轉換至 Azure 中的網路安全性周邊
在本文中,您將瞭解不同的存取模式,以及如何轉換至 Azure 中的網路安全性周邊 。 存取模式可控制資源的存取和記錄行為。
資源關聯上的存取模式組態點
存取 模式 組態點是周邊資源關聯的一部分,因此可由周邊系統管理員設定。
屬性 accessMode
可以在資源關聯中設定,以控制資源的公用網路存取。
的可能值accessMode
目前為 [強制執行] 和 [學習]。
存取模式 | 說明 |
---|---|
學習 | 這是預設存取模式。 此模式中的評估會使用網路安全性周邊設定作為基準,但在找不到相符規則的情況下,評估會回復到資源防火牆組態,然後可以使用現有的設定核准存取權。 |
執行 | 明確設定時,資源只會遵守網路安全性周邊存取規則。 |
在採用網路安全性周邊時防止連線中斷
啟用學習模式
若要在採用現有 PaaS 資源的網路安全性周邊,並確保順暢地轉換到安全設定時,防止不想要的連線中斷,系統管理員可以在學習模式中將 PaaS 資源新增至網路安全性周邊。 雖然此步驟並未保護 PaaS 資源,但它將會:
- 允許根據網路安全性周邊組態建立連線。 此外,當網路安全性周邊存取規則不允許連線時,此組態中的資源會後援以接受資源定義的防火牆規則和信任存取行為。
- 啟用診斷記錄時,會產生記錄,詳細說明是否已根據網路安全性周邊組態或資源的組態核准連線。 然後,系統管理員可以分析這些記錄,以識別存取規則、遺漏周邊成員資格和不想要連線的差距。
重要
在學習模式中操作 PaaS 資源只能做為過渡步驟。 惡意執行者可能會利用不安全的資源來外泄數據。 因此,在將存取模式設定為 [強制] 的情況下,儘快轉換為完全安全的組態非常重要。
轉換至現有資源的強制模式
若要完全保護您的公用存取,請務必移至網路安全性周邊的強制模式。 移至強制模式之前要考慮的事項,是對公用、私人、受信任和周邊存取的影響。 在強制模式中,跨不同類型的 PaaS 資源對相關聯 PaaS 資源進行網路存取的行為可以摘要如下:
- 公用存取: 公用存取是指透過公用網路提出的輸入和輸出要求。 網路安全性周邊所保護的 PaaS 資源預設會停用其輸入和輸出公用存取,但網路安全性周邊存取規則可用來選擇性地允許符合它們的公用流量。
- 周邊存取: 周邊存取是指相同網路安全性周邊資源之間的輸入或輸出要求。 為了避免數據滲透和外泄,除非在強制模式中明確核准為來源和目的地的公用流量,否則這類周邊流量永遠不會跨越周邊界限。 管理身分識別必須在資源上指派,才能進行周邊存取。
- 信任的存取: 信任的服務存取是指少數 Azure 服務的功能,可在其來源是被視為受信任的特定 Azure 服務時,透過公用網路啟用存取。 由於網路安全性周邊提供比受信任存取更細微的控制,因此強制模式不支援受信任的存取。
- 私人存取: 透過私人連結的存取不會受到網路安全性周邊的影響。
將新資源移至網路安全性周邊
網路安全性周邊透過引入名為 SecuredbyPerimeter
的新publicNetworkAccess
屬性,支援預設行為的安全。 設定時,它會鎖定公用存取,並防止 PaaS 資源公開至公用網路。
在資源建立時,如果 publicNetworkAccess
設定為 SecuredByPerimeter
,則會在鎖定模式中建立資源,即使未與周邊相關聯也一樣。 如果已設定,則只允許私人連結流量。 與周邊相關聯之後,網路安全性周邊會控管資源存取行為。 下表摘要說明各種模式和公用網路存取組態中的存取行為:
關聯存取模式 | 未相關聯 | 學習模式 | 強制模式 |
---|---|---|---|
公用網路存取 | |||
已啟用 | 輸入: 資源規則 輸出 允許 |
輸入: 網路安全性周邊 + 資源規則 輸出 網路安全性周邊規則 + 允許 |
輸入: 網路安全性周邊規則 輸出 網路安全性周邊規則 |
停用 | 輸入:拒絕 輸出:允許 |
輸入: 網路安全性周邊規則 輸出: 網路安全性周邊規則 + 允許 |
輸入: 網路安全性周邊規則 輸出: 網路安全性周邊規則 |
SecuredByPerimeter | 輸入:拒絕 輸出:拒絕 |
輸入: 網路安全性周邊規則 輸出: 網路安全性周邊規則 |
- 輸入: 網路安全性周邊規則 - 輸出: 網路安全性周邊規則 |
設定 publicNetworkAccess 和 accessMode 屬性的步驟
publicNetworkAccess
您可以遵循下列步驟,使用 Azure 入口網站 來設定和 accessMode
屬性:
流覽至 Azure 入口網站 中的網路安全性周邊資源。
選取 [設定>資源] 以檢視與周邊相關聯的資源清單。
選取 您要設定之資源旁邊的 ... (省略號)。
從下拉功能表中,選取 [ 設定公用網络存取],然後從可用的三個選項中選取所需的存取模式: Enabled、 Disabled 或 SecuredByPerimeter。
若要設定存取模式,請從下拉功能表中選取 [設定存取模式 ],然後從可用的兩個選項中選取所需的存取模式: 學習 或 強制。