你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
网络安全外围 允许组织为部署在其虚拟网络外部的 PaaS 资源(例如 Azure Blob 存储和 SQL 数据库)定义逻辑网络隔离边界。 该功能限制了公用网络对外围外的 PaaS 资源的访问。 但是,可以通过对公共入站和出站流量使用明确的访问规则来豁免访问。 这有助于防止不需要的数据从存储资源外泄。 在网络安全外围内,成员资源可以自由地相互通信。 网络安全外围规则优先于存储帐户自己的防火墙设置。 从外围访问优先于其他网络限制。
可 在此处找到载入到网络安全外围的服务列表。 如果未列出服务,则尚未加入该服务。 若要允许从非载入服务访问特定资源,可以为网络安全外围创建基于订阅的规则。 基于订阅的规则授予对该订阅中的所有资源的访问权限。 有关如何添加基于订阅的访问规则的详细信息,请参阅 本文档。
访问模式
将存储帐户加入网络安全外围时,可以在过渡模式(以前是学习模式)中启动,也可以直接转到 “强制”模式。 转换模式(默认值)允许存储帐户回退到其现有的防火墙规则或 “受信任的服务” 设置(如果外围规则尚不允许连接)。 强制模式严格阻止所有公共入站和出站流量,除非网络安全外围规则明确允许,从而确保对存储帐户的最大保护。 在强制模式下,即使是 Azure 的“信任的服务”例外也不能被执行。 如果需要,必须通过外围规则显式允许相关的 Azure 资源或特定订阅。
Important
在过渡(以前称为学习)模式下使用存储帐户应仅作为一个过渡步骤。 恶意参与者可能会利用不安全的资源以使数据外泄。 因此,在访问模式设置为 “强制”的情况下,尽快过渡到完全安全的配置至关重要。
网络优先级
当存储帐户是网络安全外围的一部分时,相关 配置文件 的访问规则将替代帐户自己的防火墙设置,成为顶级网络守护程序。 网络边界允许或拒绝的访问具有优先权,当存储帐户在强制模式下关联时,将绕过帐户的“允许网络”设置。 将存储帐户从网络安全外围移除后,其控制将恢复到常规防火墙。 网络安全外围不会影响专用终结点流量。 通过专用链接建立的连接始终成功。 对于内部 Azure 服务(“受信任的服务”),只有显式接入到网络安全外围的服务才能通过外围访问规则被允许。 否则,即使在存储帐户的防火墙规则中已配置为信任,默认情况下也会阻止其流量。 对于尚未加入的服务,替代项包括入站和完全限定域名 (FQDN) 的订阅级规则,用于出站访问或通过专用链接。
Important
专用终结点流量被视为高度安全,因此不受网络安全外围规则的约束。 如果存储帐户与外围关联,则所有其他流量(包括受信任的服务)都受网络安全外围规则的约束。
网络安全外围下的功能覆盖范围
当存储帐户与网络安全外围关联时,除非根据已知限制指定,否则支持 Blob、文件、表和队列的所有标准数据平面操作。 Azure Blob 存储、Azure Data Lake Storage Gen2、Azure 文件存储、Azure 表存储和 Azure 队列存储的所有基于 HTTPS 的操作都可以通过网络安全边界进行限制。
Limitations
| Feature | 支持状态 | Recommendations |
|---|---|---|
| Azure Blob 存储的对象复制 | 不提供支持。 如果源帐户或目标帐户与网络安全外围关联,存储帐户之间的对象复制将失败 | 不要在需要对象复制的存储帐户上配置网络安全外围。 同样,在支持可用之前,不要在与网络安全外围关联的帐户上启用对象复制。 如果已启用对象复制,则无法关联网络安全边界。 同样,如果网络安全边界已关联,无法启用对象复制。 此限制可防止你配置不受支持的方案。 |
| 通过 Azure Blob 和 Azure 文件 进行网络文件系统(NFS)访问,通过 Azure 文件进行服务器消息块(SMB)访问,以及通过 SSH 文件传输协议(SFTP) 进行 Azure Blob 访问 | 当存储帐户与网络安全外围关联时,除基于 HTTPS 的访问之外的所有协议都会被阻止 | 如果需要使用这些协议中的任何一种来访问存储帐户,请不要将该帐户与网络安全外围相关联 |
| Azure 备份 | 不支持。 Azure 备份服务尚未集成到网络安全防护体系。 | 如果启用了备份,或者计划使用 Azure 备份,我们建议不要将帐户与网络安全外围相关联。 将 Azure 备份加入网络安全外围后,可以一起使用这两项功能 |
| 非托管磁盘 | 非托管磁盘 不遵循网络安全外围规则。 | 避免在受网络安全外围保护的存储帐户上使用非托管磁盘 |
| 静态网站 | 不支持 | 静态网站在本质上是开放的,不能与网络安全外围一起使用。 如果已启用静态网站,则无法关联网络安全外围。 同样,如果已关联网络安全外围,则无法启用静态网站。 此限制可防止你配置不受支持的方案。 |
Warning
对于与网络安全外围关联的存储帐户,若要使客户管理的密钥(CMK)方案正常工作,请确保可从存储帐户关联的外围访问 Azure Key Vault。
将网络安全外围与存储帐户相关联
若要将网络安全外围与存储帐户相关联,请遵循所有 PaaS 资源的 这些常见说明 。
后续步骤
- 详细了解 Azure 网络服务终结点。
- 深入了解适用于 Azure Blob 存储的安全建议。