Zarządzanie kontrolą dostępu do sieci

Artykuł
01/03/2025

Usługa Azure Web PubSub umożliwia zabezpieczanie dostępu do punktu końcowego usługi i zarządzanie nim na podstawie typów żądań i podzestawów sieci. Podczas konfigurowania reguł kontroli dostępu do sieci tylko aplikacje wysyłające żądania z określonych sieci mogą uzyskiwać dostęp do wystąpienia usługi Azure Web PubSub.

Możesz skonfigurować usługę Azure Web PubSub, aby zabezpieczyć i kontrolować poziom dostępu do punktu końcowego usługi na podstawie typu żądania i podzestawu używanych sieci. Po skonfigurowaniu reguł sieci tylko aplikacje, które żądają danych za pośrednictwem określonego zestawu sieci, mogą uzyskiwać dostęp do zasobu Web PubSub.

Zrzut ekranu przedstawiający wykres przepływu podejmowania decyzji dotyczących kontroli dostępu do sieci.

Dostęp do sieci publicznej

Oferujemy jeden, ujednolicony przełącznik, aby uprościć konfigurację dostępu do sieci publicznej. Przełącznik ma następujące opcje:

Wyłączone: Całkowicie blokuje dostęp do sieci publicznej. Wszystkie inne reguły kontroli dostępu do sieci są ignorowane dla sieci publicznych.
Włączone: umożliwia dostęp do sieci publicznej, który jest dodatkowo regulowany przez dodatkowe reguły kontroli dostępu do sieci.

Konfigurowanie dostępu do sieci publicznej za pośrednictwem portalu
Konfigurowanie dostępu do sieci publicznej za pośrednictwem bicep

Przejdź do wystąpienia usługi Azure Web PubSub, które chcesz zabezpieczyć.
Wybierz pozycję Sieć z menu po lewej stronie. Wybierz kartę Dostęp publiczny:

Zrzut ekranu przedstawiający sposób konfigurowania dostępu do sieci publicznej.

Wybierz pozycję Wyłączone lub Włączone.
Wybierz pozycję Zapisz, aby zastosować zmiany.

Poniższy szablon wyłącza dostęp do sieci publicznej:

resource webpubsub 'Microsoft.SignalRService/WebPubSub@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    publicNetworkAccess: 'Disabled'
  }
}

Akcja domyślna

Akcja domyślna jest stosowana, gdy żadna inna reguła nie jest zgodna.

Konfigurowanie akcji domyślnej za pośrednictwem portalu
Konfigurowanie akcji domyślnej za pomocą bicep

Przejdź do wystąpienia usługi Azure Web PubSub, które chcesz zabezpieczyć.
Wybierz pozycję Kontrola dostępu do sieci z menu po lewej stronie.

Zrzut ekranu przedstawiający akcję domyślną w portalu.

Aby edytować akcję domyślną, przełącz przycisk Zezwalaj/Odmów .
Wybierz pozycję Zapisz, aby zastosować zmiany.

Poniższy szablon ustawia domyślną akcję na Denywartość .

resource webpubsub 'Microsoft.SignalRService/WebPubSub@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    networkACLs: {
        defaultAction: 'Deny'
    }
}

Reguły typów żądań

Reguły można skonfigurować tak, aby zezwalały na określone typy żądań lub odmawiały ich dla sieci publicznej i każdego prywatnego punktu końcowego.

Na przykład wywołania interfejsu API REST są zwykle wysoce uprzywilejowane. Aby zwiększyć bezpieczeństwo, możesz chcieć ograniczyć ich pochodzenie. Reguły można skonfigurować tak, aby blokowały wszystkie wywołania interfejsu API REST z sieci publicznej i zezwalały na nie tylko z określonej sieci wirtualnej.

Jeśli żadna reguła nie jest zgodna, zostanie zastosowana akcja domyślna.

Konfigurowanie reguł typów żądań za pośrednictwem portalu
Konfigurowanie reguł typów żądań za pomocą bicep

Przejdź do wystąpienia usługi Azure Web PubSub, które chcesz zabezpieczyć.
Wybierz pozycję Kontrola dostępu do sieci z menu po lewej stronie.

Zrzut ekranu przedstawiający reguły typów żądań w portalu.

Aby edytować regułę sieci publicznej, wybierz dozwolone typy żądań w obszarze Sieć publiczna.

Zrzut ekranu przedstawiający wybieranie dozwolonych typów żądań dla sieci publicznej w portalu.

Aby edytować reguły sieci prywatnych punktów końcowych, wybierz dozwolone typy żądań w każdym wierszu w obszarze Połączenia prywatnego punktu końcowego.

Zrzut ekranu przedstawiający wybieranie dozwolonych typów żądań dla prywatnych punktów końcowych w portalu.

Wybierz pozycję Zapisz, aby zastosować zmiany.

Poniższy szablon odrzuca wszystkie żądania z sieci publicznej z wyjątkiem połączeń klienta. Ponadto umożliwia tylko wywołania interfejsu API REST i wywołania śledzenia z określonego prywatnego punktu końcowego.

Nazwę połączenia prywatnego punktu końcowego można sprawdzić w zasobie podrzędnym privateEndpointConnections . Jest on generowany automatycznie przez system.

resource webpubsub 'Microsoft.SignalRService/WebPubSub@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    networkACLs: {
        defaultAction: 'Deny'
        publicNetwork: {
            allow: ['ClientConnection']
        }
        privateEndpoints: [
            {
                name: 'foo.0000aaaa-11bb-cccc-dd22-eeeeee333333'
                allow: ['RESTAPI', 'Trace']
            }
        ]
    }
}

Reguły adresów IP

Reguły adresów IP umożliwiają udzielanie lub odmawianie dostępu do określonych zakresów publicznych internetowych adresów IP. Te reguły mogą służyć do zezwalania na dostęp do niektórych usług internetowych i sieci lokalnych lub blokowania ogólnego ruchu internetowego.

Obowiązują następujące ograniczenia:

Można skonfigurować maksymalnie 30 reguł.
Zakresy adresów muszą być określone przy użyciu notacji CIDR, takiej jak 16.17.18.0/24. Obsługiwane są adresy IPv4 i IPv6.
Reguły adresów IP są oceniane w kolejności, w której są zdefiniowane. Jeśli żadna reguła nie jest zgodna, zostanie zastosowana akcja domyślna.
Reguły adresów IP dotyczą tylko ruchu publicznego i nie mogą blokować ruchu z prywatnych punktów końcowych.

Konfigurowanie reguł adresów IP za pośrednictwem portalu
Konfigurowanie reguł adresów IP za pośrednictwem bicep

Przejdź do wystąpienia usługi Azure Web PubSub, które chcesz zabezpieczyć.
Wybierz pozycję Sieć z menu po lewej stronie. Wybierz kartę Reguły kontroli dostępu:
Edytuj listę w sekcji Reguły adresów IP.
Wybierz pozycję Zapisz, aby zastosować zmiany.

Poniższy szablon ma następujące efekty:

Żądania od 123.0.0.0/8 i 2603::/8 są dozwolone.
Żądania ze wszystkich innych zakresów adresów IP są odrzucane.

resource webpubsub 'Microsoft.SignalRService/WebPubSub@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    networkACLs: {
      defaultAction: 'Deny'
      ipRules: [
        {
          value: '123.0.0.0/8'
          action: 'Allow'
        }
        {
          value: '2603::/8'
          action: 'Allow'
        }
        {
          value: '0.0.0.0/0'
          action: 'Deny'
        }
        {
          value: '::/0'
          action: 'Deny'
        }
      ]
    }
  }
}

Następne kroki

Dowiedz się więcej na temat usługi Azure Private Link.

Udostępnij za pośrednictwem