Freigeben über


Übergang zu einem Netzwerksicherheitsperimeter in Azure

In diesem Artikel erfahren Sie mehr über die verschiedenen Zugriffsmodi und den Übergang zu einem Netzwerksicherheitsperimeter in Azure. Zugriffsmodi steuern das Zugriffs- und Protokollierungsverhalten der Ressource.

Zugriffsmoduskonfigurationspunkt für Ressourcenzuordnungen

Der Konfigurationspunkt für den Zugriffsmodus ist Teil einer Ressourcenzuordnung auf dem Perimeter und kann daher vom Administrator des Perimeters festgelegt werden.

Die Eigenschaft accessMode kann in einer Ressourcenzuordnung festgelegt werden, um den öffentlichen Netzwerkzugriff der Ressource zu steuern.

Die möglichen Werte von accessMode sind derzeit Erzwungen und Lernen.

Zugriffsmodus Beschreibung
Weiterbildung Dies ist der Standardzugriffsmodus. Die Auswertung in diesem Modus verwendet die Konfiguration des Netzwerksicherheitsperimeters als Basisplan, aber wenn keine übereinstimmende Regel gefunden wird, greift die Auswertung auf die Konfiguration der Ressourcenfirewall zurück, die dann den Zugriff mit vorhandenen Einstellungen genehmigen kann.
Erzwungen Wenn sie explizit festgelegt ist, befolgt die Ressource nur die Zugriffsregeln für den Netzwerksicherheitsperimeter.

Verhindern von Verbindungsunterbrechungen beim Einführen des Netzwerksicherheitsperimeters

Aktivieren des Lernmodus

Um unerwünschte Verbindungsunterbrechungen während der Einführung des Netzwerksicherheitsperimeters an vorhandene PaaS-Ressourcen zu verhindern und einen reibungslosen Übergang zu sicheren Konfigurationen sicherzustellen, können Administratoren PaaS-Ressourcen zum Netzwerksicherheitsperimeter im Lernmodus hinzufügen. Während dieser Schritt die PaaS-Ressourcen nicht sichert, wird folgendes ermöglicht:

  • Zulassen, dass Verbindungen in Übereinstimmung mit der Konfiguration der Netzwerksicherheitsperimeter hergestellt werden. Darüber hinaus berücksichtigen Ressourcen in diesem Konfigurationsfallback die ressourcendefinierten Firewallregeln und das Verhalten des vertrauenswürdigen Zugriffs, wenn Verbindungen aufgrund der Zugriffsregeln für den Netzwerksicherheitsperimeter nicht zulässig sind.
  • Wenn Diagnoseprotokolle aktiviert sind, werden Protokolle generiert, die darauf eingehen, ob Verbindungen basierend auf der Konfiguration des Netzwerksicherheitsperimeters oder der Konfiguration der Ressource genehmigt wurden. Administratoren können diese Protokolle dann analysieren, um Lücken in Zugriffsregeln, fehlende Perimetermitgliedschaften und unerwünschte Verbindungen zu identifizieren.

Wichtig

Die Verwendung von PaaS-Ressourcen im Lernmodus sollte nur als Übergangsschritt dienen. Böswillige Akteure können unsichere Ressourcen zum Exfiltrieren von Daten ausnutzen. Daher ist es wichtig, so schnell wie möglich zu einer vollständig sicheren Konfiguration zu wechseln, wobei der Zugriffsmodus auf Erzwungen festgelegt wird.

Übergang zum erzwungenen Modus für vorhandene Ressourcen

Um den öffentlichen Zugriff vollständig zu sichern, ist es wichtig, in den erzwungenen Modus im Perimeter der Netzwerksicherheit zu wechseln. Dinge, die Sie berücksichtigen sollten, bevor Sie in den erzwungenen Modus wechseln, sind die Auswirkungen auf den öffentlichen, privaten, vertrauenswürdigen und Perimeterzugriff. Im erzwungenen Modus kann das Verhalten des Netzwerkzugriffs auf zugeordnete PaaS-Ressourcen über verschiedene Arten von PaaS-Ressourcen wie folgt zusammengefasst werden:

  • Öffentlicher Zugriff: Der öffentliche Zugriff bezieht sich auf eingehende oder ausgehende Anforderungen, die über öffentliche Netzwerke getätigt werden. PaaS-Ressourcen, die durch einen Netzwerksicherheitsperimeter gesichert sind, haben standardmäßig den eingehenden und ausgehenden öffentlichen Zugriff deaktiviert. Zugriffsregeln für Netzwerksicherheitsperimeter können jedoch verwendet werden, um den öffentlichen Datenverkehr selektiv zuzulassen, der ihnen entspricht.
  • Perimeterzugriff: Der Perimeterzugriff bezieht sich auf eingehende oder ausgehende Anforderungen zwischen den Ressourcen, die Teil desselben Netzwerksicherheitsperimeters sind. Um die Dateninfiltration und -exfiltration zu verhindern, überschreitet dieser Perimeterdatenverkehr niemals Perimetergrenzen, es sei denn, er wurde explizit als öffentlicher Datenverkehr sowohl an der Quelle als auch am Ziel im erzwungenen Modus genehmigt. Der verwalteten Identität müssen Ressourcen für den Perimeterzugriff zugewiesen werden.
  • Vertrauenswürdiger Zugriff: Der Zugriff auf vertrauenswürdige Dienste bezieht sich auf einige Azure-Dienste, die den Zugriff über öffentliche Netzwerke ermöglichen, wenn ihr Ursprung bestimmte Azure-Dienste sind, die als vertrauenswürdig eingestuft werden. Da der Netzwerksicherheitsperimeter eine differenziertere Kontrolle als vertrauenswürdigen Zugriff bietet, wird der vertrauenswürdige Zugriff im erzwungenen Modus nicht unterstützt.
  • Privater Zugriff: Der Zugriff über private Links wirkt sich nicht auf den Netzwerksicherheitsperimeter aus.

Verschieben neuer Ressourcen in den Netzwerksicherheitsperimeter

Der Netzwerksicherheitsperimeter unterstützt standardmäßig ein sicheres Verhalten, indem eine neue Eigenschaft unter publicNetworkAccess namens SecuredbyPerimeter eingeführt wird. Wenn sie festgelegt, sperrt es den öffentlichen Zugriff und verhindert, dass PaaS-Ressourcen für öffentliche Netzwerke verfügbar gemacht werden.

Wenn publicNetworkAccess bei der Ressourcenerstellung auf SecuredByPerimeter festgelegt ist, wird die Ressource auch dann im Sperrmodus erstellt, wenn sie keinem Perimeter zugeordnet ist. Wenn dies konfiguriert ist, ist nur Private Link-Datenverkehr zulässig. Sobald sie einem Perimeter zugeordnet sind, steuert der Netzwerksicherheitsperimeter das Verhalten des Ressourcenzugriffs. Die folgende Tabelle fasst das Zugriffsverhalten in verschiedenen Modi und Konfigurationen für den Zugriff auf öffentliche Netzwerke zusammen:

Zuordnungszugriffsmodus Nicht zugeordnet Lernmodus Erzwungener Modus
Zugriff aus öffentlichen Netzwerken
Aktiviert Eingehend: Ressourcenregeln

Ausgehend Zulässig
Eingehend: Netzwerksicherheitsperimeter + Ressourcenregeln
Ausgehend Netzwerksicherheitsperimeterregeln + Zulässig
Eingehend: Netzwerksicherheitsperimeterregeln
Ausgehend Netzwerksicherheitsperimeterregeln
Disabled Eingehend: Verweigert

Ausgehend: Zulässig
Eingehend: Netzwerksicherheitsperimeterregeln
Ausgehend: Netzwerksicherheitsperimeterregeln + Zulässig
Eingehend: Netzwerksicherheitsperimeterregeln
Ausgehend: Netzwerksicherheitsperimeterregeln
SecuredByPerimeter Eingehend: Abgelehnt

Ausgehend: Verweigert
Eingehend: Netzwerksicherheitsperimeterregeln

Ausgehend: Netzwerksicherheitsperimeterregeln
- Eingehend: Netzwerksicherheitsperimeterregeln
- Ausgehend: Netzwerksicherheitsperimeterregeln

Schritte zum Konfigurieren von publicNetworkAccess- und accessMode-Eigenschaften

Sowohl die Eigenschaft publicNetworkAccess als auch accessMode kann mithilfe des Azure-Portals festgelegt werden, indem Sie die folgenden Schritte ausführen:

  1. Navigieren Sie im Azure-Portal zu Ihrer Netzwerksicherheitsperimeterressource.

  2. Wählen Sie Einstellungen>Ressourcen aus, um die Liste der Ressourcen anzuzeigen, die dem Perimeter zugeordnet sind.

  3. Wählen Sie ... (Auslassungspunkte) neben der Ressource aus, die Sie konfigurieren möchten.

    Screenshot der Seite „Ressourcen“ mit den für die Ressource ausgewählten Verwaltungsoptionen.

  4. Wählen Sie im Dropdownmenü Konfigurieren des öffentlichen Netzwerkzugriffs aus und wählen Sie dann den gewünschten Zugriffsmodus aus den drei verfügbaren Optionen aus: Aktiviert, Deaktiviert oder SecuredByPerimeter.

    Screenshot der Einstellungen für den Zugriff auf öffentliche Netzwerke mit Zugriffsmodusoptionen.

  5. Um den Zugriffsmodus festzulegen, wählen Sie im Dropdownmenü den Zugriffsmodus konfigurieren aus und wählen Sie dann den gewünschten Zugriffsmodus aus den beiden verfügbaren Optionen aus: Lernen oder Erzwungen.

    Screenshot der Zugriffsmoduseinstellungen mit Zugriffsmodusoptionen.

Nächste Schritte