Virtuális hálózati szolgáltatáscímkék
A szolgáltatáscímke egy adott Azure-szolgáltatás IP-címelőtagjainak egy csoportját jelöli. A Microsoft kezeli a szolgáltatáscímke által magában foglalt címelőtagokat, és automatikusan frissíti a szolgáltatáscímkét a címek változásakor, ezzel minimalizálva a hálózati biztonsági szabályok gyakori frissítéseinek összetettségét.
Szolgáltatáscímkék használatával hálózati hozzáférés-vezérlést határozhat meg a hálózati biztonsági csoportokon, a Azure Firewall és a felhasználó által megadott útvonalakon. Biztonsági szabályok és útvonalak létrehozásakor használjon szolgáltatáscímkéket adott IP-címek helyett. A biztonsági szabály megfelelő forrás- vagy célmezőjében a szolgáltatáscímke nevének (például ApiManagement) megadásával engedélyezheti vagy letilthatja a megfelelő szolgáltatás forgalmát. Ha megadja a szolgáltatáscímke nevét egy útvonal címelőtagjában, a szolgáltatáscímke által beágyazott előtagok forgalmát a kívánt következő ugrási típusra irányíthatja.
Megjegyzés
2022 márciusától a szolgáltatáscímkék használata explicit címelőtagok helyett a felhasználó által megadott útvonalakon nem előzetes verziójú, és általánosan elérhető.
A szolgáltatáscímkék használatával hálózatelkülönítést érhet el, és megvédheti Azure-erőforrásait az általános internetről, miközben hozzáférhet a nyilvános végpontokkal rendelkező Azure-szolgáltatásokhoz. Hozzon létre bejövő/kimenő hálózati biztonságicsoport-szabályokat az internetről érkező és kimenő forgalom letiltásához, valamint az AzureCloudba vagy adott Azure-szolgáltatások más elérhető szolgáltatáscímkékbe irányuló és onnan érkező forgalom engedélyezéséhez.
Elérhető szolgáltatáscímkék
Az alábbi táblázat a hálózati biztonsági csoportok szabályaiban használható összes szolgáltatáscímkét tartalmazza.
Az oszlopok jelzik, hogy a címke:
- A bejövő vagy kimenő forgalmat lefedő szabályokhoz alkalmas.
- Támogatja a regionális hatókört.
- Használható Azure Firewall szabályokban.
Alapértelmezés szerint a szolgáltatáscímkék a teljes felhő tartományait tükrözik. Egyes szolgáltatáscímkék részletesebb szabályozást is lehetővé teszik, mivel a megfelelő IP-címtartományokat egy adott régióra korlátozza. A szolgáltatáscímke például Storage a teljes felhőhöz tartozó Azure-Storage jelöli, de Storage. A WestUS a tartományt csak a WestUS-régió tárolási IP-címtartományára szűkíti. Az alábbi táblázat azt jelzi, hogy az egyes szolgáltatáscímkék támogatják-e az ilyen regionális hatókört. Vegye figyelembe, hogy az egyes címkék iránya egy javaslat. Az AzureCloud-címke például a bejövő forgalom engedélyezésére használható. Ezt azonban a legtöbb esetben nem javasoljuk, mivel ez azt jelenti, hogy minden Azure IP-címről engedélyezi a forgalmat, beleértve a többi Azure-ügyfél által használt ip-címeket is.
| Címke | Cél | Használhat bejövő vagy kimenő forgalmat? | Lehet regionális? | Használható Azure Firewall? |
|---|---|---|---|---|
| ActionGroup | Műveletcsoport. | Bejövő | Nem | Nem |
| ApiManagement | Az Azure API Management dedikált üzemelő példányok felügyeleti forgalma. Megjegyzés: Ez a címke az Azure API Management szolgáltatásvégpontot jelöli a vezérlősík régiónkénti beállításához. Ez lehetővé teszi az ügyfelek számára, hogy felügyeleti műveleteket hajtsanak végre a API Management szolgáltatásban konfigurált API-kon, műveleteken, szabályzatokon és NamedValuesen. |
Bejövő | Igen | Yes |
| ApplicationInsightsAvailability | Az alkalmazás rendelkezésre állása Elemzések. | Bejövő | Nem | Nem |
| AppConfiguration | App Configuration. | Kimenő | Nem | Nem |
| AppService | Azure App Service. Ez a címke webalkalmazásokra és függvényalkalmazásokra vonatkozó kimenő biztonsági szabályokhoz ajánlott. | Kimenő | Igen | Yes |
| AppServiceManagement | A App Service Environment dedikált üzemelő példányok felügyeleti forgalma. | Mindkettő | Nem | Igen |
| AzureActiveDirectory | Azure Active Directory. | Kimenő | Nem | Igen |
| AzureActiveDirectoryDomainServices | A Azure Active Directory Domain Serviceshez dedikált üzemelő példányok felügyeleti forgalma. | Mindkettő | Nem | Igen |
| AzureAdvancedThreatProtection | Azure Advanced Threat Protection. | Kimenő | Nem | Nem |
| AzureArcInfrastructure | Azure Arc-kompatibilis kiszolgálók, Azure Arc-kompatibilis Kubernetes és vendégkonfigurációs forgalom. Megjegyzés: Ez a címke függ az AzureActiveDirectory, az AzureTrafficManager és az AzureResourceManager címkékhez. |
Kimenő | Nem | Igen |
| AzureAttestation | Azure Attestation. | Kimenő | Nem | Igen |
| AzureBackup | Azure Backup. Megjegyzés: Ez a címke függ a Storage és az AzureActiveDirectory címkéihez. |
Kimenő | Nem | Igen |
| AzureBotService | Azure Bot Service. | Kimenő | Nem | Nem |
| AzureCloud | Minden adatközpont nyilvános IP-címe. | Kimenő | Igen | Yes |
| AzureCognitiveSearch | Azure Cognitive Search. Ez a címke vagy a címke által lefedett IP-címek használatával biztonságos hozzáférést biztosíthat az indexelőknek az adatforrásokhoz. További részletekért tekintse meg az indexelő kapcsolati dokumentációját . Megjegyzés: A keresési szolgáltatás IP-címe nem szerepel a szolgáltatáscímke IP-címtartományainak listájában, és az adatforrások IP-tűzfalához is hozzá kell adni . |
Bejövő | Nem | Nem |
| AzureConnectors | Ez a címke azokat az IP-címeket jelöli, amelyeket felügyelt összekötők használnak, amelyek a Azure Logic Apps szolgáltatás bejövő webhook-visszahívásait és a saját szolgáltatásaikba ( például Azure Storage vagy Azure Event Hubs) irányuló kimenő hívásokat hajtanak létre. | Bejövő/kimenő | Igen | Yes |
| AzureContainerRegistry | Azure Container Registry. | Kimenő | Igen | Yes |
| AzureCosmosDB | Azure Cosmos DB. | Kimenő | Igen | Yes |
| AzureDatabricks | Azure Databricks. | Mindkettő | Nem | Nem |
| AzureDataExplorerManagement | Azure Data Explorer Management. | Bejövő | Nem | Nem |
| AzureDataLake | Azure Data Lake Storage Gen1. | Kimenő | Nem | Igen |
| AzureDeviceUpdate | Eszközfrissítés IoT Hub. | Mindkettő | Nem | Igen |
| AzureDevSpaces | Azure Dev Spaces. | Kimenő | Nem | Nem |
| AzureDevOps | Azure Dev Ops. | Bejövő | Nem | Igen |
| AzureDigitalTwins | Azure Digital Twins. Megjegyzés: Ez a címke vagy a címke által lefedett IP-címek az eseményútvonalakhoz konfigurált végpontokhoz való hozzáférés korlátozására használhatók. |
Bejövő | Nem | Igen |
| AzureEventGrid | Azure Event Grid. | Mindkettő | Nem | Nem |
| AzureFrontDoor.Frontend AzureFrontDoor.Backend AzureFrontDoor.FirstParty |
Azure Front Door. | Mindkettő | Nem | Nem |
| AzureHealthcareAPI-k | A címke által érintett IP-címek az Azure Health Data Serviceshez való hozzáférés korlátozására használhatók. | Mindkettő | Nem | Igen |
| AzureInformationProtection | Azure Information Protection. Megjegyzés: Ez a címke függőségi viszonyban van az AzureActiveDirectory, az AzureFrontDoor.Frontend és az AzureFrontDoor.FirstParty címkével. |
Kimenő | Nem | Nem |
| AzureIoTHub | Azure IoT Hub. | Kimenő | Igen | Nem |
| AzureKeyVault | Azure Key Vault. Megjegyzés: Ez a címke függőséggel rendelkezik az AzureActiveDirectory címkéhez. |
Kimenő | Igen | Yes |
| AzureLoadBalancer | Az Azure-infrastruktúra terheléselosztója. A címke annak a gazdagépnek a virtuális IP-címére (168.63.129.16), ahonnan az Azure-állapotminták származnak. Ez csak a mintavételi forgalmat foglalja magában, a háttérerőforrás valós forgalmát nem. Ha nem Azure Load Balancer használ, felülbírálhatja ezt a szabályt. | Mindkettő | Nem | Nem |
| AzureMachineLearning | Azure Machine Learning. | Mindkettő | Nem | Igen |
| AzureMonitor | Log Analytics, Application Elemzések, AzMon és egyéni metrikák (GiG-végpontok). Megjegyzés: A Log Analytics esetében a Storage címkére is szükség van. Linux-ügynökök használata esetén a GuestAndHybridManagement címkére is szükség van. |
Kimenő | Nem | Igen |
| AzureOpenDatasets | Azure Open Datasets. Megjegyzés: Ez a címke függ az AzureFrontDoor.Frontend és Storage címkéétől. |
Kimenő | Nem | Nem |
| AzurePlatformDNS | Az alapszintű infrastruktúra (alapértelmezett) DNS-szolgáltatás. Ezzel a címkével letilthatja az alapértelmezett DNS-t. Legyen óvatos, ha ezt a címkét használja. Javasoljuk, hogy olvassa el az Azure platformmal kapcsolatos szempontokat. Azt is javasoljuk, hogy a címke használata előtt végezzen tesztelést. |
Kimenő | Nem | Nem |
| AzurePlatformIMDS | Az Azure Instance Metadata Service (IMDS) egy alapszintű infrastruktúra-szolgáltatás. Ezzel a címkével letilthatja az alapértelmezett IMDS-t. Legyen óvatos, ha ezt a címkét használja. Javasoljuk, hogy olvassa el az Azure platformmal kapcsolatos szempontokat. Azt is javasoljuk, hogy a címke használata előtt végezzen tesztelést. |
Kimenő | Nem | Nem |
| AzurePlatformLKM | Windows licencelési vagy kulcskezelési szolgáltatást. Ezzel a címkével letilthatja a licencelés alapértelmezett beállításait. Legyen óvatos, ha ezt a címkét használja. Javasoljuk, hogy olvassa el az Azure platformmal kapcsolatos szempontokat. Azt is javasoljuk, hogy a címke használata előtt végezzen tesztelést. |
Kimenő | Nem | Nem |
| AzureResourceManager | Azure Resource Manager. | Kimenő | Nem | Nem |
| AzureSignalR | Azure SignalR. | Kimenő | Nem | Nem |
| AzureSiteRecovery | Azure Site Recovery. Megjegyzés: Ez a címke az AzureActiveDirectory, az AzureKeyVault, az EventHub, a GuestAndHybridManagement és Storage címkék függőségével rendelkezik. |
Kimenő | Nem | Nem |
| AzureSphere | Ez a címke vagy a címke által lefedett IP-címek az Azure Sphere Security Serviceshez való hozzáférés korlátozására használhatók. | Mindkettő | Nem | Igen |
| AzureStack | Azure Stack Bridge-szolgáltatások. Ez a címke régiónként az Azure Stack Bridge szolgáltatásvégpontot jelöli. | Kimenő | Nem | Igen |
| AzureTrafficManager | Azure Traffic Manager mintavételi IP-címeket. A mintavételi IP-címek Traffic Manager további információkért lásd Azure Traffic Manager gyakori kérdéseket. |
Bejövő | Nem | Igen |
| AzureUpdateDelivery | Windows Frissítések eléréséhez. Megjegyzés: Ez a címke hozzáférést biztosít Windows Update metaadat-szolgáltatásokhoz. A frissítések sikeres letöltéséhez engedélyeznie kell az AzureFrontDoor.FirstParty szolgáltatáscímkét is, és konfigurálnia kell a kimenő biztonsági szabályokat az alábbiak szerint meghatározott protokollal és porttal:
|
Kimenő | Nem | Nem |
| BatchNodeManagement | A Azure Batch dedikált üzemelő példányok felügyeleti forgalma. | Mindkettő | Nem | Igen |
| CognitiveServicesManagement | Az Azure Cognitive Services-forgalom címtartományai. | Mindkettő | Nem | Nem |
| DataFactory | Azure Data Factory | Mindkettő | Nem | Nem |
| DataFactoryManagement | A Azure Data Factory felügyeleti forgalma. | Kimenő | Nem | Nem |
| Dynamics365ForMarketingEmail | A Dynamics 365 marketinges e-mail szolgáltatásának címtartományai. | Kimenő | Igen | Nem |
| EOPExternalPublishedIPs | Ez a címke a Security & Compliance Center PowerShellhez használt IP-címeket jelöli. További részletekért tekintse meg a Security & Compliance Center PowerShell Csatlakozás az EXO V2 modullal. | Mindkettő | Nem | Igen |
| EventHub | Azure Event Hubs. | Kimenő | Igen | Yes |
| GatewayManager | Az Azure VPN Gateway és Application Gateway dedikált üzemelő példányok felügyeleti forgalma. | Bejövő | Nem | Nem |
| GuestAndHybridManagement | Azure Automation és vendégkonfiguráció. | Kimenő | Nem | Igen |
| HDInsight | Azure HDInsight. | Bejövő | Igen | Nem |
| Internet | A virtuális hálózaton kívül eső, a nyilvános internet által elérhető IP-címtér. A címtartomány tartalmazza az Azure tulajdonában lévő nyilvános IP-címteret. |
Mindkettő | Nem | Nem |
| LogicApps | Logic Apps. | Mindkettő | Nem | Nem |
| LogicAppsManagement | A Logic Apps felügyeleti forgalma. | Bejövő | Nem | Nem |
| M365ManagementActivityApi | A Office 365 Felügyeleti tevékenység API különböző felhasználói, rendszergazdai, rendszer- és szabályzatműveletekkel és -eseményekkel kapcsolatos információkat nyújt Office 365 és Azure Active Directory tevékenységnaplókból. Az ügyfelek és partnerek ezeket az információkat felhasználhatják új üzemeltetési, biztonsági és megfelelőségi monitorozási megoldások létrehozására vagy továbbfejlesztésére a vállalat számára. Megjegyzés: Ez a címke függőséggel rendelkezik az AzureActiveDirectory címkéhez. |
Kimenő | Igen | Nem |
| M365ManagementActivityApiWebhook | Az új tartalom elérhetővé válásakor a rendszer értesítéseket küld az előfizetés konfigurált webhookjának. | Bejövő | Igen | Nem |
| MicrosoftAzureFluidRelay | Ez a címke az Azure Microsoft Fluid Relay-kiszolgálóhoz használt IP-címeket jelöli. | Kimenő | Nem | Nem |
| MicrosoftCloudAppSecurity | Microsoft Defender for Cloud Apps. | Kimenő | Nem | Nem |
| MicrosoftContainerRegistry | Tárolóregisztrációs adatbázis a Microsoft tárolórendszerképekhez. Megjegyzés: Ez a címke függőségi viszonyban van az AzureFrontDoor.FirstParty címkével. |
Kimenő | Igen | Yes |
| PowerBI | forrásjelentéssel. | Mindkettő | Nem | Nem |
| PowerPlatformInfra | Ez a címke az infrastruktúra által a Power Platform-szolgáltatások üzemeltetéséhez használt IP-címeket jelöli. | Kimenő | Igen | Yes |
| PowerQueryOnline | Power Query Online. | Mindkettő | Nem | Nem |
| ServiceBus | Azure Service Bus Prémium szolgáltatási szintet használó forgalom. | Kimenő | Igen | Yes |
| ServiceFabric | Azure Service Fabric. Megjegyzés: Ez a címke a Service Fabric szolgáltatásvégpontot jelöli a vezérlősík régiónkénti beállításához. Ez lehetővé teszi az ügyfelek számára, hogy felügyeleti műveleteket hajtsanak végre Service Fabric fürtöiken a virtuális hálózatukról (például https:// westus.servicefabric.azure.com végpont). |
Mindkettő | Nem | Nem |
| Sql | Azure SQL Database, Azure Database for MySQL, Azure Database for PostgreSQL, Azure Database for MariaDB és Azure Synapse Analytics. Megjegyzés: Ez a címke a szolgáltatást jelöli, de a szolgáltatás adott példányait nem. Például a címke az Azure SQL Database szolgáltatást jelöli, de nem egy adott SQL-adatbázist vagy -kiszolgálót. Ez a címke nem vonatkozik SQL felügyelt példányra. |
Kimenő | Igen | Yes |
| SqlManagement | Felügyeleti forgalom SQL dedikált üzemelő példányokhoz. | Mindkettő | Nem | Igen |
| Storage | Azure Storage. Megjegyzés: Ez a címke a szolgáltatást jelöli, de a szolgáltatás adott példányait nem. Például a címke az Azure Storage szolgáltatást jelöli, de nem egy adott Azure Storage-fiókot. |
Kimenő | Igen | Yes |
| StorageSyncService | Storage Szinkronizálási szolgáltatás. | Mindkettő | Nem | Nem |
| WindowsAdminCenter | Engedélyezze a Windows Admin Center háttérszolgáltatásnak, hogy kommunikáljon az ügyfelek Windows Admin Center telepítésével. | Kimenő | Nem | Igen |
| WindowsVirtualDesktop | Azure Virtual Desktop (korábban Windows Virtual Desktop). | Mindkettő | Nem | Igen |
| VirtualNetwork | A virtuális hálózati címtér (a virtuális hálózathoz definiált összes IP-címtartomány), az összes csatlakoztatott helyszíni címtér, a társhálózati virtuális hálózatok, a virtuális hálózati átjáróhoz csatlakoztatott virtuális hálózatok, a gazdagép virtuális IP-címe és afelhasználó által megadott útvonalakon használt címelőtagok. Ez a címke alapértelmezett útvonalakat is tartalmazhat. | Mindkettő | Nem | Nem |
Megjegyzés
Az Azure-szolgáltatások szolgáltatáscímkék a használt felhő címelőtagját jelölik. Az Azure nyilvános felhőben az SQL-címke értékének megfelelő mögöttes IP-tartományok például eltérnek az Azure China-felhő mögöttes tartományaitól.
Ha virtuális hálózati szolgáltatásvégpontot implementál egy szolgáltatáshoz, például az Azure Storage vagy Azure SQL Database, az Azure hozzáad egy útvonalat a szolgáltatás virtuális hálózati alhálózatához. Az útvonal címelőtagjai ugyanazok a címelőtagok vagy CIDR-tartományok, mint a megfelelő szolgáltatáscímke.
A klasszikus üzemi modellben támogatott címkék
A klasszikus üzemi modell (az Azure Resource Manager előtt) az előző táblázatban felsorolt címkék egy kis részét támogatja. A klasszikus üzemi modell címkéi másképp vannak beírva, ahogy az alábbi táblázatban látható:
| Resource Manager címke | A klasszikus üzemi modell megfelelő címkéje |
|---|---|
| AzureLoadBalancer | AZURE_LOADBALANCER |
| Internet | INTERNET |
| VirtualNetwork | VIRTUAL_NETWORK |
Szolgáltatáscímkék a helyszínen
A helyszíni tűzfal konfigurációinak részeként beszerezheti az aktuális szolgáltatáscímkét és tartományadatokat. Ez az információ az egyes szolgáltatáscímkéknek megfelelő IP-tartományok aktuális időponthoz kötött listája. Az információkat programozott módon vagy egy JSON-fájl letöltésével szerezheti be, az alábbi szakaszokban leírtak szerint.
A Service Tag Discovery API használata
Programozott módon lekérheti a szolgáltatáscímkék aktuális listáját az IP-címtartomány részleteivel együtt:
A Storage Szolgáltatáscímke összes előtagjának lekéréséhez például használhatja a következő PowerShell-parancsmagokat:
$serviceTags = Get-AzNetworkServiceTag -Location eastus2
$storage = $serviceTags.Values | Where-Object { $_.Name -eq "Storage" }
$storage.Properties.AddressPrefixes
Megjegyzés
- Akár 4 hétig is eltarthat, hogy az új szolgáltatáscímkék adatai propagáljanak az API-eredményekben az összes Azure-régióban.
- Hitelesítenie kell magát, és rendelkeznie kell olvasási engedélyekkel rendelkező szerepkörrel az aktuális előfizetéséhez.
- Az API-adatok az NSG-szabályokkal használható címkéket jelölik, amelyek a jelenleg letölthető JSON-fájlban lévő címkék egy részét jelölik.
Szolgáltatáscímkék felderítése letölthető JSON-fájlokkal
A szolgáltatáscímkék aktuális listáját tartalmazó JSON-fájlokat az IP-címtartomány részleteivel együtt töltheti le. Ezek a listák hetente frissülnek és közzé vannak téve. Az egyes felhők helyei a következők:
A fájlok IP-címtartományai CIDR-jelölést használnak.
A következő AzureCloud-címkék nem rendelkeznek a normál séma szerint formázott regionális névvel:
- AzureCloud.centralfrance (FranceCentral)
- AzureCloud.southfrance (FranceSouth)
- AzureCloud.germanywc (GermanyWestCentral)
- AzureCloud.germanyn (GermanyNorth)
- AzureCloud.norwaye (NorwayEast)
- AzureCloud.norwayw (NorwayWest)
- AzureCloud.svájcn (SvájcNorth)
- AzureCloud.svájcw (SvájcWest)
- AzureCloud.usstagee (EastUSSTG)
- AzureCloud.usstagec (SouthCentralUSSTG)
Megjegyzés
Ezen információk egy részhalmaza közzé lett téve az Azure Public, az Azure China és az Azure Germany XML-fájljaiban. Ezek az XML-letöltések 2020. június 30-ig elavultak lesznek, és a dátum után már nem lesznek elérhetők. Az előző szakaszokban ismertetett módon át kell telepítenie a Discovery API- vagy JSON-fájlletöltéseket.
Tipp
A frissítéseket az egyik kiadványtól a következőig észlelheti, ha a JSON-fájlban a megnövekedett changeNumber értékeket észleli. Minden alszakasz (például Storage. A WestUS) saját changeNumber értékével rendelkezik, amely a változások bekövetkezésekor növekszik. A fájl changeNumber értékének legfelső szintje az alszakaszok bármelyikének módosításakor növekszik.
A szolgáltatáscímkék információinak elemzésére (például az Storage westUS-ban való lekérésére) vonatkozó példákért tekintse meg a Service Tag Discovery API PowerShell-dokumentációját.
Amikor új IP-címeket ad hozzá a szolgáltatáscímkékhez, azok legalább egy hétig nem lesznek használatban az Azure-ban. Ez időt biztosít a szolgáltatáscímkékhez társított IP-címek nyomon követéséhez szükséges rendszerek frissítésére.
Következő lépések
- Megtudhatja, hogyan hozhat létre hálózati biztonsági csoportot.