Freigeben über

Konfigurieren von Azure Monitor mit Network Security Perimeter (Vorschau)

  • Artikel

Dieser Artikel enthält den Prozess zum Konfigurieren eines Network Security Perimeter (NSP) für Azure Monitor-Ressourcen. Der Netzwerksicherheitsperimeter ist ein Netzwerkisolationsfeature, das einen gesicherten Perimeter für die Kommunikation zwischen PaaS-Diensten bereitstellt, die außerhalb eines virtuellen Netzwerks bereitgestellt werden. Diese PaaS-Dienste können innerhalb des Perimeters miteinander kommunizieren und auch mit Ressourcen außerhalb des Perimeters kommunizieren, indem sie öffentliche eingehende und ausgehende Zugriffsregeln verwenden.

Der Network Security Perimeter ermöglicht es Ihnen, den Netzwerkzugriff mithilfe von Netzwerkisolationseinstellungen unter unterstützten Azure Monitor-Ressourcen zu steuern. Nachdem ein Netzwerksicherheitsperimeter konfiguriert wurde, können Sie die folgenden Aktionen ausführen:

  • Steuern des Netzwerkzugriffs auf Ihre unterstützten Azure Monitor-Ressourcen basierend auf eingehenden und ausgehenden Zugriffsregeln, die in NSP definiert sind.
  • Protokollieren Sie den gesamten Netzwerkzugriff auf Ihre unterstützten Azure Monitor-Ressourcen.
  • Blockieren Sie alle Datenexfiltrationen in Dienste, die nicht im NSP enthalten sind.

Regions

Der Azure-Netzwerksicherheitsperimeter befindet sich derzeit in der Public Preview. Die Features des Netzwerksicherheitsperimeters sind in Azure Monitor derzeit in den folgenden sechs Regionen verfügbar:

  • East US
  • USA (Ost) 2
  • USA Nord Mitte
  • USA Süd Mitte
  • USA (Westen)
  • USA, Westen 2

Unterstützte Komponenten

Die Komponenten von Azure Monitor, die mit einem Netzwerksicherheitsperimeter unterstützt werden, sind in der folgenden Tabelle mit ihrer mindesten API-Version aufgeführt.

Resource Ressourcentyp API-Version
Datensammlungsendpunkt (Data Collection Endpoint, DCE) Microsoft.Insights/dataCollectionEndpoints 11.03.2023
Log Analytics-Arbeitsbereich Microsoft.OperationalInsights/workspaces 2023-09-01
Protokollabfragebenachrichtigungen Microsoft.Insights/ScheduledQueryRules 2022-08-01-preview
Aktionsgruppen 1 2 Microsoft.Insights/actionGroups 01.05.2023

1 NSP funktioniert nur mit regionalen Aktionsgruppen. Globale Aktionsgruppen greifen standardmäßig auf öffentliche Netzwerke zu.

2 Aktuell ist Eventhub der einzige unterstützte Aktionstyp für NSP. Alle anderen Aktionen greifen standardmäßig auf öffentliche Netzwerke zu.

Die folgenden Komponenten von Azure Monitor werden nicht mit einem Netzwerksicherheitsperimeter unterstützt:

Hinweis

Konfigurieren Sie für Application Insights den NSP für den Log Analytics-Arbeitsbereich, der für die Ressource „Application Insights“ verwendet wird.

Erstellen eines Netzwerksicherheitsperimeters

Erstellen Sie einen Netzwerksicherheitsperimeter mithilfe des Azure-Portal, Azure CLI oder PowerShell.

Hinzufügen des Log Analytics-Arbeitsbereichs zu einem Netzwerksicherheitsperimeter

  1. Wählen Sie im Azure-Portal im Menü „Netzwerksicherheitsperimeter“ Ihren Netzwerksicherheitsperimeter aus.

  2. Wählen Sie Ressourcen und Hinzufügen aus –>Ressourcen einem vorhandenen Profil zuordnen.

    Screenshot der Zuordnung einer Ressource zu einem Netzwerksicherheitsperimeterprofil im Azure-Portal.

  3. Wählen Sie das Profil aus, das Sie der Log Analytics-Arbeitsbereichsressource zuordnen möchten.

  4. Wählen Sie Zuordnen und dann den Log Analytics-Arbeitsbereich aus.

  5. Wählen Sie im Abschnitt links unten auf dem Bildschirm Zuordnen aus, um die Zuordnung mit NSP zu erstellen.

    Screenshot der Zuordnung eines Arbeitsbereichs zu einem Netzwerksicherheitsperimeterprofil im Azure-Portal.

Wichtig

Wenn Sie einen Log Analytics-Arbeitsbereich zwischen Ressourcengruppen oder Abonnements übertragen, verknüpfen Sie ihn mit dem Network Security Perimeter (NSP), um Sicherheitsrichtlinien beizubehalten. Wenn der Arbeitsbereich gelöscht wird, stellen Sie sicher, dass Sie die Zuordnungen auch aus dem NSP entfernen.“

Zugriffsregeln für den Log Analytics-Arbeitsbereich

Ein NSP-Profil gibt Regeln an, die den Zugriff über den Perimeter zulassen oder verweigern. Innerhalb des Perimeters haben alle Ressourcen gegenseitigen Zugriff auf Netzwerkebene, obwohl sie noch der Authentifizierung und der Autorisierung unterliegen. Für Ressourcen außerhalb des NSP müssen Sie eingehende und ausgehende Zugriffsregeln angeben. Eingangsregeln geben an, welche eingehenden Verbindungen zulässig sind, und Ausgangsregeln legen fest, welche ausgehenden Anforderungen erlaubt sind.

Hinweis

Jeder Dienst, der einem Network Security Perimeter zugeordnet ist, ermöglicht implizit ein- und ausgehenden Zugriff auf alle anderen Dienste, die demselben Network Security Perimeter zugeordnet sind, wenn dieser Zugriff mithilfe verwalteter Identitäten und Rollenzuweisungen authentifiziert wird. Zugriffsregeln müssen nur erstellt werden, wenn Zugriff außerhalb des Network Security Perimeter zugelassen werden soll, oder um den Zugriff mithilfe von API-Schlüsseln zu authentifizieren.

Hinzufügen einer NSP-Zugriffsregel für eingehenden Zugriff

Regeln für eingehenden NSP-Zugriff lassen Verbindungen aus dem Internet und von Ressourcen außerhalb des Perimeters mit Ressourcen innerhalb des Perimeters zu.

NSP unterstützt zwei Arten von eingehenden Zugriffsregeln:

  • IP-Adressbereiche. IP-Adressen oder -bereiche müssen im CIDR-Format (Classless Inter-Domain Routing) angegeben werden. Ein Beispiel für die CIDR-Notation ist „8.8.8.0/24“, womit die IPs im Bereich zwischen 8.8.8.0 und 8.8.8.255 dargestellt werden. Diese Art von Regel ermöglicht eingehenden Datenverkehr von einer beliebigen IP-Adresse im zulässigen Bereich.
  • Abonnements Dieser Regeltyp lässt eingehenden Zugriff zu, der mit einer beliebigen verwalteten Identität aus dem Abonnement authentifiziert wurde.

Verwenden Sie den folgenden Prozess, um eine NSP-Zugriffsregel mithilfe des Azure-Portals hinzuzufügen:

  1. Navigieren Sie im Azure-Portal zu Ihrer Netzwerksicherheitsperimeterressource.

  2. Wählen Sie Profile und dann das Profil aus, das Sie mit Ihrem NSP verwenden.

    Screenshot der Netzwerksicherheitsperimeterprofile im Azure-Portal.

  3. Wählen Sie Eingehende Zugriffsregeln aus.

    Screenshot des Netzwerksicherheitsperimeterprofils für eingehende Zugriffsregeln im Azure-Portal.

  4. Klicken Sie auf Hinzufügen oder Regel für eingehenden Zugriff hinzufügen. Geben Sie folgende Werte ein bzw. wählen diese aus:

    Einstellung Wert
    Regelname Der Name für die Eingangszugriffsregel. Beispiel : MyInboundAccessRule.
    Quelltyp Gültige Werte sind IP-Adressbereiche oder Abonnements.
    Zulässige Quellen Wenn Sie IP-Adressbereiche ausgewählt haben, geben Sie den IP-Adressbereich, aus dem Sie den eingehenden Zugriff zulassen möchten, im CIDR-Format ein. Azure IP-Bereiche sind unter Azure IP Ranges and Service Tags – Public Cloud verfügbar. Wenn Sie Abonnements ausgewählt haben, verwenden Sie das Abonnement, aus dem Sie eingehenden Zugriff zulassen möchten.

  5. Klicken Sie auf Hinzufügen, um die Regel für eingehenden Zugriff zu erstellen.

    Screenshot des Netzwerksicherheitsperimeterprofils „neue eingehende Zugriffsregel“ im Azure-Portal.

Hinzufügen einer NSP Outbound Access Rule

Datenexport in einem Log Analytics-Arbeitsbereich ermöglicht es Ihnen, Daten für bestimmte Tabellen in Ihrem Arbeitsbereich kontinuierlich zu exportieren. Sie können in ein Azure Storage-Konto oder in Azure Event Hubs exportieren, wenn die Daten in einer Azure Monitor-Pipeline eintreffen.

Ein Log Analytics-Arbeitsbereich innerhalb eines Sicherheitsperimeters kann nur eine Verbindung mit Speicher- und Ereignishubs im selben Perimeter herstellen. Andere Ziele erfordern eine ausgehende Zugriffsregel basierend auf dem Fully Qualified Domain Name (FQDN) des Ziels. Ermöglichen Sie beispielsweise ausgehenden Zugriff von jedem Dienst, der Ihrem Netzwerksicherheitsperimeter zugeordnet ist, auf einen FQDN, z. B. mystorageaccount.blob.core.windows.net.

Verwenden Sie den folgenden Prozess, um eine NSP-Zugriffsregel mithilfe des Azure-Portals hinzuzufügen:

  1. Navigieren Sie im Azure-Portal zu Ihrer Netzwerksicherheitsperimeterressource.

  2. Wählen Sie Profile und dann das Profil aus, das Sie mit Ihrem NSP verwenden.

    Screenshot der Netzwerksicherheitsperimeterprofile im Azure-Portal.

  3. Wählen Sie Ausgehende Zugriffsregeln aus.

  4. Klicken Sie auf Hinzufügen oder Regel für ausgehenden Zugriff hinzufügen. Geben Sie folgende Werte ein bzw. wählen diese aus:

    Einstellung Wert
    Regelname Der Name für die ausgehende Zugriffsregel. Beispiel : MyOutboundAccessRule.
    Zieltyp Behalten Sie den FQDN bei.
    Zulässige Ziele Geben Sie eine durch Trennzeichen getrennte Liste von FQDNs ein, an die Sie ausgehenden Zugriff zulassen möchten.

  5. Wählen Sie Hinzufügen aus, um die Regel für ausgehenden Zugriff zu erstellen.

    Screenshot des Netzwerksicherheitsperimeterprofils “neue ausgehende Zugriffsregel“ im Azure-Portal.

Nächste Schritte