Přechod na hraniční síť v Azure
V tomto článku se dozvíte o různýchrežimch Režimy přístupu řídí chování přístupu a protokolování prostředku.
Bod konfigurace režimu přístupu u přidružení prostředků
Konfigurační bod režimu přístupu je součástí přidružení prostředků na hraniční síti, a proto ho může nastavit správce hraniční sítě.
Vlastnost accessMode lze nastavit v přidružení prostředků pro řízení přístupu k veřejné síti prostředku.
Možné hodnoty accessMode jsou aktuálně Vynucené a Učení.
| Režim přístupu | Popis |
|---|---|
| Vzdělávání | Toto je výchozí režim přístupu. Vyhodnocení v tomto režimu použije konfiguraci hraniční sítě jako standardní hodnoty, ale v případě, že nenajdete odpovídající pravidlo, vyhodnocení se vrátí do konfigurace brány firewall prostředků, která pak může schválit přístup s existujícím nastavením. |
| Vyztužený | Pokud je prostředek explicitně nastavený, dodržuje pouze pravidla zabezpečení sítě pro hraniční přístup. |
Zabránění přerušení připojení při přechodu na hraniční síť
Povolit režim učení
Aby se zabránilo nežádoucím přerušením připojení při zavádění hraniční sítě k existujícím prostředkům PaaS a zajistili hladký přechod na zabezpečené konfigurace, můžou správci přidat prostředky PaaS do hraniční sítě v režimu učení. I když tento krok nezabezpečí prostředky PaaS, bude:
- Povolte navázání připojení v souladu s konfigurací hraniční sítě zabezpečení sítě. Prostředky v této konfiguraci navíc přistupují k zajištění pravidel brány firewall definovaných prostředkem a chování důvěryhodného přístupu, pokud pravidla zabezpečení sítě nepovolují připojení.
- Pokud jsou diagnostické protokoly povolené, vygeneruje protokoly s podrobnostmi o tom, jestli byla připojení schválena na základě konfigurace hraniční sítě nebo konfigurace prostředku. Správci pak můžou tyto protokoly analyzovat a identifikovat mezery v pravidlech přístupu, chybějících hraničních členství a nepotřebných připojeních.
Důležité
Provozní prostředky PaaS v režimu učení by měly sloužit pouze jako přechodný krok. Aktéři se zlými úmysly mohou zneužít nezabezpečené prostředky k exfiltraci dat. Proto je důležité co nejdříve přejít na plně zabezpečenou konfiguraci s režimem přístupu nastaveným na Vynuceno.
Přechod na vynucený režim pro existující prostředky
Pokud chcete plně zabezpečit veřejný přístup, je nezbytné přejít do režimu vynucení v hraniční síti. Co je potřeba zvážit před přechodem do vynuceného režimu, je dopad na veřejný, soukromý, důvěryhodný a hraniční přístup. V vynucené režimu lze chování síťového přístupu k přidruženým prostředkům PaaS napříč různými typy prostředků PaaS shrnout takto:
- Veřejný přístup: Veřejný přístup odkazuje na příchozí nebo odchozí požadavky prováděné prostřednictvím veřejných sítí. Prostředky PaaS zabezpečené hraniční sítí mají ve výchozím nastavení zakázaný příchozí a odchozí veřejný přístup, ale pravidla síťového zabezpečení hraničního přístupu je možné použít k selektivnímu povolení veřejného provozu, který je odpovídá nim.
- Hraniční přístup: Hraniční přístup odkazuje na příchozí nebo odchozí požadavky mezi prostředky, které jsou součástí stejné hraniční sítě zabezpečení sítě. Aby se zabránilo infiltraci a exfiltraci dat, nebude takový hraniční provoz nikdy překračovat hranice hraniční sítě, pokud explicitně neschválili jako veřejný provoz ve zdrojovém i cílovém režimu v vynuceném režimu. Mangovaná identita musí být přiřazena k prostředkům pro hraniční přístup.
- Důvěryhodný přístup: Přístup k důvěryhodné službě odkazuje na funkci několika služeb Azure, které umožňují přístup přes veřejné sítě, pokud je jeho původ konkrétními službami Azure, které jsou považovány za důvěryhodné. Vzhledem k tomu, že hraniční síť poskytuje podrobnější kontrolu než důvěryhodný přístup, není důvěryhodný přístup v vynuceném režimu podporován.
- Privátní přístup: Přístup přes privátní propojení nemá vliv na hraniční síť zabezpečení sítě.
Přesun nových prostředků do hraniční sítě
Hraniční síť podporuje zabezpečené ve výchozím nastavení chování zavedením nové vlastnosti pod publicNetworkAccess názvem SecuredbyPerimeter. Když nastavíte, uzamkne veřejný přístup a zabrání zpřístupnění prostředků PaaS ve veřejných sítích.
Pokud je vytváření publicNetworkAccess prostředků nastavené na SecuredByPerimeter, prostředek se vytvoří v režimu uzamčení, i když není přidružený k hraniční síti. Pokud je nakonfigurovaný, budou povoleny pouze přenosy privátních propojení. Po přidružení k hraniční síti řídí zabezpečení sítě chování přístupu k prostředkům. Následující tabulka shrnuje chování přístupu v různých režimech a konfiguraci přístupu k veřejné síti:
| Režim přidružení přístupu | Nepřidružuje se | Režim výuky | Vynucený režim |
|---|---|---|---|
| Přístup k veřejné síti | |||
| Povoleno | Příchozí: Pravidla prostředků jsou povolená pro odchozí provoz. |
Příchozí: Hranice zabezpečení sítě + Pravidla odchozího zabezpečení sítě – Hraniční pravidla sítě + Povolené |
Příchozí: Odchozí pravidla zabezpečení sítě Odchozí pravidla zabezpečení sítě |
| Zakázáno | Příchozí: Odepření odchozích přenosů: Povoleno |
Příchozí: Odchozí pravidla zabezpečení sítě: Odchozí pravidla zabezpečení sítě + Povolené |
Příchozí: Odchozí pravidla zabezpečení sítě: Odchozí pravidla zabezpečení sítě: Pravidla hraniční sítě |
| SecuredByPerimeter | Příchozí: Odepřeno odchozí: Odepřeno |
Příchozí: Odchozí pravidla zabezpečení sítě: Odchozí pravidla zabezpečení sítě: Pravidla hraniční sítě |
- Příchozí: Odchozí pravidla zabezpečení sítě: Odchozí pravidla - zabezpečení sítě: Pravidla hraniční sítě |
Postup konfigurace vlastností publicNetworkAccess a accessMode
Vlastnosti publicNetworkAccess i accessMode vlastnosti je možné nastavit pomocí webu Azure Portal pomocí následujícího postupu:
Na webu Azure Portal přejděte k hraničnímu prostředku zabezpečení sítě.
Výběrem možnosti Zdroje nastavení>zobrazíte seznam prostředků přidružených k hraniční síti.
Vyberte ... (tři tečky) vedle prostředku, který chcete nakonfigurovat.
V rozevírací nabídce vyberte Konfigurovat přístup k veřejné síti a pak vyberte požadovaný režim přístupu ze tří dostupných možností: Povoleno, Zakázáno nebo SecuredByPerimeter.
Pokud chcete nastavit režim přístupu, v rozevírací nabídce vyberte Konfigurovat režim přístupu a pak vyberte požadovaný režim přístupu ze dvou dostupných možností: Učení nebo Vynucení.
