Udostępnij za pośrednictwem

Konfigurowanie obwodu zabezpieczeń sieci dla konta usługi Azure Cosmos DB

  • Artykuł

DOTYCZY: NoSQL

W tym artykule wyjaśniono, jak skonfigurować obwód zabezpieczeń sieci na koncie usługi Azure Cosmos DB.

Ważne

Obwód zabezpieczeń sieci jest w publicznej wersji zapoznawczej. Ta funkcja jest udostępniana bez umowy dotyczącej poziomu usług. Aby uzyskać więcej informacji, zobacz Uzupełniające warunki korzystania z wersji zapoznawczych platformy Microsoft Azure.

Omówienie funkcji

Administratorzy sieci mogą zdefiniować granicę izolacji sieciowej dla swoich usług PaaS, co umożliwia komunikację między kontem usługi Azure Cosmos DB i usługą Keyvault, SQL i innymi usługami przy użyciu obwodu zabezpieczeń sieci platformy Azure. Zabezpieczanie dostępu publicznego w usłudze platformy Azure można wykonać na kilka sposobów:

  • Zabezpieczanie połączeń przychodzących: ogranicz publiczne ujawnienie konta usługi Azure Cosmos DB, jawnie udzielając dostępu przychodzącego do zasobów wewnątrz obwodu. Domyślnie dostęp z nieautoryzowanych sieci jest blokowany, a dostęp z prywatnych punktów końcowych do obwodu lub zasobów w subskrypcji można skonfigurować.
  • Zabezpieczanie komunikacji między usługami: wszystkie zasoby wewnątrz obwodu mogą komunikować się z innymi zasobami w obrębie obwodu, uniemożliwiając eksfiltrację danych.
  • Zabezpieczanie połączeń wychodzących: jeśli obwód zabezpieczeń sieci nie zarządza dzierżawą docelową, blokuje dostęp podczas próby skopiowania danych z jednej dzierżawy do innej. Dostęp jest udzielany na podstawie nazwy FQDN lub dostępu z innych obwodów sieci; wszystkie inne próby dostępu są odrzucane.

Zrzut ekranu przedstawiający obwód usługi sieciowej.

Cała ta komunikacja jest wykonywana automatycznie po skonfigurowaniu obwodu zabezpieczeń sieci, a użytkownicy nie muszą nimi zarządzać. Zamiast konfigurować prywatny punkt końcowy dla każdego zasobu w celu włączenia komunikacji lub skonfigurowania sieci wirtualnej, obwód zabezpieczeń sieci na najwyższym poziomie umożliwia korzystanie z tej funkcji.

Uwaga

Obwód zabezpieczeń sieci platformy Azure uzupełnia to, co obecnie istnieje, w tym prywatny punkt końcowy, który umożliwia dostęp do zasobu prywatnego w obrębie obwodu oraz iniekcję sieci wirtualnej, co umożliwia zarządzanym sieciom wirtualnym dostęp do zasobów w obrębie obwodu. Obecnie nie obsługujemy kombinacji sieciowych zabezpieczeń platformy Azure, kluczy zarządzanych przez klienta (CMK) i funkcji magazynu dzienników, takich jak magazyn analityczny, wszystkie wersje i usuwanie trybu zestawienia zmian, zmaterializowane widoki i przywracanie do punktu w czasie. Jeśli musisz wykonać operacje przywracania na koncie z obsługą klucza zarządzanego za pomocą obwodu zabezpieczeń sieci platformy Azure, tymczasowo musisz złagodzić ustawienia obwodowe w magazynie kluczy, aby zezwolić na dostęp konta usługi Cosmos DB do klucza.

Wprowadzenie

Ważne

Przed skonfigurowaniem obwodu zabezpieczeń sieci utwórz tożsamość zarządzaną na platformie Azure.

  • W witrynie Azure Portal wyszukaj obwody zabezpieczeń sieci na liście zasobów i wybierz pozycję Utwórz +.
  • Z listy zasobów wybierz zasoby, które chcesz skojarzyć z obwodem.
  • Dodaj regułę dostępu przychodzącego, typ źródła może być adresem IP lub subskrypcją.
  • Dodaj reguły dostępu wychodzącego, aby zezwolić zasobom wewnątrz obwodu na łączenie się z Internetem i zasobami poza obwodem.

W przypadkach, gdy masz istniejące konto usługi Azure Cosmos DB i chcesz dodać obwód zabezpieczeń:

  • Wybierz pozycję Sieć w obszarze Ustawienia

Zrzut ekranu przedstawiający sposób dodawania NSP do zasobu platformy Azure.

  • Następnie wybierz pozycję Skojarz dostawcę NSP , aby skojarzyć ten zasób z obwodem zabezpieczeń sieci, aby umożliwić komunikację z innymi zasobami platformy Azure w tym samym obwodzie, ograniczając jednocześnie publiczny dostęp tylko do dozwolonych połączeń, które określisz.

Następne kroki