Dela via

Konfigurera Azure Monitor med nätverkssäkerhetsperimeter

Den här artikeln innehåller processen för att konfigurera en nätverkssäkerhetsperimeter för Azure Monitor-resurser. Nätverkssäkerhetsperimeter är en funktion för nätverksisolering som tillhandahåller en säker perimeter för kommunikation mellan PaaS-tjänster som distribueras utanför ett virtuellt nätverk. Dessa PaaS-tjänster kan kommunicera med varandra inom perimetern och kan även kommunicera med resurser utanför perimetern med hjälp av offentliga regler för inkommande och utgående åtkomst.

Med nätverkssäkerhetsperimetern kan du styra nätverksåtkomsten med hjälp av inställningar för nätverksisolering under Azure Monitor-resurser som stöds. När en nätverkssäkerhetsperimeter har konfigurerats kan du utföra följande åtgärder:

  • Kontrollera nätverksåtkomsten till dina Azure Monitor-resurser som stöds baserat på regler för inkommande och utgående åtkomst som definierats för nätverkssäkerhetsperimetern.
  • Logga all nätverksåtkomst till dina Azure Monitor-resurser som stöds.
  • Blockera dataexfiltrering till tjänster som inte finns i nätverkssäkerhetsperimetern.

Tips/Råd

Vägledning om hur du övergår azure monitor-resurser till en nätverkssäkerhetsperimeter finns i Övergång till en nätverkssäkerhetsperimeter i Azure.

Regioner

Azure Network Security Perimeter är tillgängligt i alla offentliga molnregioner där Azure Monitor stöds.

Aktuella begränsningar

  • För Log Analytics-exportscenarier med lagringskonton/händelsehubbar måste både Log Analytics-arbetsytan och lagringskontot/händelsehubben ingå i samma perimeter.
  • Endast Azure-resurser som stöder nätverkssäkerhetsperimeter kan använda en diagnostikinställning med ett mål i en nätverkssäkerhetsperimeter. Resursen som övervakas måste också finnas i samma nätverkssäkerhetsperimeter som målet.
  • Resurser för globala åtgärdsgrupper stöder inte nätverkssäkerhetsperimeter. Du måste skapa resurser för regionala åtgärdsgrupper som stöder nätverkssäkerhetsperimeter.
  • Förfrågningar över olika resurser blockeras för Log Analytics-arbetsytor som är kopplade till en nätverkssäkerhetsgräns. Detta inkluderar åtkomst till arbetsytan via ett ADX-kluster.
  • Åtkomstloggar för nätverkssäkerhetsperimeter samplas var 30:e minut.
  • Replikering av Log Analytics-arbetsytan stöds inte.
  • Inmatning av händelser från Azure Event Hubs stöds inte.
  • Insamling och frågekörning av data med en Azure Monitor-arbetsytor stöds inte.

Anmärkning

Dessa begränsningar gäller även för Sentinel-aktiverade Log Analytics-arbetsytor.

Komponenter som stöds

De komponenter i Azure Monitor som stöds med nätverkssäkerhetsperimeter visas i följande tabell med den lägsta API-versionen. Se Omhändertagna privata länkresurser för en lista över andra Azure-tjänster som stöds med nätverkssäkerhetsperimeter.

Resurs Resurstyp API-version
Datainsamlingsslutpunkt (DCE) Microsoft.Insights/datainsamlingsändpunkter 2023-03-11
Log Analytics-arbetsyta Microsoft.OperationalInsights/workspaces 2023-09-01
Logga frågeaviseringar Microsoft.Insights/ScheduledQueryRules 2022-08-01-förhandsgranskning
Åtgärdsgrupper 12 Microsoft.Insights/actionGroups 2023-05-01
Diagnostikinställningar Insikter/diagnosticSettings 2021-05-01-förhandsversion

1 Nätverkssäkerhetsperimeter fungerar endast med regionala åtgärdsgrupper. Globala åtgärdsgrupper använder som standard offentlig nätverksåtkomst.

2 Händelsehubb är för närvarande den enda åtgärdstypen som stöds för nätverkssäkerhetsperimeter. Alla andra åtgärder har som standardinställning att använda offentliga nätverk.

Komponenter som inte stöds

Följande komponenter i Azure Monitor stöds inte med en nätverkssäkerhetsperimeter:

  • Application Insights Profiler för .NET och Snapshot Debugger
  • Log Analytics-kundhanterad nyckel
  • Resursövergripande förfrågningar som innehåller alla Log Analytics-arbetsytor kopplade till en nätverkssäkerhetsperimeter
  • Azure Monitor-arbetsyta (för Managed Prometheus-metriker)

Anmärkning

För Application Insights konfigurerar du nätverkssäkerhetsperimeter för Log Analytics-arbetsytan som används för Application Insights-resursen.

Skapa en nätverkssäkerhetsperimeter

Skapa en nätverkssäkerhetsperimeter med hjälp av Azure Portal, Azure CLI eller PowerShell.

Lägga till Log Analytics-arbetsyta i en nätverkssäkerhetsperimeter

  1. På menyn Nätverkssäkerhetsperimeter i Azure Portal väljer du din nätverkssäkerhetsperimeter.

  2. Välj Resurser och sedan Lägg till ->Associera resurser med en befintlig profil.

    Skärmbild av hur du associerar en resurs med en profil för nätverkssäkerhetsperimeter i Azure Portal.

  3. Välj den profil som du vill associera med Log Analytics-arbetsyteresursen.

  4. Välj Associera och välj sedan Log Analytics-arbetsytan.

  5. Välj Associera längst ned till vänster på skärmen för att skapa associationen med nätverkssäkerhetsperimetern.

    Skärmbild av hur du associerar en arbetsyta med en profil för nätverkssäkerhetsperimeter i Azure Portal.

Viktigt!

När du överför en Log Analytics-arbetsyta mellan resursgrupper eller prenumerationer länkar du den till nätverkssäkerhetsperimetern för att behålla säkerhetsprinciper. Om arbetsytan tas bort ska du även ta bort dess associationer från nätverkssäkerhetsperimetern.

Åtkomstregler för Log Analytics-arbetsyta

En perimeterprofil för nätverkssäkerhet anger regler som tillåter eller nekar åtkomst via perimetern. Inom perimetern har alla resurser ömsesidig åtkomst på nätverksnivå, även om de fortfarande omfattas av autentisering och auktorisering. För resurser utanför nätverkssäkerhetsperimetern måste du ange regler för inkommande och utgående åtkomst. Regler för inkommande trafik anger vilka anslutningar som ska tillåtas i och utgående regler anger vilka begäranden som tillåts ut.

Anmärkning

Alla tjänster som är associerade med en nätverkssäkerhetsperimeter tillåter implicit inkommande och utgående åtkomst till alla andra tjänster som är associerade med samma nätverkssäkerhetsperimeter när den åtkomsten autentiseras med hjälp av hanterade identiteter och rolltilldelningar. Åtkomstregler behöver bara skapas när åtkomst tillåts utanför nätverkssäkerhetsperimetern eller för åtkomst som autentiseras med hjälp av API-nycklar.

Lägga till en regel för nätverkssäkerhetsperimeter för inkommande åtkomst

Regler för nätverkssäkerhetsperimeter för inkommande åtkomst kan göra det möjligt för Internet och resurser utanför perimetern att ansluta med resurser inom perimetern.

Nätverkssäkerhetsperimeter stöder två typer av regler för inkommande åtkomst:

  • IP-adressintervall. IP-adresser eller intervall måste vara i formatet Klasslös routning mellan domäner (CIDR). Ett exempel på CIDR-notation är 8.8.8.0/24, som representerar IP-adresser som sträcker sig från 8.8.8.0 till 8.8.8.255. Den här typen av regel tillåter inkommande trafik från alla IP-adresser inom intervallet.
  • Prenumerationer. Den här typen av regel tillåter inkommande åtkomst som autentiseras med hjälp av en hanterad identitet från prenumerationen.

Använd följande process för att lägga till en regel för nätverkssäkerhetsperimeter för inkommande åtkomst med hjälp av Azure-portalen:

  1. Gå till nätverkssäkerhetsperimeterresursen i Azure Portal.

  2. Välj Profiler och sedan den profil som du använder med nätverkssäkerhetsperimetern.

    Skärmbild av nätverkssäkerhetsperimeterprofiler i Azure Portal.

  3. Välj Regler för inkommande åtkomst.

    Skärmbild av regler för inkommande åtkomst i nätverkssäkerhetsprofilen i Azure Portal.

  4. Klicka på Lägg till eller Lägg till regel för inkommande åtkomst. Ange eller välj följande värden:

    Inställning Värde
    Regelnamn Namnet på regeln för inkommande åtkomst. Till exempel MyInboundAccessRule.
    Källtyp Giltiga värden är IP-adressintervall eller prenumerationer.
    Tillåtna källor Om du har valt IP-adressintervall anger du DET IP-adressintervall i CIDR-format som du vill tillåta inkommande åtkomst från. Azure IP-intervall är tillgängliga i Azure IP-intervall och tjänsttaggar – offentligt moln. Om du har valt Prenumerationer använder du den prenumeration som du vill tillåta inkommande åtkomst från.

  5. Klicka på Lägg till för att skapa regeln för inkommande åtkomst.

    Skärmbild av nätverkssäkerhetsprofilens nya regel för inkommande åtkomst i Azure Portal.

Lägga till en regel för utgående åtkomst för nätverkssäkerhetsperimeter

Med dataexport på en Log Analytics-arbetsyta kan du kontinuerligt exportera data för vissa tabeller på din arbetsyta. Du kan exportera till Azure Storage eller Azure Event Hubs när data kommer till en Azure Monitor-pipeline.

En Log Analytics-arbetsyta inom en säkerhetsperimeter kan bara exportera till lagringskonton och händelsehubbar i samma perimeter. Andra mål kräver en regel för utgående åtkomst baserat på målets fullständigt kvalificerade domännamn (FQDN).

Använd följande process för att lägga till en utgående åtkomstregel för nätverkssäkerhetsperimeter med hjälp av Azure-portalen:

  1. Gå till nätverkssäkerhetsperimeterresursen i Azure Portal.

  2. Välj Profiler och sedan den profil som du använder med nätverkssäkerhetsperimetern.

    Skärmbild av nätverkssäkerhetsperimeterprofiler i Azure Portal.

  3. Välj Regler för utgående åtkomst.

  4. Klicka på Lägg till eller Lägg till regel för utgående åtkomst. Ange eller välj följande värden:

    Inställning Värde
    Regelnamn Namnet på regeln för utgående åtkomst. Till exempel MyOutboundAccessRule.
    Destinationstyp Lämna som FQDN.
    Tillåtna mål Ange en kommaavgränsad lista över FQDN:er som du vill tillåta utgående åtkomst till.

  5. Välj Lägg till för att skapa regeln för utgående åtkomst.

    Skärmbild av nätverkssäkerhetsprofilens nya regel för utgående åtkomst i Azure Portal.

Samla in åtkomstloggar

Resursloggar ger insikter om driften av nätverkssäkerhetsperimeter och hjälper till att diagnostisera eventuella problem. Mer information om hur du skapar en diagnostikinställning för att samla in resursloggar för en nätverkssäkerhetsperimeter finns i Resursloggar för nätverkssäkerhetsperimeter .

Nästa steg