Virtuális hálózati szolgáltatáscímkék

A szolgáltatáscímke egy adott Azure-szolgáltatás IP-címelőtagjainak egy csoportját jelöli. A Microsoft kezeli a szolgáltatáscímke által magában foglalt címelőtagokat, és automatikusan frissíti a szolgáltatáscímkét a címek változásakor, ezzel minimalizálva a hálózati biztonsági szabályok gyakori frissítéseinek összetettségét.

Szolgáltatáscímkék használatával hálózati hozzáférés-vezérlést határozhat meg a hálózati biztonsági csoportokon, a Azure Firewall és a felhasználó által megadott útvonalakon. Biztonsági szabályok és útvonalak létrehozásakor használjon szolgáltatáscímkéket adott IP-címek helyett. A biztonsági szabály megfelelő forrás- vagy célmezőjében a szolgáltatáscímke nevének (például ApiManagement) megadásával engedélyezheti vagy letilthatja a megfelelő szolgáltatás forgalmát. Ha megadja a szolgáltatáscímke nevét egy útvonal címelőtagjában, a szolgáltatáscímke által beágyazott előtagok forgalmát a kívánt következő ugrási típusra irányíthatja.

Megjegyzés

2022 márciusától a szolgáltatáscímkék használata explicit címelőtagok helyett a felhasználó által megadott útvonalakon nem előzetes verziójú, és általánosan elérhető.

A szolgáltatáscímkék használatával hálózatelkülönítést érhet el, és megvédheti Azure-erőforrásait az általános internetről, miközben hozzáférhet a nyilvános végpontokkal rendelkező Azure-szolgáltatásokhoz. Hozzon létre bejövő/kimenő hálózati biztonságicsoport-szabályokat az internetről érkező és kimenő forgalom letiltásához, valamint az AzureCloudba vagy adott Azure-szolgáltatások más elérhető szolgáltatáscímkékbe irányuló és onnan érkező forgalom engedélyezéséhez.

Network isolation of Azure services using service tags

Elérhető szolgáltatáscímkék

Az alábbi táblázat a hálózati biztonsági csoportok szabályaiban használható összes szolgáltatáscímkét tartalmazza.

Az oszlopok jelzik, hogy a címke:

  • A bejövő vagy kimenő forgalmat lefedő szabályokhoz alkalmas.
  • Támogatja a regionális hatókört.
  • Használható Azure Firewall szabályokban.

Alapértelmezés szerint a szolgáltatáscímkék a teljes felhő tartományait tükrözik. Egyes szolgáltatáscímkék részletesebb szabályozást is lehetővé teszik, mivel a megfelelő IP-címtartományokat egy adott régióra korlátozza. A szolgáltatáscímke például Storage a teljes felhőhöz tartozó Azure-Storage jelöli, de Storage. A WestUS a tartományt csak a WestUS-régió tárolási IP-címtartományára szűkíti. Az alábbi táblázat azt jelzi, hogy az egyes szolgáltatáscímkék támogatják-e az ilyen regionális hatókört. Vegye figyelembe, hogy az egyes címkék iránya egy javaslat. Az AzureCloud-címke például a bejövő forgalom engedélyezésére használható. Ezt azonban a legtöbb esetben nem javasoljuk, mivel ez azt jelenti, hogy minden Azure IP-címről engedélyezi a forgalmat, beleértve a többi Azure-ügyfél által használt ip-címeket is.

Címke Cél Használhat bejövő vagy kimenő forgalmat? Lehet regionális? Használható Azure Firewall?
ActionGroup Műveletcsoport. Bejövő Nem Nem
ApiManagement Az Azure API Management dedikált üzemelő példányok felügyeleti forgalma.

Megjegyzés: Ez a címke az Azure API Management szolgáltatásvégpontot jelöli a vezérlősík régiónkénti beállításához. Ez lehetővé teszi az ügyfelek számára, hogy felügyeleti műveleteket hajtsanak végre a API Management szolgáltatásban konfigurált API-kon, műveleteken, szabályzatokon és NamedValuesen.
Bejövő Igen Yes
ApplicationInsightsAvailability Az alkalmazás rendelkezésre állása Elemzések. Bejövő Nem Nem
AppConfiguration App Configuration. Kimenő Nem Nem
AppService Azure App Service. Ez a címke webalkalmazásokra és függvényalkalmazásokra vonatkozó kimenő biztonsági szabályokhoz ajánlott. Kimenő Igen Yes
AppServiceManagement A App Service Environment dedikált üzemelő példányok felügyeleti forgalma. Mindkettő Nem Igen
AzureActiveDirectory Azure Active Directory. Kimenő Nem Igen
AzureActiveDirectoryDomainServices A Azure Active Directory Domain Serviceshez dedikált üzemelő példányok felügyeleti forgalma. Mindkettő Nem Igen
AzureAdvancedThreatProtection Azure Advanced Threat Protection. Kimenő Nem Nem
AzureArcInfrastructure Azure Arc-kompatibilis kiszolgálók, Azure Arc-kompatibilis Kubernetes és vendégkonfigurációs forgalom.

Megjegyzés: Ez a címke függ az AzureActiveDirectory, az AzureTrafficManager és az AzureResourceManager címkékhez.
Kimenő Nem Igen
AzureAttestation Azure Attestation. Kimenő Nem Igen
AzureBackup Azure Backup.

Megjegyzés: Ez a címke függ a Storage és az AzureActiveDirectory címkéihez.
Kimenő Nem Igen
AzureBotService Azure Bot Service. Kimenő Nem Nem
AzureCloud Minden adatközpont nyilvános IP-címe. Kimenő Igen Yes
AzureCognitiveSearch Azure Cognitive Search.

Ez a címke vagy a címke által lefedett IP-címek használatával biztonságos hozzáférést biztosíthat az indexelőknek az adatforrásokhoz. További részletekért tekintse meg az indexelő kapcsolati dokumentációját .

Megjegyzés: A keresési szolgáltatás IP-címe nem szerepel a szolgáltatáscímke IP-címtartományainak listájában, és az adatforrások IP-tűzfalához is hozzá kell adni .
Bejövő Nem Nem
AzureConnectors Ez a címke azokat az IP-címeket jelöli, amelyeket felügyelt összekötők használnak, amelyek a Azure Logic Apps szolgáltatás bejövő webhook-visszahívásait és a saját szolgáltatásaikba ( például Azure Storage vagy Azure Event Hubs) irányuló kimenő hívásokat hajtanak létre. Bejövő/kimenő Igen Yes
AzureContainerRegistry Azure Container Registry. Kimenő Igen Yes
AzureCosmosDB Azure Cosmos DB. Kimenő Igen Yes
AzureDatabricks Azure Databricks. Mindkettő Nem Nem
AzureDataExplorerManagement Azure Data Explorer Management. Bejövő Nem Nem
AzureDataLake Azure Data Lake Storage Gen1. Kimenő Nem Igen
AzureDeviceUpdate Eszközfrissítés IoT Hub. Mindkettő Nem Igen
AzureDevSpaces Azure Dev Spaces. Kimenő Nem Nem
AzureDevOps Azure Dev Ops. Bejövő Nem Igen
AzureDigitalTwins Azure Digital Twins.

Megjegyzés: Ez a címke vagy a címke által lefedett IP-címek az eseményútvonalakhoz konfigurált végpontokhoz való hozzáférés korlátozására használhatók.
Bejövő Nem Igen
AzureEventGrid Azure Event Grid. Mindkettő Nem Nem
AzureFrontDoor.Frontend
AzureFrontDoor.Backend
AzureFrontDoor.FirstParty
Azure Front Door. Mindkettő Nem Nem
AzureHealthcareAPI-k A címke által érintett IP-címek az Azure Health Data Serviceshez való hozzáférés korlátozására használhatók. Mindkettő Nem Igen
AzureInformationProtection Azure Information Protection.

Megjegyzés: Ez a címke függőségi viszonyban van az AzureActiveDirectory, az AzureFrontDoor.Frontend és az AzureFrontDoor.FirstParty címkével.
Kimenő Nem Nem
AzureIoTHub Azure IoT Hub. Kimenő Igen Nem
AzureKeyVault Azure Key Vault.

Megjegyzés: Ez a címke függőséggel rendelkezik az AzureActiveDirectory címkéhez.
Kimenő Igen Yes
AzureLoadBalancer Az Azure-infrastruktúra terheléselosztója. A címke annak a gazdagépnek a virtuális IP-címére (168.63.129.16), ahonnan az Azure-állapotminták származnak. Ez csak a mintavételi forgalmat foglalja magában, a háttérerőforrás valós forgalmát nem. Ha nem Azure Load Balancer használ, felülbírálhatja ezt a szabályt. Mindkettő Nem Nem
AzureMachineLearning Azure Machine Learning. Mindkettő Nem Igen
AzureMonitor Log Analytics, Application Elemzések, AzMon és egyéni metrikák (GiG-végpontok).

Megjegyzés: A Log Analytics esetében a Storage címkére is szükség van. Linux-ügynökök használata esetén a GuestAndHybridManagement címkére is szükség van.
Kimenő Nem Igen
AzureOpenDatasets Azure Open Datasets.

Megjegyzés: Ez a címke függ az AzureFrontDoor.Frontend és Storage címkéétől.
Kimenő Nem Nem
AzurePlatformDNS Az alapszintű infrastruktúra (alapértelmezett) DNS-szolgáltatás.

Ezzel a címkével letilthatja az alapértelmezett DNS-t. Legyen óvatos, ha ezt a címkét használja. Javasoljuk, hogy olvassa el az Azure platformmal kapcsolatos szempontokat. Azt is javasoljuk, hogy a címke használata előtt végezzen tesztelést.
Kimenő Nem Nem
AzurePlatformIMDS Az Azure Instance Metadata Service (IMDS) egy alapszintű infrastruktúra-szolgáltatás.

Ezzel a címkével letilthatja az alapértelmezett IMDS-t. Legyen óvatos, ha ezt a címkét használja. Javasoljuk, hogy olvassa el az Azure platformmal kapcsolatos szempontokat. Azt is javasoljuk, hogy a címke használata előtt végezzen tesztelést.
Kimenő Nem Nem
AzurePlatformLKM Windows licencelési vagy kulcskezelési szolgáltatást.

Ezzel a címkével letilthatja a licencelés alapértelmezett beállításait. Legyen óvatos, ha ezt a címkét használja. Javasoljuk, hogy olvassa el az Azure platformmal kapcsolatos szempontokat. Azt is javasoljuk, hogy a címke használata előtt végezzen tesztelést.
Kimenő Nem Nem
AzureResourceManager Azure Resource Manager. Kimenő Nem Nem
AzureSignalR Azure SignalR. Kimenő Nem Nem
AzureSiteRecovery Azure Site Recovery.

Megjegyzés: Ez a címke az AzureActiveDirectory, az AzureKeyVault, az EventHub, a GuestAndHybridManagement és Storage címkék függőségével rendelkezik.
Kimenő Nem Nem
AzureSphere Ez a címke vagy a címke által lefedett IP-címek az Azure Sphere Security Serviceshez való hozzáférés korlátozására használhatók. Mindkettő Nem Igen
AzureStack Azure Stack Bridge-szolgáltatások.
Ez a címke régiónként az Azure Stack Bridge szolgáltatásvégpontot jelöli.
Kimenő Nem Igen
AzureTrafficManager Azure Traffic Manager mintavételi IP-címeket.

A mintavételi IP-címek Traffic Manager további információkért lásd Azure Traffic Manager gyakori kérdéseket.
Bejövő Nem Igen
AzureUpdateDelivery Windows Frissítések eléréséhez.

Megjegyzés: Ez a címke hozzáférést biztosít Windows Update metaadat-szolgáltatásokhoz. A frissítések sikeres letöltéséhez engedélyeznie kell az AzureFrontDoor.FirstParty szolgáltatáscímkét is, és konfigurálnia kell a kimenő biztonsági szabályokat az alábbiak szerint meghatározott protokollal és porttal:
  • AzureUpdateDelivery: TCP, 443-os port
  • AzureFrontDoor.FirstParty: TCP, 80-os port
Kimenő Nem Nem
BatchNodeManagement A Azure Batch dedikált üzemelő példányok felügyeleti forgalma. Mindkettő Nem Igen
CognitiveServicesManagement Az Azure Cognitive Services-forgalom címtartományai. Mindkettő Nem Nem
DataFactory Azure Data Factory Mindkettő Nem Nem
DataFactoryManagement A Azure Data Factory felügyeleti forgalma. Kimenő Nem Nem
Dynamics365ForMarketingEmail A Dynamics 365 marketinges e-mail szolgáltatásának címtartományai. Kimenő Igen Nem
EOPExternalPublishedIPs Ez a címke a Security & Compliance Center PowerShellhez használt IP-címeket jelöli. További részletekért tekintse meg a Security & Compliance Center PowerShell Csatlakozás az EXO V2 modullal. Mindkettő Nem Igen
EventHub Azure Event Hubs. Kimenő Igen Yes
GatewayManager Az Azure VPN Gateway és Application Gateway dedikált üzemelő példányok felügyeleti forgalma. Bejövő Nem Nem
GuestAndHybridManagement Azure Automation és vendégkonfiguráció. Kimenő Nem Igen
HDInsight Azure HDInsight. Bejövő Igen Nem
Internet A virtuális hálózaton kívül eső, a nyilvános internet által elérhető IP-címtér.

A címtartomány tartalmazza az Azure tulajdonában lévő nyilvános IP-címteret.
Mindkettő Nem Nem
LogicApps Logic Apps. Mindkettő Nem Nem
LogicAppsManagement A Logic Apps felügyeleti forgalma. Bejövő Nem Nem
M365ManagementActivityApi A Office 365 Felügyeleti tevékenység API különböző felhasználói, rendszergazdai, rendszer- és szabályzatműveletekkel és -eseményekkel kapcsolatos információkat nyújt Office 365 és Azure Active Directory tevékenységnaplókból. Az ügyfelek és partnerek ezeket az információkat felhasználhatják új üzemeltetési, biztonsági és megfelelőségi monitorozási megoldások létrehozására vagy továbbfejlesztésére a vállalat számára.

Megjegyzés: Ez a címke függőséggel rendelkezik az AzureActiveDirectory címkéhez.
Kimenő Igen Nem
M365ManagementActivityApiWebhook Az új tartalom elérhetővé válásakor a rendszer értesítéseket küld az előfizetés konfigurált webhookjának. Bejövő Igen Nem
MicrosoftAzureFluidRelay Ez a címke az Azure Microsoft Fluid Relay-kiszolgálóhoz használt IP-címeket jelöli. Kimenő Nem Nem
MicrosoftCloudAppSecurity Microsoft Defender for Cloud Apps. Kimenő Nem Nem
MicrosoftContainerRegistry Tárolóregisztrációs adatbázis a Microsoft tárolórendszerképekhez.

Megjegyzés: Ez a címke függőségi viszonyban van az AzureFrontDoor.FirstParty címkével.
Kimenő Igen Yes
PowerBI forrásjelentéssel. Mindkettő Nem Nem
PowerPlatformInfra Ez a címke az infrastruktúra által a Power Platform-szolgáltatások üzemeltetéséhez használt IP-címeket jelöli. Kimenő Igen Yes
PowerQueryOnline Power Query Online. Mindkettő Nem Nem
ServiceBus Azure Service Bus Prémium szolgáltatási szintet használó forgalom. Kimenő Igen Yes
ServiceFabric Azure Service Fabric.

Megjegyzés: Ez a címke a Service Fabric szolgáltatásvégpontot jelöli a vezérlősík régiónkénti beállításához. Ez lehetővé teszi az ügyfelek számára, hogy felügyeleti műveleteket hajtsanak végre Service Fabric fürtöiken a virtuális hálózatukról (például https:// westus.servicefabric.azure.com végpont).
Mindkettő Nem Nem
Sql Azure SQL Database, Azure Database for MySQL, Azure Database for PostgreSQL, Azure Database for MariaDB és Azure Synapse Analytics.

Megjegyzés: Ez a címke a szolgáltatást jelöli, de a szolgáltatás adott példányait nem. Például a címke az Azure SQL Database szolgáltatást jelöli, de nem egy adott SQL-adatbázist vagy -kiszolgálót. Ez a címke nem vonatkozik SQL felügyelt példányra.
Kimenő Igen Yes
SqlManagement Felügyeleti forgalom SQL dedikált üzemelő példányokhoz. Mindkettő Nem Igen
Storage Azure Storage.

Megjegyzés: Ez a címke a szolgáltatást jelöli, de a szolgáltatás adott példányait nem. Például a címke az Azure Storage szolgáltatást jelöli, de nem egy adott Azure Storage-fiókot.
Kimenő Igen Yes
StorageSyncService Storage Szinkronizálási szolgáltatás. Mindkettő Nem Nem
WindowsAdminCenter Engedélyezze a Windows Admin Center háttérszolgáltatásnak, hogy kommunikáljon az ügyfelek Windows Admin Center telepítésével. Kimenő Nem Igen
WindowsVirtualDesktop Azure Virtual Desktop (korábban Windows Virtual Desktop). Mindkettő Nem Igen
VirtualNetwork A virtuális hálózati címtér (a virtuális hálózathoz definiált összes IP-címtartomány), az összes csatlakoztatott helyszíni címtér, a társhálózati virtuális hálózatok, a virtuális hálózati átjáróhoz csatlakoztatott virtuális hálózatok, a gazdagép virtuális IP-címe és afelhasználó által megadott útvonalakon használt címelőtagok. Ez a címke alapértelmezett útvonalakat is tartalmazhat. Mindkettő Nem Nem

Megjegyzés

  • Az Azure-szolgáltatások szolgáltatáscímkék a használt felhő címelőtagját jelölik. Az Azure nyilvános felhőben az SQL-címke értékének megfelelő mögöttes IP-tartományok például eltérnek az Azure China-felhő mögöttes tartományaitól.

  • Ha virtuális hálózati szolgáltatásvégpontot implementál egy szolgáltatáshoz, például az Azure Storage vagy Azure SQL Database, az Azure hozzáad egy útvonalat a szolgáltatás virtuális hálózati alhálózatához. Az útvonal címelőtagjai ugyanazok a címelőtagok vagy CIDR-tartományok, mint a megfelelő szolgáltatáscímke.

A klasszikus üzemi modellben támogatott címkék

A klasszikus üzemi modell (az Azure Resource Manager előtt) az előző táblázatban felsorolt címkék egy kis részét támogatja. A klasszikus üzemi modell címkéi másképp vannak beírva, ahogy az alábbi táblázatban látható:

Resource Manager címke A klasszikus üzemi modell megfelelő címkéje
AzureLoadBalancer AZURE_LOADBALANCER
Internet INTERNET
VirtualNetwork VIRTUAL_NETWORK

Szolgáltatáscímkék a helyszínen

A helyszíni tűzfal konfigurációinak részeként beszerezheti az aktuális szolgáltatáscímkét és tartományadatokat. Ez az információ az egyes szolgáltatáscímkéknek megfelelő IP-tartományok aktuális időponthoz kötött listája. Az információkat programozott módon vagy egy JSON-fájl letöltésével szerezheti be, az alábbi szakaszokban leírtak szerint.

A Service Tag Discovery API használata

Programozott módon lekérheti a szolgáltatáscímkék aktuális listáját az IP-címtartomány részleteivel együtt:

A Storage Szolgáltatáscímke összes előtagjának lekéréséhez például használhatja a következő PowerShell-parancsmagokat:

$serviceTags = Get-AzNetworkServiceTag -Location eastus2
$storage = $serviceTags.Values | Where-Object { $_.Name -eq "Storage" }
$storage.Properties.AddressPrefixes

Megjegyzés

  • Akár 4 hétig is eltarthat, hogy az új szolgáltatáscímkék adatai propagáljanak az API-eredményekben az összes Azure-régióban.
  • Hitelesítenie kell magát, és rendelkeznie kell olvasási engedélyekkel rendelkező szerepkörrel az aktuális előfizetéséhez.
  • Az API-adatok az NSG-szabályokkal használható címkéket jelölik, amelyek a jelenleg letölthető JSON-fájlban lévő címkék egy részét jelölik.

Szolgáltatáscímkék felderítése letölthető JSON-fájlokkal

A szolgáltatáscímkék aktuális listáját tartalmazó JSON-fájlokat az IP-címtartomány részleteivel együtt töltheti le. Ezek a listák hetente frissülnek és közzé vannak téve. Az egyes felhők helyei a következők:

A fájlok IP-címtartományai CIDR-jelölést használnak.

A következő AzureCloud-címkék nem rendelkeznek a normál séma szerint formázott regionális névvel:

  • AzureCloud.centralfrance (FranceCentral)
  • AzureCloud.southfrance (FranceSouth)
  • AzureCloud.germanywc (GermanyWestCentral)
  • AzureCloud.germanyn (GermanyNorth)
  • AzureCloud.norwaye (NorwayEast)
  • AzureCloud.norwayw (NorwayWest)
  • AzureCloud.svájcn (SvájcNorth)
  • AzureCloud.svájcw (SvájcWest)
  • AzureCloud.usstagee (EastUSSTG)
  • AzureCloud.usstagec (SouthCentralUSSTG)

Megjegyzés

Ezen információk egy részhalmaza közzé lett téve az Azure Public, az Azure China és az Azure Germany XML-fájljaiban. Ezek az XML-letöltések 2020. június 30-ig elavultak lesznek, és a dátum után már nem lesznek elérhetők. Az előző szakaszokban ismertetett módon át kell telepítenie a Discovery API- vagy JSON-fájlletöltéseket.

Tipp

  • A frissítéseket az egyik kiadványtól a következőig észlelheti, ha a JSON-fájlban a megnövekedett changeNumber értékeket észleli. Minden alszakasz (például Storage. A WestUS) saját changeNumber értékével rendelkezik, amely a változások bekövetkezésekor növekszik. A fájl changeNumber értékének legfelső szintje az alszakaszok bármelyikének módosításakor növekszik.

  • A szolgáltatáscímkék információinak elemzésére (például az Storage westUS-ban való lekérésére) vonatkozó példákért tekintse meg a Service Tag Discovery API PowerShell-dokumentációját.

  • Amikor új IP-címeket ad hozzá a szolgáltatáscímkékhez, azok legalább egy hétig nem lesznek használatban az Azure-ban. Ez időt biztosít a szolgáltatáscímkékhez társított IP-címek nyomon követéséhez szükséges rendszerek frissítésére.

Következő lépések