共用方式為

使用網路安全性周邊設定 Azure 監視器 (預覽)

  • 發行項

本文提供為 Azure 監視器資源設定 網路安全性周邊 (NSP) 的程式。 網路安全性周邊是一項網路隔離功能,可提供受保護的周邊,以在部署於虛擬網路外部的 PaaS 服務之間進行通訊。 這些 PaaS 服務可以在周邊內彼此通訊,也可以使用公用輸入和輸出存取規則,與周邊外部的資源通訊。

網路安全性周邊可讓您使用支援的 Azure 監視器資源下的網路隔離設定來控制網路存取。 設定網路安全周邊之後,您可以執行下列動作:

  • 根據 NSP 中定義的輸入和輸出存取規則,控制對您支援的 Azure 監視器資源的網路存取。
  • 記錄您支援 Azure 監視器資源的所有網路存取權。
  • 封鎖任何數據外流至不在 NSP 中的服務。

地區

Azure 網路安全性周邊目前處於公開預覽狀態。 Azure 監視器中的網路安全性周邊功能目前可在下列 6 個區域中使用:

  • 美國東部
  • 美國東部 2
  • 美國中北部
  • 美國中南部
  • 美國西部
  • 美國西部 2

支援的元件

下表列出網路安全性周邊支援的 Azure 監視器元件,其 API 版本下限。

資源 資源類型 API 版本
資料收集端點 (DCE) Microsoft.Insights/dataCollectionEndpoints 2023-03-11
Log Analytics 工作區 Microsoft.OperationalInsights/workspaces 2023-09-01
記錄查詢警示 Microsoft.Insights/ScheduledQueryRules 2022-08-01-preview
動作群組 1 2 Microsoft.Insights/actionGroups 2023-05-01

1 NSP 只會與區域行動群組一起運作。 全域動作群組預設為公用網路存取。

2 今天,Eventhub 是 NSP 唯一支援的動作類型。 所有其他動作預設為公用網路存取。

網路安全性周邊不支援下列 Azure 監視器元件:

注意

針對 Application insights,針對 Application insights 資源所使用的 Log Analytics 工作區設定 NSP。

建立網路安全性周邊

使用 Azure 入口網站Azure CLIPowerShell 建立網路安全周邊。

將 Log Analytics 工作區新增至網路安全性周邊

  1. 從 Azure 入口網站 的 [網路安全周邊] 功能表中,選取您的網路安全性周邊。

  2. 選取 [資源 ],然後 新增 ->將資源與現有的配置檔產生關聯。

    將資源與 Azure 入口網站 中網路安全性周邊配置檔建立關聯的螢幕快照。

  3. 選取您想要與 Log Analytics 工作區資源建立關聯的配置檔。

  4. 選取 [ 關聯],然後選取 [Log Analytics] 工作區。

  5. 選取 畫面左下方區段中的 [建立關聯 ],以建立與 NSP 的關聯。

    將工作區與 Azure 入口網站 中網路安全性周邊配置檔建立關聯的螢幕快照。

重要

在資源群組或訂用帳戶之間傳輸 Log Analytics 工作區時,將其連結至網路安全周邊 (NSP) 以保留安全策略。 如果刪除工作區,請確定您也會從 NSP 中移除其關聯。」

Log Analytics 工作區的存取規則

NSP 設定檔會指定允許或拒絕透過周邊存取的規則。 在周邊內,所有資源在網路層級都有相互存取權,但仍受限於驗證和授權。 針對 NSP 外部的資源,您必須指定輸入和輸出存取規則。 輸入規則會指定要允許的連線,而輸出規則會指定允許哪些要求。

注意

與網路安全性周邊相關聯的任何服務,都會隱含地允許當該存取使用 受控識別和角色指派進行驗證時,對與相同網路安全性周邊相關聯的任何其他服務進行輸入和輸出存取。 只有在允許存取網路安全性周邊外部,或使用 API 金鑰進行驗證的存取時,才需要建立存取規則。

新增 NSP 輸入存取規則

NSP 輸入存取規則可讓周邊外的因特網和資源與周邊內的資源連線。

NSP 支援兩種類型的輸入存取規則:

  • IP 位址範圍。 IP 位址或範圍必須是無類別網路變數間路由 (CIDR) 格式。 CIDR 標記法的範例是 8.8.8.0/24,其代表範圍從 8.8.8.8.0 到 8.8.8.255 的 IP。 此類型的規則允許從範圍中的任何IP位址輸入。
  • 訂用帳戶。 這種類型的規則允許從訂用帳戶使用任何受控識別進行驗證的輸入存取。

使用下列程式,使用 Azure 入口網站 新增 NSP 輸入存取規則:

  1. 流覽至 Azure 入口網站 中的網路安全性周邊資源。

  2. 選取 [配置檔 ],然後選取您用於 NSP 的設定檔。

    Azure 入口網站 中網路安全性周邊配置檔的螢幕快照。

  3. 選取 [ 輸入存取規則]。

    Azure 入口網站 中網路安全性周邊配置檔輸入存取規則的螢幕快照。

  4. 按兩下 [新增] 或 [新增輸入存取規則]。 輸入或選取下列值:

    設定
    規則名稱 輸入存取規則的名稱。 例如 MyInboundAccessRule
    來源類型 有效值為IP位址範圍或訂用帳戶。
    允許的來源 如果您選取 IP 位址範圍,請以您想要允許輸入存取的 CIDR 格式輸入 IP 位址範圍。 Azure IP 範圍可在 Azure IP 範圍和服務標籤 – 公用雲端取得。 如果您選取 [訂用帳戶],請使用您想要允許輸入存取的訂用帳戶。

  5. 按兩下 [ 新增 ] 以建立輸入存取規則。

    Azure 入口網站 中網路安全性周邊配置檔新輸入存取規則的螢幕快照。

新增 NSP 輸出存取規則

Log Analytics 工作區 中的數據匯出可讓您持續匯出工作區中特定數據表的數據。 當資料送達 Azure 監視器管道時,您就可以匯出至 Azure 儲存體帳戶或 Azure 事件中樞。

安全性周邊內的Log Analytics工作區只能連線到相同周邊中的記憶體和事件中樞。 其他目的地需要根據目的地的完整功能變數名稱 (FQDN) 進行輸出存取規則。 例如,允許從與網路安全周邊相關聯的任何服務輸出存取 FQDN,例如 mystorageaccount.blob.core.windows.net。

使用下列程式,使用 Azure 入口網站 新增 NSP 輸出存取規則:

  1. 流覽至 Azure 入口網站 中的網路安全性周邊資源。

  2. 選取 [配置檔 ],然後選取您用於 NSP 的設定檔。

    Azure 入口網站 中網路安全性周邊配置檔的螢幕快照。

  3. 選取 [ 輸出存取規則]。

  4. 按兩下 [新增] 或 [新增輸出存取規則]。 輸入或選取下列值:

    設定
    規則名稱 輸出存取規則的名稱。 例如 MyOutboundAccessRule
    目的地類型 保留為 FQDN。
    允許的目的地 輸入您想要允許輸出存取的逗號分隔 FQDN 清單。

  5. 選取 [ 新增 ] 以建立輸出存取規則。

    Azure 入口網站 中網路安全性周邊配置檔新輸出存取規則的螢幕快照。

下一步