Övergång till en nätverkssäkerhetsperimeter i Azure
I den här artikeln får du lära dig mer om de olika åtkomstlägena och hur du övergår till en nätverkssäkerhetsperimeter i Azure. Åtkomstlägen styr resursens åtkomst- och loggningsbeteende.
Konfigurationspunkt för åtkomstläge för resursassociationer
Konfigurationspunkten för åtkomstläge är en del av en resursassociation i perimetern och kan därför ställas in av perimeteradministratören.
accessMode Egenskapen kan anges i en resursassociation för att styra resursens offentliga nätverksåtkomst.
De möjliga värdena accessMode för är för närvarande Framtvingade och lärande.
| Åtkomstläge | Beskrivning |
|---|---|
| Lärande | Det här är standardläget för åtkomst. Utvärdering i det här läget använder nätverkssäkerhetsperimeterkonfigurationen som baslinje, men om du inte hittar en matchande regel återgår utvärderingen till resursbrandväggskonfigurationen som sedan kan godkänna åtkomst med befintliga inställningar. |
| Påtvingad | När den anges uttryckligen följer resursen endast åtkomstregler för nätverkssäkerhet. |
Förhindra anslutningsstörningar vid införande av nätverkssäkerhetsperimeter
Aktivera inlärningsläge
Administratörer kan lägga till PaaS-resurser i nätverkssäkerhetsperimeter i inlärningsläge för att förhindra oönskade anslutningsstörningar samtidigt som nätverkssäkerhetsperimetern tillämpas på befintliga PaaS-resurser och säkerställa en smidig övergång till säkra konfigurationer. Även om det här steget inte skyddar PaaS-resurserna kommer det att:
- Tillåt att anslutningar upprättas i enlighet med nätverkssäkerhetsperimeterkonfigurationen. Dessutom kan resurser i den här konfigurationen återställas till att respektera resursdefinierade brandväggsregler och beteende för betrodd åtkomst när anslutningar inte tillåts av åtkomstreglerna för nätverkssäkerhetsperimeter.
- När diagnostikloggar är aktiverade genererar loggar som beskriver om anslutningar godkändes baserat på nätverkssäkerhetsperimeterkonfiguration eller resursens konfiguration. Administratörer kan sedan analysera loggarna för att identifiera luckor i åtkomstregler, saknade perimetermedlemskap och oönskade anslutningar.
Viktigt!
Att använda PaaS-resurser i inlärningsläge bör endast fungera som ett övergångssteg. Skadliga aktörer kan utnyttja oskyddade resurser för att exfiltera data. Därför är det viktigt att övergå till en helt säker konfiguration så snart som möjligt med åtkomstläget inställt på Framtvingat.
Övergång till framtvingat läge för befintliga resurser
För att helt skydda din offentliga åtkomst är det viktigt att gå över till framtvingat läge i nätverkssäkerhetsperimetern. Saker att tänka på innan du övergår till framtvingat läge är påverkan på offentlig, privat, betrodd och perimeteråtkomst. I framtvingat läge kan beteendet för nätverksåtkomst på associerade PaaS-resurser för olika typer av PaaS-resurser sammanfattas på följande sätt:
- Offentlig åtkomst: Offentlig åtkomst avser inkommande eller utgående begäranden som görs via offentliga nätverk. PaaS-resurser som skyddas av en nätverkssäkerhetsperimeter har sin inkommande och utgående offentliga åtkomst inaktiverad som standard, men åtkomstregler för nätverkssäkerhet kan användas för att selektivt tillåta offentlig trafik som matchar dem.
- Perimeteråtkomst: Perimeteråtkomst refererar till inkommande eller utgående begäranden mellan resurserna i samma nätverkssäkerhetsperimeter. För att förhindra datainfiltrering och exfiltrering kommer sådan perimetertrafik aldrig att korsa perimetergränser om den inte uttryckligen godkänns som offentlig trafik vid både källa och mål i framtvingat läge. En hanterad identitet måste tilldelas resurser för perimeteråtkomst.
- Betrodd åtkomst: Åtkomst till betrodda tjänster refererar till en funktion som få Azure-tjänster som ger åtkomst via offentliga nätverk när dess ursprung är specifika Azure-tjänster som anses vara betrodda. Eftersom nätverkssäkerhetsperimetern ger mer detaljerad kontroll än betrodd åtkomst stöds inte betrodd åtkomst i framtvingat läge.
- Privat åtkomst: Åtkomst via privata länkar påverkas inte av nätverkssäkerhetsperimetern.
Flytta nya resurser till nätverkssäkerhetsperimetern
Nätverkssäkerhetsperimeter stöder säkert som standardbeteende genom att introducera en ny egenskap under publicNetworkAccess kallas SecuredbyPerimeter. När den ställs in låser den den offentliga åtkomsten och förhindrar att PaaS-resurser exponeras för offentliga nätverk.
Om resursen har publicNetworkAccess angetts till SecuredByPerimeterskapas resursen i låsningsläget även om den inte är associerad med en perimeter. Endast privat länktrafik tillåts om den konfigureras. När nätverkssäkerhetsperimetern är associerad med en perimeter styr den resursåtkomstbeteendet. I följande tabell sammanfattas åtkomstbeteendet i olika lägen och konfigurationen för offentlig nätverksåtkomst:
| Anslutningsläge | Inte associerad | Inlärningsläge | Framtvingat läge |
|---|---|---|---|
| Åtkomst till offentligt nätverk | |||
| Aktiverad | Inkommande: Resursregler Utgående tillåtna |
Inkommande: Nätverkssäkerhetsperimeter + Resursregler Regler för utgående nätverkssäkerhetsperimeter + Tillåten |
Inkommande: Regler för nätverkssäkerhetsperimeter Regler för utgående nätverkssäkerhetsperimeter |
| Disabled (Inaktiverat) | Inkommande: Nekad utgående: Tillåten |
Inkommande: Regler för nätverkssäkerhetsperimeter Utgående: Regler för nätverkssäkerhetsperimeter + Tillåtna |
Inkommande: Regler för nätverkssäkerhetsperimeter Utgående: Regler för nätverkssäkerhetsperimeter |
| SecuredByPerimeter | Inkommande: Nekad utgående: Nekad |
Inkommande: Regler för nätverkssäkerhetsperimeter Utgående: Regler för nätverkssäkerhetsperimeter |
- Inkommande: Regler för nätverkssäkerhetsperimeter - Utgående: Regler för nätverkssäkerhetsperimeter |
Steg för att konfigurera publicNetworkAccess- och accessMode-egenskaper
publicNetworkAccess Både egenskaperna och accessMode kan anges med hjälp av Azure Portal genom att följa dessa steg:
Gå till nätverkssäkerhetsperimeterresursen i Azure Portal.
Välj Inställningar>Resurser för att visa listan över resurser som är associerade med perimetern.
Välj ... (ellips) bredvid den resurs som du vill konfigurera.
På den nedrullningsbara menyn väljer du Konfigurera åtkomst till offentligt nätverk och väljer sedan önskat åtkomstläge från de tre tillgängliga alternativen: Aktiverad, Inaktiverad eller SecuredByPerimeter.
Om du vill ange åtkomstläge väljer du Konfigurera åtkomstläge på den nedrullningsbara menyn och väljer sedan önskat åtkomstläge bland de två tillgängliga alternativen: Utbildning eller Framtvingat.
