Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo fornisce istruzioni dettagliate su come abilitare la sicurezza di rete nelle risorse di archiviazione integrate con il connettore di archiviazione Azure. Azure perimetro di sicurezza di rete (NSP) è una funzionalità nativa Azure che crea un limite di isolamento logico per le risorse PaaS. Associando risorse come account di archiviazione o database a un provider di rete, è possibile gestire centralmente l'accesso alla rete usando un set di regole semplificato. Per altre informazioni, vedere Concetti relativi al perimetro di sicurezza di rete.
Prerequisiti
Prima di iniziare, è necessario disporre delle risorse del connettore di Archiviazione di Azure seguenti già distribuite e configurate:
- Archiviazione di Azure account: l'account di archiviazione integrato con il connettore di Archiviazione di Azure.
- Coda di Archiviazione di Azure — La coda che riceve le notifiche degli eventi di creazione dei blob.
- Argomento di sistema di Griglia di eventi: argomento di sistema sull'account di archiviazione che trasmette gli eventi di creazione di BLOB alla coda di archiviazione.
Se queste risorse non sono ancora state create, vedere Configurare il connettore Archiviazione di Azure per lo streaming dei log in Microsoft Sentinel.
Per completare questa configurazione, assicurarsi di disporre delle autorizzazioni seguenti:
- Proprietario della sottoscrizione o collaboratore per creare risorse perimetrali di sicurezza di rete.
- Collaboratore dell'account di archiviazione per associare l'account di archiviazione all'NSP.
- Amministratore dell'accesso utente dell'account di archiviazione o proprietario dell'account di archiviazione per assegnare ruoli RBAC all'identità gestita di Event Grid.
- Event Grid Contributor per abilitare l'identità gestita e gestire le sottoscrizioni di eventi.
Abilitare la sicurezza di rete
Per abilitare la sicurezza di rete nelle risorse di archiviazione integrate con il connettore di archiviazione Azure, creare un perimetro di sicurezza di rete (NSP), associare l'account di archiviazione e configurare le regole per consentire il traffico da Griglia di eventi e da altre origini necessarie, bloccando al tempo stesso l'accesso non autorizzato. Per completare la configurazione del perimetro di sicurezza di rete per l'account di archiviazione, seguire questa procedura.
Creare un perimetro di sicurezza di rete
Per creare un perimetro di sicurezza di rete nel portale di Azure, seguire questa procedura:
Nel portale di Azure cercare Perimetri di sicurezza di rete
Selezionare Crea.
Selezionare una sottoscrizione e un gruppo di risorse.
Immettere Nome, ad esempio
storageblob-connectors-nspSelezionare un'area. L'area deve essere la stessa dell'account di archiviazione.
Immettere un nome di profilo o accettare l'impostazione predefinita. Il profilo definisce il set di regole applicate alle risorse associate. È possibile avere più profili all'interno di un singolo provider di servizi di rete per applicare regole diverse a risorse diverse, se necessario.
Selezionare Rivedi e crea e quindi Crea.
Associare l'account di archiviazione al perimetro di sicurezza di rete
Per associare l'account di archiviazione al perimetro di sicurezza di rete, seguire questa procedura:
Aprire la risorsa perimetrale di sicurezza di rete appena creata nel portale di Azure.
Selezionare Profili, quindi selezionare il nome del profilo usato durante la creazione della risorsa NSP.
Selezionare Risorse associate.
Selezionare Aggiungi.
Cercare e aggiungere l'account di archiviazione, quindi selezionare Seleziona.
Selezionare Associa.
La modalità di accesso è impostata su Transizione per impostazione predefinita, consentendo di convalidare la configurazione prima di applicare restrizioni.
Abilitare l'identità assegnata dal sistema su un argomento di sistema di Event Grid
Per abilitare un'identità gestita assegnata dal sistema sull'argomento di sistema di Event Grid, seguire questi passaggi:
Dall'account di archiviazione passare alla scheda Eventi .
Selezionare l'Argomento di sistema usato per inviare gli eventi di creazione di BLOB alla coda di archiviazione.
Selezionare Identità.
Nella scheda Sistema assegnato impostare Stato su Sì.
Selezionare Salva, quindi copiare l'ID oggetto dell'identità gestita. Questo ID oggetto è necessario quando si assegna il ruolo Mittente di messaggi di dati della coda di archiviazione nella sezione successiva.
Concedi autorizzazioni RBAC per la coda di archiviazione
Per concedere all'identità gestita dell'argomento di sistema di Griglia di eventi l'autorizzazione a inviare messaggi alla coda di archiviazione, seguire questa procedura:
Vai al tuo Account di archiviazione.
Selezionare Controllo di accesso (IAM).
Selezionare Aggiungi.
Cercare e selezionare il ruolo Mittente di messaggi di dati della coda di archiviazione (ambito: l'account di archiviazione).
Selezionare la scheda Membri e quindi Selezionare i membri.
Nel riquadro Seleziona membri, incollare l'ID oggetto dell'identità gestita assegnata dal sistema per l'argomento di sistema di Griglia di eventi.
Seleziona l'identità gestita e quindi seleziona Seleziona.
Selezionare Rivedi e assegna per completare l'assegnazione di ruolo.
Abilitare l'identità gestita nella sottoscrizione di eventi
Per abilitare l'identità gestita nella sottoscrizione di eventi, seguire questa procedura:
Aprire l'argomento Sistema griglia di eventi.
Selezionare la sottoscrizione di eventi destinata alla coda.
Selezionare la scheda Impostazioni aggiuntive .
Impostare Tipo di identità gestita su Assegnato dal sistema.
Seleziona Salva.
Controllare le metriche della sottoscrizione di Event Grid per verificare che i messaggi vengano pubblicati correttamente nella coda di archiviazione dopo questo aggiornamento.
Configurare le regole di accesso in ingresso nel profilo perimetrale di sicurezza di rete
Le regole seguenti sono necessarie per consentire a Griglia di eventi di recapitare i messaggi all'account di archiviazione, bloccando al tempo stesso l'accesso non autorizzato. A seconda del sistema che invia i dati all'account di archiviazione o accede alle risorse di archiviazione, potrebbe essere necessario aggiungere altre regole in ingresso. Esaminare lo scenario e i modelli di traffico per determinare se sono necessarie solo le regole di Griglia di eventi necessarie o altre regole NSP in ingresso e consentire il tempo per la propagazione delle regole.
Regola 1: Consentire l'abbonamento (Distribuzione di Event Grid)
Il recapito di Griglia di eventi non ha origine da indirizzi IP pubblici fissi. L'NSP convalida la consegna usando l'identità di sottoscrizione.
Passare a Network Security Perimeter (Perimetro di sicurezza di rete) e selezionare il provider di servizi di rete.
Selezionare Profili e quindi selezionare il profilo associato all'account di archiviazione.
Selezionare Regole di accesso in ingresso e quindi Aggiungi.
Immettere un nome di regola, ad esempio
Allow-Subscription.Selezionare Sottoscrizione dall'elenco a discesa Tipo di origine.
Selezionare la sottoscrizione dall'elenco a discesa Origini consentite .
Selezionare Aggiungi per creare la regola.
Nota
La visualizzazione delle regole nell'elenco può richiedere alcuni minuti dopo la creazione.
Regola 2: Consenti gli intervalli di indirizzi IP del servizio Scuba
Crea una seconda regola di accesso in ingresso.
Immettere un nome di regola, ad esempio
Allow-Scuba.Selezionare Intervalli di indirizzi IP dal menu a discesa Tipo di origine.
Aprire la pagina Download Azure service tags JSON files (Scarica file JSON dei tag del servizio).
Selezionare il cloud, ad esempio Azure Pubblico.
Selezionare il pulsante Scarica e aprire il file scaricato per ottenere l'elenco degli intervalli IP.
Trovare il tag del
Scubaservizio e copiare gli intervalli IPv4 associati.Importante
Rimuovere le virgolette dagli intervalli IP e assicurarsi che non sia presente alcuna virgola finale nell'ultima voce prima di incollarle nel campo Origini consentite . Gli intervalli dei tag di servizio si aggiornano nel tempo; aggiornateli regolarmente per mantenere aggiornate le regole.
Incollare gli intervalli IPv4 nel campo Origini consentite dopo aver rimosso virgolette e virgole finali.
Selezionare Aggiungi per creare la regola.
Convalidare e applicare
Dopo aver configurato le regole, monitorare i log di diagnostica per il perimetro di sicurezza di rete per verificare che il traffico legittimo sia consentito e che non si verificano interruzioni. Dopo aver confermato che le regole consentono correttamente il traffico necessario, è possibile passare dalla modalità di transizione alla modalità Applicata per bloccare l'accesso non autorizzato.
Modalità di transizione
Abilitare i log di diagnostica perimetrali della sicurezza di rete ed esaminare i dati di telemetria raccolti per convalidare i modelli di comunicazione prima dell'imposizione. Per altre informazioni, vedere Log di diagnostica per il perimetro di sicurezza di rete.
Applica modalità di imposizione
Una volta completata con successo la convalida, impostare la modalità di accesso su Applicata come segue:
Nella pagina Network Security Perimeter (Perimetro di sicurezza di rete) in Impostazioni selezionare Risorse associate.
Selezionare l'account di archiviazione.
Selezionare Modifica modalità di accesso.
Selezionare Applicato e quindi Salva.
Validazione successiva all'applicazione
Dopo aver impostato la modalità di accesso NSP su Applicato, monitorare attentamente l'ambiente per qualsiasi traffico bloccato che potrebbe indicare errori di configurazione. Verificare che la configurazione di Event Grid non subisca impatti esaminando le metriche della sottoscrizione dell'argomento di sistema di Event Grid.
Usare i log di diagnostica per analizzare e risolvere eventuali problemi che si verificano. Esaminare le metriche nell'account di archiviazione (operazioni in ingresso della coda ed errori) ed Event Grid (recapito riuscito) per verificare l'eventuale presenza di errori. Tornare alla modalità di transizione se si verificano interruzioni e ripetere l'indagine utilizzando i log diagnostici.
Impostare Protetto per perimetro nell'account di archiviazione (facoltativo)
L'impostazione dell'account di archiviazione su Protetto da perimetro garantisce che tutto il traffico verso l'account di archiviazione venga valutato in base alle regole del perimetro di sicurezza di rete e blocchi l'accesso alla rete pubblica.
Vai al tuo Account di archiviazione.
In Sicurezza e rete selezionare Rete.
In Accesso alla rete pubblica selezionare Gestisci.
Impostare Protetto per perimetro (con restrizioni maggiori).
Seleziona Salva.
Passaggi successivi
In questo articolo si è appreso come abilitare la sicurezza di rete nelle risorse di archiviazione integrate con il connettore di archiviazione Azure. Per altre informazioni, vedere gli articoli sul perimetro della sicurezza di rete .
- Esamina le regole di connessione dati in Informazioni di riferimento sulle regole di connessione dati di Archiviazione di Azure.
- Risolvere i problemi di rete del connettore in Risolvere i problemi relativi al connettore BLOB Archiviazione di Azure.