Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel enthält schrittweise Anweisungen zum Aktivieren der Netzwerksicherheit für die Speicherressourcen, die in Ihren Azure Storage-Connector integriert sind. Azure Netzwerksicherheitsperimeter (Network Security Perimeter, NSP) ist ein Azure natives Feature, das eine logische Isolationsgrenze für Ihre PaaS-Ressourcen erstellt. Durch das Zuordnen von Ressourcen wie Speicherkonten oder Datenbanken zu einem NSP können Sie den Netzwerkzugriff mithilfe eines vereinfachten Regelsatzes zentral verwalten. Weitere Informationen finden Sie unter Konzepte des Netzwerksicherheitsperimeters.
Voraussetzungen
Bevor Sie beginnen, müssen Sie die folgenden Azure Storage Connectorressourcen bereits bereitgestellt und konfiguriert haben:
- Azure Storage Konto – Das Speicherkonto, das in Ihren Azure Storage Connector integriert ist.
- Azure Storage-Warteschlange — Die Warteschlange, in der Benachrichtigungen über Blob-Erstellungsereignisse eingehen.
- Event Grid-Systemthema — Das Systemthema im Speicherkonto, das Ereignisse zur Blob-Erstellung an die Speicherwarteschlange überträgt.
Wenn Sie diese Ressourcen noch nicht erstellt haben, lesen Sie "Einrichten Ihres Azure Storage Connectors zum Streamen von Protokollen zum Microsoft Sentinel".
Stellen Sie zum Abschließen dieses Setups sicher, dass Sie über die folgenden Berechtigungen verfügen:
- Besitzer eines Abonnements oder Mitwirkender zum Erstellen von Ressourcen für den Netzwerksicherheitsperimeter.
- Speicherkontomitwirkender, um das Speicherkonto dem NSP zuzuordnen.
- Benutzerzugriffsadministrator oder Besitzer des Speicherkontos zum Zuweisen von RBAC-Rollen an die verwaltete Identität von Event Grid.
- Event Grid-Mitwirkender, um verwaltete Identitäten zu aktivieren und Ereignisabonnements zu verwalten.
Aktivieren der Netzwerksicherheit
Um die Netzwerksicherheit für die Speicherressourcen zu aktivieren, die in Ihren Azure Storage-Connector integriert sind, erstellen Sie einen Netzwerksicherheitsperimeter (Network Security Perimeter, NSP), ordnen Sie das Speicherkonto zu, und konfigurieren Sie die Regeln, um Datenverkehr von Event Grid und anderen erforderlichen Quellen zuzulassen, während nicht autorisierter Zugriff blockiert wird. Führen Sie die folgenden Schritte aus, um die Netzwerksicherheitsperimeterkonfiguration für das Speicherkonto abzuschließen.
Erstellen eines Netzwerksicherheitsperimeters
Führen Sie die folgenden Schritte aus, um einen Netzwerksicherheitsperimeter im Azure-Portal zu erstellen:
Suchen Sie im Azure-Portal nach Netzwerksicherheitsperimeter.
Wählen Sie Erstellen aus.
Wählen Sie ein Abonnement und eine Ressourcengruppe aus.
Geben Sie Name ein, z. B.
storageblob-connectors-nspWählen Sie eine Region aus. Die Region muss dieselbe Region wie das Speicherkonto sein.
Geben Sie einen Profilnamen ein, oder übernehmen Sie den Standardwert. Das Profil definiert den Satz von Regeln, die auf zugeordnete Ressourcen angewendet werden. Sie können mehrere Profile in einem einzelnen NSP verwenden, um bei Bedarf unterschiedliche Regeln auf verschiedene Ressourcen anzuwenden.
Wählen Sie Überprüfen + erstellen und dann Erstellen aus.
Zuordnen des Speicherkontos zum Netzwerksicherheitsperimeter
Führen Sie die folgenden Schritte aus, um das Speicherkonto dem Netzwerksicherheitsperimeter zuzuordnen:
Öffnen Sie die neu erstellte Netzwerksicherheitsperimeterressource im Azure-Portal.
Wählen Sie Profile und dann den Profilnamen aus, den Sie beim Erstellen der NSP-Ressource verwendet haben.
Wählen Sie Zugeordnete Ressourcen aus.
Klicken Sie auf Hinzufügen.
Suchen Sie nach Ihrem Speicherkonto, fügen Sie es hinzu, und wählen Sie dann Auswählen aus.
Wählen Sie Verknüpfen aus.
Der Zugriffsmodus ist standardmäßig auf Transition festgelegt, sodass Sie die Konfiguration überprüfen können, bevor Sie Einschränkungen erzwingen.
Aktivieren Sie die systemseitig zugewiesene Identität für das Event Grid-Systemthema
Führen Sie die folgenden Schritte aus, um eine vom System zugewiesene verwaltete Identität im Thema "Event Grid" zu aktivieren:
Navigieren Sie in Ihrem Speicherkonto zur Registerkarte Ereignisse .
Wählen Sie das Systemthema aus, das verwendet wird, um Ereignisse zur Blob-Erstellung in die Speicherwarteschlange zu streamen.
Wählen Sie Identität aus.
Wählen Sie auf der Registerkarte Systemzugewiesen für den Status die Option Ein aus.
Wählen Sie "Speichern" aus, und kopieren Sie dann die Objekt-ID der verwalteten Identität. Sie benötigen diese Objekt-ID, wenn Sie im nächsten Abschnitt die Rolle Absender von Datennachrichten in Speicherwarteschlangen zuweisen.
RBAC-Berechtigungen für die Storage Queue gewähren
Führen Sie die folgenden Schritte aus, um dem Thema "Ereignisrastersystem verwaltete Identität" die Berechtigung zum Senden von Nachrichten an die Speicherwarteschlange zu erteilen:
Navigieren Sie zu Ihrem Speicherkonto.
Wählen Sie Access Control (IAM) aus.
Klicken Sie auf Hinzufügen.
Suchen Sie nach der Rolle Storage Queue Data Message Sender (Bereich: das Speicherkonto), und wählen Sie sie aus.
Wählen Sie die Registerkarte Mitglieder und dann Mitglieder auswählen aus.
Fügen Sie im Bereich "Mitglieder auswählen " die Objekt-ID der vom System zugewiesenen verwalteten Identität für das Thema "Ereignisrastersystem" ein.
Wählen Sie die verwaltete Identität aus, und wählen Sie dann Auswählen.
Wählen Sie Überprüfen + zuweisen aus, um die Rollenzuweisung abzuschließen.
Verwaltete Identität für das Ereignisabonnement aktivieren
Führen Sie die folgenden Schritte aus, um die verwaltete Identität für das Ereignisabonnement zu aktivieren:
Öffnen Sie das Event Grid-Systemthema.
Wählen Sie das Ereignisabonnement aus, das auf die Warteschlange ausgerichtet ist.
Wählen Sie die Registerkarte Zusätzliche Einstellungen aus.
Legen Sie den Typ der verwalteten Identität auf Systemseitig zugewiesen fest.
Klicken Sie auf Speichern.
Überprüfen Sie die Event Grid-Abonnementmetriken, um zu überprüfen, ob Nachrichten nach diesem Update erfolgreich in der Speicherwarteschlange veröffentlicht wurden.
Konfigurieren von Regeln für eingehenden Zugriff im Netzwerksicherheitsperimeterprofil
Die folgenden Regeln sind erforderlich, damit Event Grid Nachrichten an das Speicherkonto übermitteln kann, während nicht autorisierter Zugriff blockiert wird. Abhängig vom System, das Daten an das Speicherkonto sendet oder auf die Speicherressourcen zugreift, müssen Sie möglicherweise zusätzliche Eingangsregeln hinzufügen. Überprüfen Sie Ihr Szenario und Ihre Datenverkehrsmuster, um festzustellen, ob Sie nur die erforderlichen Event Grid-Regeln oder zusätzliche eingehende NSP-Regeln benötigen, und planen Sie Zeit für die Regelweitergabe ein.
Regel 1: Abonnement zulassen (Event Grid-Übermittlung)
Die Event Grid-Übermittlung stammt nicht von festen öffentlichen IP-Adressen. Der NSP überprüft die Übermittlung mithilfe der Abonnementidentität.
Navigieren Sie zu Netzwerksicherheitsperimeter, und wählen Sie Ihren NSP aus.
Wählen Sie Profile und dann das Profil aus, das Ihrem Speicherkonto zugeordnet ist.
Wählen Sie Eingehende Zugriffsregeln und dann Hinzufügen aus.
Geben Sie einen Regelnamen ein, z. B
Allow-Subscription. .Wählen Sie in der Dropdownliste Quelltyp die Option Abonnement aus.
Wählen Sie in der Dropdownliste Zulässige Quellen Ihr Abonnement aus.
Wählen Sie Hinzufügen aus, um die Regel zu erstellen.
Hinweis
Es kann einige Minuten dauern, bis Regeln nach der Erstellung in der Liste angezeigt werden.
Regel 2: IP-Adressbereiche des Scuba-Diensts zulassen
Erstellen Sie eine zweite Regel für eingehenden Zugriff.
Geben Sie einen Regelnamen ein, z. B
Allow-Scuba. .Wählen Sie in der Dropdownliste Quelltyp die Option IP-Adressbereiche aus.
Öffnen Sie die Seite JSON-Dateien für Azure-Diensttags herunterladen.
Wählen Sie Ihre Cloud aus, z. B. Azure Öffentlich.
Wählen Sie die Schaltfläche Herunterladen aus, und öffnen Sie die heruntergeladene Datei, um die Liste der IP-Bereiche abzurufen.
Suchen Sie die Dienstmarkierung
Scubaund kopieren Sie die zugeordneten IPv4-Bereiche.Wichtig
Entfernen Sie die Anführungszeichen aus den IP-Adressbereichen, und stellen Sie sicher, dass der letzte Eintrag kein nachgestelltes Komma enthält, bevor Sie sie in das Feld Zulässige Quellen einfügen. Service-Tag-Bereiche ändern sich im Laufe der Zeit; aktualisieren Sie sie regelmäßig, damit Ihre Regeln aktuell bleiben.
Fügen Sie die IPv4-Bereiche in das Feld Zulässige Quellen ein, nachdem Sie alle Anführungszeichen und nachfolgenden Kommas entfernt haben.
Wählen Sie Hinzufügen aus, um die Regel zu erstellen.
Überprüfen und Erzwingen
Überwachen Sie nach dem Konfigurieren der Regeln die Diagnoseprotokolle für den Netzwerksicherheitsperimeter, um zu überprüfen, ob legitimer Datenverkehr zulässig ist und keine Unterbrechungen auftreten. Nachdem Sie bestätigt haben, dass die Regeln den erforderlichen Datenverkehr ordnungsgemäß zulassen, können Sie vom Übergangsmodus in den Erzwungenen Modus wechseln, um nicht autorisierten Zugriff zu blockieren.
Übergangsmodus
Aktivieren Sie Die Diagnoseprotokolle des Netzwerksicherheitsperimeters, und überprüfen Sie die gesammelten Telemetriedaten, um Kommunikationsmuster vor der Erzwingung zu überprüfen. Weitere Informationen finden Sie unter Diagnoseprotokolle für den Netzwerksicherheitsperimeter.
Erzwingungsmodus anwenden
Legen Sie nach erfolgreicher Überprüfung den Zugriffsmodus wie folgt auf Erzwungen fest:
Wählen Sie auf der Seite Netzwerksicherheitsperimeter unter Einstellungendie Option Zugeordnete Ressourcen aus.
Wählen Sie das Speicherkonto aus.
Wählen Sie Zugriffsmodus ändern aus.
Wählen Sie Erzwungen und dann Speichern aus.
Überprüfung nach der Durchsetzung
Nachdem Sie den NSP-Zugriffsmodus auf erzwungen festgelegt haben, überwachen Sie die Umgebung genau auf blockierten Datenverkehr, der auf Falschkonfigurationen hinweisen kann. Überprüfen Sie, ob die Event Grid-Konfiguration nicht beeinträchtigt wird, indem Sie die Abonnementmetriken des Event Grid-Systemthemas überprüfen.
Verwenden Sie die Diagnoseprotokolle, um auftretende Probleme zu untersuchen und zu beheben. Überprüfen Sie die Metriken des Speicherkontos (Warteschlangeneingang und Fehler) und von Event Grid (erfolgreiche Übermittlungen), um festzustellen, ob Fehler vorliegen. Wechseln Sie wieder in den Übergangsmodus, wenn eine Störung auftritt, und wiederholen Sie die Untersuchung mithilfe der Diagnoseprotokolle.
Für das Speicherkonto „Perimetergesichert“ festlegen (optional)
Wenn Sie das Speicherkonto auf Durch Umkreis geschützt festlegen, wird sichergestellt, dass der gesamte Datenverkehr an das Speicherkonto anhand der Regeln für den Netzwerksicherheitsperimeter ausgewertet wird und der Zugriff auf öffentliche Netzwerke blockiert wird.
Navigieren Sie zu Ihrem Speicherkonto.
Wählen Sie unter Sicherheit + Netzwerk die Option Netzwerk aus.
Wählen Sie unter Öffentlicher Netzwerkzugriff die Option Verwalten aus.
Legen Sie Durch Perimeter gesichert (am stärksten eingeschränkt) fest.
Klicken Sie auf Speichern.
Nächste Schritte
In diesem Artikel haben Sie erfahren, wie Sie die Netzwerksicherheit für die Speicherressourcen aktivieren, die in Ihren Azure Storage-Connector integriert sind. Weitere Informationen finden Sie in den Artikeln zum Netzwerksicherheitsperimeter .
- Überprüfen Sie die Datenverbindungsregeln in Referenz zu den Azure Storage-Datenverbindungsregeln.
- Beheben Sie Netzwerkprobleme mit dem Connector unter Problembehandlung für den Azure Storage Blob-Connector.