你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本文提供了为 Azure Monitor 资源配置 网络安全外围 的过程。 网络安全外围是一项网络隔离功能,它为部署在虚拟网络外部的 PaaS 服务之间的通信提供一个安全外围。 这些 PaaS 服务可以在外围内相互通信,还可以使用公共入站和出站访问规则与外围外部的资源通信。
通过网络安全外围,可以在受支持的 Azure Monitor 资源下使用网络隔离设置来控制网络访问。 配置网络安全外围后,可以执行以下操作:
- 根据网络安全外围定义的入站和出站访问规则,控制对支持的 Azure Monitor 资源的网络访问。
- 记录对受支持的 Azure Monitor 资源的所有网络访问。
- 阻止向不在网络安全外围的服务外泄任何数据。
小窍门
有关将 Azure Monitor 资源转换为网络安全外围的指导,请参阅 过渡到 Azure 中的网络安全外围。
区域
Azure 网络安全外围在支持 Azure Monitor 的所有区域中都可用。
当前限制
- 对于包含存储帐户/事件中心的 Log Analytics 导出方案,Log Analytics 工作区和存储帐户/事件中心都必须属于同一外围。
- 只有支持网络安全外围的 Azure 资源才能将诊断设置与网络安全外围中的目标配合使用。 所监视的资源还必须位于与目标相同的网络安全外围中。
- 全局操作组资源不支持网络安全外围。 必须创建支持网络安全外围的区域操作组资源。
- 对于与网络安全外围关联的 Log Analytics 工作区,会阻止跨资源查询。 这包括通过 ADX 群集访问工作区。
- 每隔 30 分钟采样一次网络安全外围访问日志。
- 不支持 Log Analytics 工作区复制 。
- 不支持从 Azure 事件中心引入事件。
- 不支持将数据收集到 Azure Monitor 工作区或从 Azure Monitor 工作区 查询数据。
注释
如果 Log Analytics 工作区与网络安全外围关联,则相同的限制和配置要求适用于 Microsoft Sentinel 工作负荷。
支持的组件
下表中列出了网络安全外围支持的 Azure Monitor 组件及其最低 API 版本。 有关网络安全外围支持的其他 Azure 服务的列表,请参阅载入的专用链接资源。
| 资源 | 资源类型 | API 版本 |
|---|---|---|
| 数据收集终结点 (DCE) | Microsoft.Insights/dataCollectionEndpoints | 2023-03-11 |
| Log Analytics 工作区 | Microsoft.OperationalInsights/workspaces | 2023-09-01 |
| 日志查询警报 | Microsoft.Insights/ScheduledQueryRules | 2022-08-01-预览 |
| 操作组 12 | Microsoft.Insights/actionGroups | 2023-05-01 |
| 诊断设置 | Microsoft.Insights/diagnosticSettings | 2021-05-01-预览版 |
1 网络安全外围仅适用于区域操作组。 全局操作组默认为公用网络访问。
2 今天,事件中心是网络安全边界唯一受支持的操作类型。 所有其他操作默认为公用网络访问。
不支持的组件
网络安全外围不支持以下 Azure Monitor 组件:
- 用于 .NET 的 Application Insights Profiler 和 Snapshot Debugger
- Log Analytics 客户管理的密钥
- 包含与网络安全外围关联的任何 Log Analytics 工作区的跨资源查询
- Azure Monitor 工作区(用于托管 Prometheus 指标)
注释
对于 Application Insights,请为用于 Application Insights 资源的 Log Analytics 工作区配置网络安全边界。
创建网络安全外围
使用 Azure 门户、Azure CLI 或 PowerShell 创建网络安全外围。
将 Log Analytics 工作区添加到网络安全边界
在 Azure 门户中的“网络安全外围”菜单中,选择你的网络安全外围。
选择资源,然后选择添加 - >将资源与现有配置文件关联。
选择要与 Log Analytics 工作区资源关联的配置文件。
选择关联,然后选择 Log Analytics 工作区。
选择屏幕左下角的“关联”,创建与网络安全外围的关联。
重要
在资源组或订阅之间传输 Log Analytics 工作区时,将其链接到网络安全外围 (NSP),以保留安全策略。 如果删除工作区,请确保还会从网络安全外围中移除其关联。”
访问 Log Analytics 工作区的规则
网络安全外围配置文件指定允许或拒绝通过外围访问的规则。 在外围内,所有资源都可在网络级别上相互访问,尽管仍然需要进行身份验证和授权。 对于网络安全外围以外的资源,必须指定入站和出站访问规则。 入站规则指定允许哪些连接进入,出站规则指定允许哪些请求发出。
注释
在使用托管标识和角色分配对入站和出站访问进行身份验证时,与网络安全外围关联的任何服务都隐式地允许访问与同一网络安全外围关联的任何其他服务。 仅当允许在网络安全外围以外进行访问或使用 API 密钥进行身份验证的访问时,才需要创建访问规则。
添加网络安全外围入站访问规则
网络安全外围入站访问规则可以允许外围以外的 Internet 和资源与外围内的资源连接。
网络安全外围支持两种类型的入站访问规则:
- IP 地址范围。 IP 地址或范围必须采用无类别域际路由 (CIDR) 格式。 CIDR 表示法的示例是 8.8.8.0/24,它表示范围从 8.8.8.0 到 8.8.8.255 的 IP。 这种类型的规则允许来自准许范围内任何 IP 地址的入站访问。
- 订阅。 使用订阅中任何托管标识进行身份验证的入站访问受到此类规则的允许。
使用以下过程,在 Azure 门户中添加网络安全区域的入站访问规则:
在 Azure 门户中导航到网络安全外围资源。
选择“配置文件”,然后选择与网络安全外围配合使用的配置文件。
选择入站访问规则。
单击“添加”或“添加入站访问规则”。 输入或选择下列值:
设置 价值 规则名称 入站访问规则的名称。 例如,MyInboundAccessRule。 源类型 有效值为 IP 地址范围或订阅。 允许的源 如果选择了 IP 地址范围,请输入允许从中入站访问的 CIDR 格式的 IP 地址范围。 可在 Azure IP 范围和服务标记 - 公有云中获取 Azure IP 范围。 如果选择了“订阅”,请使用你要从中允许入站访问的订阅。 单击“添加”来创建入站访问规则。
添加网络安全外围出站访问规则
借助 Log Analytics 工作区中的数据导出,可以连续导出工作区中特定表的数据。 数据到达 Azure Monitor 管道时,可以将其导出到 Azure 存储帐户或 Azure 事件中心。
安全外围内的 Log Analytics 工作区只能导出到同一外围中的存储和事件中心。 如果是其他目标,则需要基于目标的完全限定的域名 (FQDN) 的出站访问规则。
使用以下过程通过 Azure 门户添加网络安全外围出站访问规则:
在 Azure 门户中导航到网络安全外围资源。
选择“配置文件”,然后选择与网络安全外围配合使用的配置文件。
选择“出站访问规则”。
单击“添加”或“添加出站访问规则”。 输入或选择下列值:
设置 价值 规则名称 出站访问规则的名称。 例如,MyOutboundAccessRule。 目标类型 保留为 FQDN。 允许的目标 输入允许对其进行出站访问的 FQDN 的逗号分隔列表。 选择“添加”以创建出站访问规则。
收集访问日志
用于提供网络安全外围操作的见解并帮助诊断任何问题的资源日志。 有关创建诊断设置以收集网络安全外围资源日志的详细信息,请参阅 网络安全外围 的资源日志。
后续步骤
- 详细了解 Azure 中的网络安全外围。
- 参考过渡到 Azure 中的网络安全外围,根据指导过渡资源。