Sdílet prostřednictvím


Značky služeb virtuální sítě

Značka služby představuje skupinu předpon IP adres z dané služby Azure. Společnost Microsoft spravuje předpony adres zahrnující značku služby a automaticky aktualizuje značku služby jako změny adres a minimalizuje složitost častých aktualizací pravidel zabezpečení sítě.

Důležité

Značky služeb sice zjednodušují možnost povolit seznamy řízení přístupu na základě IP adres (ACL), ale samotné značky služeb nestačí k zabezpečení provozu bez ohledu na povahu služby a provoz, který odesílá. Další informace o seznamech ACL založených na IP adresách najdete v tématu Co je seznam řízení přístupu na základě IP adresy (ACL)?.

Další informace o povaze provozu najdete dále v tomto článku pro každou službu a jejich značku. Je důležité se ujistit, že znáte provoz, který povolíte při využívání značek služeb pro seznamy ACL založené na IP adresách. Zvažte přidání úrovní zabezpečení pro ochranu vašeho prostředí.

Značky služeb můžete použít k definování řízení přístupu k síti ve skupinách zabezpečení sítě, službě Azure Firewall a trasách definovaných uživatelem. Značky služeb používejte místo konkrétních IP adres při vytváření pravidel zabezpečení a tras. Zadáním názvu značky služby, například ApiManagement, v příslušném zdrojovém nebo cílovém poli pravidla zabezpečení můžete povolit nebo odepřít provoz pro příslušnou službu. Zadáním názvu značky služby do předpony adresy trasy můžete směrovat provoz určený pro kteroukoli z předpon zapouzdřených značkou služby na požadovaný typ dalšího segmentu směrování.

Značky služeb můžete použít k zajištění izolace sítě a ochraně prostředků Azure před obecným internetem při přístupu ke službám Azure, které mají veřejné koncové body. Vytvořte příchozí nebo odchozí pravidla skupiny zabezpečení sítě, která zamítnou provoz do a z internetu a povolí provoz do AzureCloudu nebo z jiných dostupných značek služeb Azure.

Izolace sítě služeb Azure pomocí značek služeb

Dostupné značky služeb

Následující tabulka obsahuje všechny značky služeb, které jsou k dispozici pro použití v pravidlech skupiny zabezpečení sítě.

Sloupce označují, jestli značka:

  • Je vhodný pro pravidla, která pokrývají příchozí nebo odchozí provoz.
  • Podporuje oblastní rozsah.
  • Je použitelné v pravidlech služby Azure Firewall jako cílové pravidlo pouze pro příchozí nebo odchozí provoz.

Ve výchozím nastavení značky služeb odrážejí rozsahy pro celý cloud. Některé značky služeb také umožňují podrobnější řízení omezením odpovídajících rozsahů IP adres na zadanou oblast. Například značka služby Storage představuje Azure Storage pro celý cloud, ale Storage.WestUS zužuje rozsah jenom na rozsahy IP adres úložiště z oblasti WestUS. Následující tabulka uvádí, jestli každá značka služby podporuje takový regionální rozsah, a směr uvedený pro každou značku představuje doporučení. Například značka AzureCloud se může použít k povolení příchozího provozu. Ve většině scénářů nedoporučujeme povolit provoz ze všech IP adres Azure, protože IP adresy používané jinými zákazníky Azure jsou součástí značky služby.

Značka Účel Může používat příchozí nebo odchozí provoz? Může být regionální? Může se používat se službou Azure Firewall?
ActionGroup Skupina akcí. Příchozí No Ano
ApiManagement Provoz správy pro nasazení vyhrazená službou Azure API Management

Poznámka: Tato značka představuje koncový bod služby Azure API Management pro řídicí rovinu pro každou oblast. Značka umožňuje zákazníkům provádět operace správy s rozhraními API, operacemi, zásadami, pojmenovanými hodnotami nakonfigurovanými ve službě API Management.
Příchozí Ano Yes
ApplicationInsightsAvailability Dostupnost Application Insights Příchozí No Ano
AppConfiguration Konfigurace aplikace Odchozí No Ano
AppService Azure App Service Tato značka se doporučuje pro odchozí pravidla zabezpečení webových aplikací a aplikací funkcí.

Poznámka: Tato značka nezahrnuje IP adresy přiřazené při použití PROTOKOLU SSL založeného na PROTOKOLU IP (adresa přiřazená aplikací).
Odchozí Ano Yes
AppServiceManagement Provoz správy pro nasazení vyhrazená pro službu App Service Environment Oboje No Ano
AzureActiveDirectory Služby Microsoft Entra ID. Tato značka zahrnuje přihlášení, MS Graph a další služby Entra, které nejsou výslovně uvedeny v této tabulce. Odchozí No Ano
AzureActiveDirectoryDomainServices Provoz správy pro nasazení vyhrazená pro službu Microsoft Entra Domain Services Oboje No Ano
AzureAdvancedThreatProtection Microsoft Defender for Identity. Odchozí No Ano
AzureArcInfrastructure Servery s podporou Azure Arc, provoz Kubernetes s podporou Azure Arc a provoz konfigurace hosta

Poznámka: Tato značka má závislost na značkách AzureActiveDirectory, AzureTrafficManager a AzureResourceManager .
Odchozí No Ano
AzureAttestation Ověření identity Azure Odchozí No Ano
AzureBackup Azure Backup.

Poznámka: Tato značka má závislost na značkách Storage a AzureActiveDirectory .
Odchozí No Ano
AzureBotService Azure Bot Service. Oboje No Ano
AzureCloud Všechny veřejné IP adresy datacentra. Tato značka neobsahuje protokol IPv6. Oboje Ano Yes
AzureCognitiveSearch Azure AI Search.

Tato značka určuje rozsahy IP adres víceklientských spouštěcích prostředí používaných vyhledávací službou pro indexerové indexování.

Poznámka: IP adresa samotné vyhledávací služby není pokryta touto značkou služby. V konfiguraci brány firewall vašeho prostředku Azure byste měli zadat značku služby a také konkrétní IP adresu samotné vyhledávací služby.
Příchozí No Ano
AzureConnectors Tato značka představuje IP adresy používané pro spravované konektory, které provádějí příchozí zpětné volání webhooků do služby Azure Logic Apps a odchozí volání příslušných služeb, například Azure Storage nebo Azure Event Hubs. Oboje Ano Yes
AzureContainerAppsService Azure Container Apps Service Oboje Yes No
AzureContainerRegistry Azure Container Registry. Odchozí Ano Yes
AzureCosmosDB Azure Cosmos DB. Odchozí Ano Yes
AzureDatabricks Azure Databricks. Oboje No Ano
AzureDataExplorerManagement Správa Azure Data Exploreru Příchozí No Ano
AzureDeviceUpdate Aktualizace zařízení pro IoT Hub Oboje No Ano
AzureDevOps Azure DevOps. Příchozí Ano Yes
AzureDigitalTwins Azure Digital Twins.

Poznámka: Tuto značku nebo IP adresy pokryté touto značkou lze použít k omezení přístupu ke koncovým bodům nakonfigurovaným pro trasy událostí.
Příchozí No Ano
AzureEventGrid Azure Event Grid. Oboje No Ano
AzureFrontDoor.Frontend
AzureFrontDoor.Backend
AzureFrontDoor.FirstParty
Značka front-endové služby obsahuje IP adresy, které klienti používají pro přístup ke službě Front Door. Značku služby AzureFrontDoor.Frontend můžete použít, když chcete řídit odchozí provoz, který se může připojit ke službám za službou Azure Front Door. Značka back-endové služby obsahuje IP adresy, které Azure Front Door používá pro přístup k vašim zdrojům. Tuto značku služby můžete použít při konfiguraci zabezpečení pro vaše původy. FirstParty je speciální značka vyhrazená pro výběrovou skupinu služby Microsoft hostovaných ve službě Azure Front Door. Oboje Ano Yes
AzureHealthcareAPIs IP adresy, na které se vztahuje tato značka, je možné použít k omezení přístupu ke službě Azure Health Data Services. Oboje No Ano
AzureInformationProtection Azure Information Protection.

Poznámka: Tato značka má závislost na značkách AzureActiveDirectory, AzureFrontDoor.Frontend a AzureFrontDoor.FirstParty .
Odchozí No Ano
AzureIoTHub Azure IoT Hub Odchozí Ano Yes
AzureKeyVault Azure Key Vault.

Poznámka: Tato značka má závislost na značce AzureActiveDirectory .
Odchozí Ano Yes
AzureLoadBalancer Nástroj pro vyrovnávání zatížení infrastruktury Azure. Značka se přeloží na virtuální IP adresu hostitele (168.63.129.16), kde pocházejí sondy stavu Azure. To zahrnuje jenom provoz testu, nikoli skutečný provoz do vašeho back-endového prostředku. Pokud nepoužíváte Azure Load Balancer, můžete toto pravidlo přepsat. Oboje No Ne
AzureMachineLearningInference Tato značka služby se používá k omezení příchozího přenosu dat veřejné sítě ve scénářích odvozování spravovaných privátní sítí. Příchozí No Ano
AzureManagedGrafana Koncový bod instance Azure Managed Grafana Odchozí No Ano
AzureMonitor Log Analytics, Application Insights, pracovní prostor Služby Azure Monitor, AzMon a vlastní metriky (koncové body GiG).

Poznámka: Pro Log Analytics se vyžaduje také značka úložiště . Pokud se používají agenti Linuxu, vyžaduje se také značka GuestAndHybridManagement .
Odchozí No Ano
AzureOpenDatasets Azure Open Datasets.

Poznámka: Tato značka má závislost na značce AzureFrontDoor.Frontend a Storage .
Odchozí No Ano
AzurePlatformDNS Základní infrastruktura (výchozí) služba DNS.

Tuto značku můžete použít k zakázání výchozího DNS. Při použití této značky buďte opatrní. Doporučujeme přečíst si důležité informace o platformě Azure. Před použitím této značky také doporučujeme provést testování.
Odchozí No Ne
AzurePlatformIMDS Azure Instance Metadata Service (IMDS), což je základní služba infrastruktury.

Tuto značku můžete použít k zakázání výchozích IMDS. Při použití této značky buďte opatrní. Doporučujeme přečíst si důležité informace o platformě Azure. Před použitím této značky také doporučujeme provést testování.
Odchozí No Ne
AzurePlatformLKM Služba licencování windows nebo správy klíčů.

Tuto značku můžete použít k zakázání výchozích hodnot licencování. Při použití této značky buďte opatrní. Doporučujeme přečíst si důležité informace o platformě Azure. Před použitím této značky také doporučujeme provést testování.
Odchozí No Ne
AzureResourceManager V Azure Resource Manageru Odchozí No Ano
AzureSentinel Microsoft Sentinel. Příchozí No Ano
AzureSignalR Azure SignalR. Odchozí No Ano
AzureSiteRecovery Azure Site Recovery.

Poznámka: Tato značka má závislost na značkách AzureActiveDirectory, AzureKeyVault, EventHub, GuestAndHybridManagement a Storage .
Odchozí No Ano
AzureSphere Tuto značku nebo IP adresy, na které se tato značka vztahuje, je možné použít k omezení přístupu ke službám zabezpečení Azure Sphere. Oboje No Ano
AzureSpringCloud Povolte provoz do aplikací hostovaných v Azure Spring Apps. Odchozí No Ano
AzureStack Služby Azure Stack Bridge
Tato značka představuje koncový bod služby Azure Stack Bridge pro každou oblast.
Odchozí No Ano
AzureTrafficManager IP adresy sondy Azure Traffic Manageru

Další informace o IP adresách sondy Traffic Manageru najdete v nejčastějších dotazech k Azure Traffic Manageru.
Příchozí No Ano
AzureUpdateDelivery Značka služby Azure Update Delivery, která se používá pro přístup k služba Windows Update, je označená k vyřazení z provozu a v budoucnu se vyřadí z provozu.

Zákazníkům doporučujeme nezabírat závislost na této značce služby a pro zákazníky, kteří ji už používají, doporučujeme migrovat na jednu z následujících možností:
Konfigurace služby Azure Firewall pro zařízení s Windows 10/11 podle pokynů:

Správa koncových bodů připojení pro Windows 11 Enterprise

Správa koncových bodů připojení pro Windows 10 Enterprise, verze 21H2

Nasazení služby Windows Server Update Services (WSUS)


Plánování nasazení pro aktualizaci virtuálních počítačů s Windows v Azure a pak pokračujte krokem
2: Konfigurace služby WSUS
Odchozí No Ano
AzureWebPubSub AzureWebPubSub Oboje Ano Yes
BatchNodeManagement Provoz správy pro nasazení vyhrazená pro Službu Azure Batch Oboje Ano Yes
ChaosStudio Azure Chaos Studio.

Poznámka: Pokud jste povolili integraci Application Insights s agentem chaosu, vyžaduje se také značka AzureMonitor.
Oboje No Ano
CognitiveServicesFrontend Rozsahy adres pro provoz front-endových portálů služeb Azure AI. Oboje No Ano
CognitiveServicesManagement Rozsahy adres pro provoz pro služby Azure AI. Oboje No Ano
DataFactory Azure Data Factory Oboje Ano Yes
DataFactoryManagement Provoz správy pro Azure Data Factory Odchozí No Ano
Dynamics365ForMarketingEmail Rozsahy adres pro marketingovou e-mailovou službu Dynamics 365. Oboje Ano Yes
Dynamics365BusinessCentral Tuto značku nebo IP adresy, na které se vztahuje tato značka, je možné použít k omezení přístupu z/do služeb Dynamics 365 Business Central Services. Oboje No Ano
EOPExternalPublishedIPs Tato značka představuje IP adresy používané pro PowerShell centra zabezpečení a dodržování předpisů. Další podrobnosti najdete v powershellu Pro připojení k Centru zabezpečení a dodržování předpisů pomocí modulu EXO V2. Oboje No Ano
EventHub Azure Event Hubs. Odchozí Ano Yes
GatewayManager Provoz správy pro nasazení vyhrazená pro službu Azure VPN Gateway a Application Gateway Příchozí No Ne
GuestAndHybridManagement Azure Automation a konfigurace hosta Odchozí No Ano
HDInsight Azure HDInsight. Příchozí Ano Yes
Internet Adresní prostor IP adres mimo virtuální síť a dostupný přes veřejný internet.

Rozsah adres zahrnuje veřejný adresní prostor IP adres vlastněný Azure.
Oboje No Ne
KustoAnalytics Kusto Analytics. Oboje No Ne
LogicApps Logic Apps. Oboje No Ano
LogicAppsManagement Provoz správy pro Logic Apps Příchozí No Ano
M365ManagementActivityApi Rozhraní API aktivity správy Office 365 poskytuje informace o různých akcích uživatele, správci, systému a akcích zásad a událostech z protokolů aktivit Office 365 a Microsoft Entra. Zákazníci a partneři můžou tyto informace použít k vytvoření nových nebo vylepšení stávajících řešení pro monitorování provozu, zabezpečení a dodržování předpisů pro podnik.

Poznámka: Tato značka má závislost na značce AzureActiveDirectory .
Odchozí Ano Yes
M365ManagementActivityApiWebhook Oznámení se posílají do nakonfigurovaného webhooku pro odběr, jakmile bude k dispozici nový obsah. Příchozí Ano Yes
MicrosoftAzureFluidRelay Tato značka představuje IP adresy používané pro Azure Microsoft Fluid Relay Server.
Poznámka: Tato značka má závislost na značce AzureFrontDoor.Frontend.
Odchozí No Ano
MicrosoftCloudAppSecurity Microsoft Defender for Cloud Apps. Odchozí No Ano
MicrosoftDefenderForEndpoint Základní služby Microsoft Defenderu pro koncové body

Poznámka: Zařízení musí být nasazená se zjednodušeným připojením a splňují požadavky, aby bylo možné tuto značku služby použít. Defender for Endpoint/Server vyžaduje pro podporu všech funkcí další značky služeb, jako je OneDSCollector.

Další informace najdete v tématu Onboarding zařízení s využitím zjednodušeného připojení pro Microsoft Defender for Endpoint.
Oboje No Ano
Power BI Back-endové služby a koncové body rozhraní API platformy Power BI

Oboje No Ano
PowerPlatformInfra Tato značka představuje IP adresy používané infrastrukturou k hostování služeb Power Platform. Oboje Ano Yes
PowerPlatformPlex Tato značka představuje IP adresy používané infrastrukturou k hostování spouštění rozšíření Power Platform jménem zákazníka. Oboje Ano Yes
PowerQueryOnline Power Query Online Oboje No Ano
Akvalung Datové konektory pro produkty zabezpečení Microsoftu (Sentinel, Defender atd.). Příchozí No Ne
SerialConsole Omezení přístupu k účtům úložiště diagnostiky spouštění pouze ze značky služby sériové konzoly Příchozí No Ano
ServiceBus Provoz služby Azure Service Bus, který používá úroveň služby Premium. Odchozí Ano Yes
ServiceFabric Azure Service Fabric.

Poznámka: Tato značka představuje koncový bod služby Service Fabric pro řídicí rovinu pro každou oblast. To zákazníkům umožňuje provádět operace správy pro své clustery Service Fabric ze svého koncového bodu virtuální sítě. (Například https:// westus.servicefabric.azure.com).
Oboje No Ano
Sql Jednoúčelový server Azure SQL Database, Jednoúčelový server Azure Database for MySQL, Jednoúčelový server Azure Database for PostgreSQL, Azure Database for MariaDB a Azure Synapse Analytics.

Poznámka: Tato značka představuje službu, ale ne konkrétní instance služby. Značka například představuje službu Azure SQL Database, ale ne konkrétní server nebo databázi SQL. Tato značka se nevztahuje na spravovanou instanci SQL.
Odchozí Ano Yes
SqlManagement Provoz správy pro nasazení vyhrazená pro SQL Oboje No Ano
Úložiště Azure Storage

Poznámka: Tato značka představuje službu, ale ne konkrétní instance služby. Značka například představuje službu Azure Storage, ale ne konkrétní účet služby Azure Storage.
Odchozí Ano Yes
StorageSyncService Služba synchronizace úložiště. Oboje No Ano
StorageMover Storage Mover. Odchozí Ano Yes
WindowsAdminCenter Umožňuje back-endové službě Windows Admin Center komunikovat s instalací centra Windows Admin Center zákazníky. Odchozí No Ano
WindowsVirtualDesktop Azure Virtual Desktop (dříve Windows Virtual Desktop). Oboje No Ano
VideoIndexer Video Indexer.
Používá se k tomu, aby zákazníci otevřeli svoji skupinu zabezpečení sítě službě Video Indexer a dostávali zpětná volání do své služby.
Oboje No Ano
VirtualNetwork Adresní prostor virtuální sítě (všechny rozsahy IP adres definované pro virtuální síť), všechny připojené místní adresní prostory, partnerské virtuální sítě, virtuální sítě připojené k bráně virtuální sítě, virtuální IP adresa hostitele a předpony adres používané u tras definovaných uživatelem. Tato značka může také obsahovat výchozí trasy. Oboje No Číslo

Poznámka:

  • Při použití značek služeb se službou Azure Firewall můžete vytvářet pouze cílová pravidla pro příchozí a odchozí provoz. Zdrojová pravidla nejsou podporována. Další informace najdete v dokumentu o značkách služby Azure Firewall.

  • Značky služeb Azure označují předpony adres z používaného konkrétního cloudu. Například základní rozsahy IP adres, které odpovídají hodnotě značky Sql ve veřejném cloudu Azure, se budou lišit od základních rozsahů v Microsoft Azure provozovaném cloudem 21Vianet.

  • Pokud implementujete koncový bod služby pro virtuální síť pro službu, jako je Azure Storage nebo Azure SQL Database, Azure pro tuto službu přidá trasu k podsíti virtuální sítě. Předpony adres v trase jsou stejné předpony adres nebo rozsahy CIDR jako odpovídající značky služby.

Značky podporované v modelu nasazení Classic

Model nasazení Classic (před Azure Resource Managerem) podporuje malou podmnožinu značek uvedených v předchozí tabulce. Značky v modelu nasazení Classic jsou napsané jinak, jak je znázorněno v následující tabulce:

Značka Resource Manageru Odpovídající značka v modelu nasazení Classic
AzureLoadBalancer AZURE_LOADBALANCER
Internet INTERNET
VirtualNetwork VIRTUAL_NETWORK

Značky nepodporované pro trasy definované uživatelem (UDR)

Následuje seznam značek, které aktuálně nejsou podporovány pro použití s trasami definovanými uživatelem (UDR).

  • AzurePlatformDNS

  • AzurePlatformIMDS

  • AzurePlatformLKM

  • VirtualNetwork

  • AzureLoadBalancer

  • Internet

Místní značky služeb

Aktuální informace o značce služby a rozsahu, které se mají zahrnout jako součást konfigurací místní brány firewall. Tyto informace jsou aktuálním seznamem rozsahů IP adres, které odpovídají každé značce služby. Informace můžete získat prostřednictvím kódu programu nebo prostřednictvím stažení souboru JSON, jak je popsáno v následujících částech.

Použití rozhraní API pro zjišťování značek služeb

Aktuální seznam značek služeb můžete načíst prostřednictvím kódu programu společně s podrobnostmi rozsahu IP adres:

Pokud například chcete načíst všechny předpony značky služby Storage, můžete použít následující rutiny PowerShellu:

$serviceTags = Get-AzNetworkServiceTag -Location eastus2
$storage = $serviceTags.Values | Where-Object { $_.Name -eq "Storage" }
$storage.Properties.AddressPrefixes

Poznámka:

  • Data rozhraní API představují značky, které je možné použít s pravidly NSG ve vaší oblasti. Data rozhraní API použijte jako zdroj pravdy pro dostupné značky služeb, protože se mohou lišit od souboru JSON ke stažení.
  • Rozšíření nových dat značek služeb ve výsledcích rozhraní API ve všech oblastech Azure trvá až 4 týdny. Z tohoto procesu můžou být výsledky dat rozhraní API synchronizované se souborem JSON ke stažení, protože data rozhraní API představují podmnožinu značek, které jsou aktuálně v souboru JSON ke stažení.
  • Musíte být ověřeni a mít roli s oprávněními ke čtení pro vaše aktuální předplatné.

Zjišťování značek služeb pomocí souborů JSON ke stažení

Soubory JSON, které obsahují aktuální seznam značek služeb, můžete stáhnout společně s podrobnostmi rozsahu IP adres. Tyto seznamy se aktualizují a publikují každý týden. Umístění pro každý cloud jsou:

Rozsahy IP adres v těchto souborech jsou v zápisu CIDR.

Následující značky AzureCloudu nemají místní názvy formátované podle normálního schématu:

  • AzureCloud.centralfrance (FrancieCentral)

  • AzureCloud.southfrance (FranceSouth)

  • AzureCloud.germanywc (GermanyWestCentral)

  • AzureCloud.germanyn (GermanyNorth)

  • AzureCloud.norwaye (NorskoEast)

  • AzureCloud.norwayw (NorskoWest)

  • AzureCloud.switzerlandn (SwitzerlandNorth)

  • AzureCloud.switzerlandw (SwitzerlandWest)

  • AzureCloud.usstagee (EastUSSTG)

  • AzureCloud.usstagec (SouthCentralUSSTG)

  • AzureCloud.brazilse (BrazílieSoutheast)

Tip

  • Aktualizace z jedné publikace na další můžete zjistit tak, že v souboru JSON zaznamenáte zvýšené hodnoty changeNumber . Každá dílčí část (například Storage.WestUS) má vlastní hodnotu changeNumber , která se při výskytu změn zvýší. Nejvyšší úroveň souboru changeNumber se zvýší, když se změní některá z pododdílů.

  • Příklady, jak analyzovat informace o značce služby (například získat všechny rozsahy adres pro úložiště v WestUS), najdete v dokumentaci k rozhraní API pro zjišťování značek služeb v PowerShellu.

  • Když se do značek služeb přidají nové IP adresy, nebudou se v Azure používat alespoň po dobu jednoho týdne. Díky tomu můžete aktualizovat všechny systémy, které by mohly potřebovat sledovat IP adresy přidružené ke značkě služeb.

Další kroky

  • Zjistěte, jak vytvořit skupinu zabezpečení sítě.