在本文中,了解不同的访问模式,以及如何转换到 Azure 中的网络安全外围。 访问模式控制资源访问和日志记录行为,帮助保护 Azure 资源。
对资源关联的访问模式配置点
访问模式配置点是外围资源关联的一部分,因此可由外围管理员设置。
可在资源关联中设置 accessMode 属性,以控制资源的公用网络访问。
accessMode 的可能值当前是 强制 和 转换。
| 访问模式 | 说明 |
|---|---|
| 过渡 | 这是默认访问模式。 此模式下的评估使用网络安全外围配置作为基线。 如果找不到匹配规则,评估会回退到资源防火墙配置,然后可以使用现有设置批准访问权限。 |
| 强制 | 显式设置时,资源只遵循网络安全外围访问规则。 |
在采用网络安全外围的同时防止连接中断
启用转换模式
为了防止意外的连接中断,同时采用现有 PaaS 资源的网络安全外围并确保顺利过渡到安全配置,管理员可以在过渡模式(以前是学习模式)中将 PaaS 资源添加到网络安全外围。 虽然此步骤不保护 PaaS 资源,但它将:
- 允许根据网络安全外围配置建立连接。 此外,当网络安全外围访问规则不允许连接时,此配置中的资源会回退以遵循资源定义的防火墙规则和受信任访问行为。
- 启用诊断日志时,生成日志,详细说明连接是基于网络安全外围配置还是资源的配置获得批准。 然后,管理员可以分析这些日志,以识别访问规则中的差距、缺少外围成员身份和不需要的连接。
对现有资源转换到“已强制执行”模式
若要完全保护公共访问,务必要移至网络安全外围中的“已强制执行”模式。 移至“已强制执行”模式之前要考虑的事项是对公共、专用、受信任和外围访问的影响。 在强制模式下,不同类型的 PaaS 资源中的关联 PaaS 资源的网络访问行为可归纳如下:
- 公共访问:公共访问指通过公用网络发出的入站或出站请求。 默认情况下,受网络安全外围保护的 PaaS 资源已禁用其入站和出站公共访问,但网络安全外围访问规则可用于选择性地允许与之匹配的公共流量。
- 外围访问:外围访问指属于同一网络安全外围的资源之间的入站或出站请求。 为了防止数据渗透和外泄,除非在“已强制执行”模式下于源和目标将此类外围流量显式批准为公共流量,否则此类流量永远不会跨越外围边界。 需要对资源分配托管标识才能进行外围访问。
- 受信任访问:受信任服务访问指少数 Azure 服务的一个功能,当来源是被认为可信的特定 Azure 服务时,该功能允许通过公共网络进行访问。 由于网络安全外围提供比受信任的访问更精细的控制,在强制模式下不支持受信任的访问。
- 专用访问: 通过专用链接的访问不受网络安全外围的影响。
将新资源移至网络安全外围
网络安全外围通过在 publicNetworkAccess 下引入名为 SecuredbyPerimeter 的新属性,支持默认保护行为。 设置后,它锁定公共访问,并阻止 PaaS 资源向公共网络公开。
在创建资源时,如果 publicNetworkAccess 设置为 SecuredByPerimeter,则即使未与外围关联,资源也在锁定模式下进行创建。 如果进行了配置,则只允许专用链路流量。 关联到外围后,网络安全外围控制资源访问行为。 下表总结了各种模式下的访问行为,以及公用网络访问配置:
| 档案未关联 | 关联访问模式:过渡 | 关联访问模式:强制 | |
|---|---|---|---|
| 公用网络访问: 已启用 |
入境: 资源规则 出境: 允许 |
入境: 网络安全外围 + 资源规则 出境: 网络安全外围规则 + 允许 |
入境: 网络安全外围规则 出境: 网络安全外围规则 |
| 公用网络访问: 已禁用 |
入境: 拒绝 出境: 允许 |
入境: 网络安全外围规则 外向: 网络边界安全规则 + 允许 |
入境: 网络安全外围规则 出境: 网络安全外围规则 |
| 公共网络访问: SecuredByPerimeter |
入境: 拒绝 出境: 拒绝 |
入境: 网络安全外围规则 出境: 网络安全外围规则 |
入境: 网络安全外围规则 出境: 网络安全外围规则 |
配置 publicNetworkAccess 和 accessMode 属性的步骤
可使用 Azure 门户,通过以下步骤设置 publicNetworkAccess 和 accessMode 属性:
在 Azure 门户中导航到网络安全外围资源。
选择 “设置>关联的资源 ”以查看与外围关联的资源列表。
选择要配置的资源旁边的“...”(省略号)。
从下拉菜单中,选择“配置公共网络访问”,然后从可用的三个选项中选择所需的访问模式:“已启用”、“已禁用”或“SecuredByPerimeter”。
若要设置访问模式,请从下拉菜单中选择“更改访问模式”,然后从可用的两个选项中选择所需的访问模式:学习或强制。
