PaaS 资源与强制模式下的外围(例如 Azure Key Vault 和 Azure 存储)相关联时,默认情况下,所有传入和传出公共流量都会被拒绝访问这些 PaaS 资源。 若要允许外围外部的任何访问,可以创建必要的访问规则。 在同一网络边界内,可以创建配置文件以对 PaaS 资源进行分组,并具有相似的入站和出站访问权限要求。
载入的专用链接资源
网络安全外围感知专用链接资源是可与网络安全外围关联的 PaaS 资源。 当前载入的专用链接资源列表如下所示:
| 专用链接资源名称 | 资源类型 | 资源 | 可用性 |
|---|---|---|---|
| Azure Monitor | Microsoft.Insights/dataCollectionEndpoints Microsoft.Insights/ScheduledQueryRules Microsoft.Insights/actionGroups Microsoft.OperationalInsights/workspaces |
Log Analytics 工作区、Application Insights、警报、通知服务 | 普遍可用 |
| Azure AI 搜索 | Microsoft.Search/searchServices | 正式发布 | |
| Cosmos DB | Microsoft.DocumentDB/databaseAccounts | 公共预览版 | |
| 事件中心 | Microsoft.EventHub/namespaces | 正式发布 | |
| 密钥保管库 | Microsoft.KeyVault/密钥保管库 | 正式发布 | |
| SQL 数据库 | Microsoft.Sql/servers | 公共预览版 | |
| 存储 | Microsoft.Storage/storageAccounts | 正式发布 | |
| Azure OpenAI 服务 | Microsoft.CognitiveServices | 公共预览版 |
重要
以下服务已加入网络安全外围,现可进行公开预览:
- Cosmos DB
- SQL数据库
- Azure Open AI 服务
这些预览版在没有服务级别协议的情况下提供,不建议将其用于生产工作负荷。 某些功能可能不受支持或者受限。 有关详细信息,请参阅适用于 Azure 预览版的补充使用条款。
注释
有关当前不支持的方案的信息,请参阅相应的专用链接资源文档。
支持的访问规则类型
网络安全外围支持以下访问规则类型:
| 方向 | 访问规则类型 |
|---|---|
| 入站 | 基于订阅的规则 |
| 入站 | 基于 IP 的规则(检查相应的载入专用链接资源以获取 v6 支持) |
| 出站 | 基于 FQDN 的规则 |
网络安全外围的限制
日志记录限制
网络安全外围目前在所有 Azure 公有云区域中可用。 但是,在为网络安全外围启用访问日志时,要与网络安全外围关联的 Log Analytics 工作区需要位于 Azure Monitor 支持的区域之一。
注释
对于 PaaS 资源日志,请使用 Log Analytics 工作区、存储或事件中心 作为与 PaaS 资源关联的日志目标。
缩放限制
网络安全外围功能可用于支持具有常见公用网络控制的 PaaS 资源部署,但存在以下缩放限制:
| Limitation | 说明 |
|---|---|
| 网络安全外围的数量 | 每个订阅最多支持 100 个(这是推荐的限制)。 |
| 每个网络安全外围的配置文件数 | 最多支持 200 个(这是推荐的限制)。 |
| 每个配置文件的规则元素数 | 入站和出站硬限制各支持最多 200。 |
| 订阅中与同一网络安全外围关联的 PaaS 资源数 | 最多支持 1000 个(这是推荐的限制)。 |
其他限制
网络安全外围具有其他限制,如下所示:
| Limitation/Issue | 说明 |
|---|---|
| 网络安全外围访问日志中缺少字段 | 网络安全外围访问日志可能已聚合。 如果缺少字段“count”和“timeGeneratedEndTime”,请考虑聚合计数为 1。 |
| 通过 SDK 创建关联失败并出现权限问题 | 状态:403(禁止);ErrorCode:AuthorizationFailed,可能在对范围“/subscriptions/xyz/providers/Microsoft.Network/locations/networkSecurityPerimeterOperationStatuses/xyz”执行操作“Microsoft.Network/locations/xyz/networkSecurityPerimeterOperationStatuses/xyz”时收到。 在修复之前,请使用权限“Microsoft.Network/locations/*/read”或使用 CreateOrUpdateAsync SDK API 中的 WaitUntil.Started 进行关联创建。 |
| 为了支持网络安全外围,资源名称不能超过 44 个字符 | 在 Azure 门户中创建的网络安全外围资源关联采用 {resourceName}-{perimeter-guid} 格式。 若要符合名称字段不能超过 80 个字符这一要求,资源名称必须限制为 44 个字符。 |
| 不支持服务终结点流量。 | 建议将专用终结点用于 IaaS 到 PaaS 通信。 目前,即使入站规则允许 0.0.0.0/0,服务终结点流量也可能会被拒绝。 |
注释
有关每项服务的相应限制,请参阅单独的 PaaS 文档。