Service-eindpuntbeleid voor virtueel netwerk voor Azure StorageVirtual network service endpoint policies for Azure Storage

Met Virtual Network (VNet)-service-eindpunt beleid kunt u het uitgaande virtuele netwerk verkeer filteren op Azure Storage-accounts via een service-eind punt en alleen gegevens exfiltration alleen specifieke Azure Storage accounts toestaan.Virtual Network (VNet) service endpoint policies allow you to filter egress virtual network traffic to Azure Storage accounts over service endpoint, and allow data exfiltration to only specific Azure Storage accounts. Endpoint-beleids regels bieden gedetailleerd toegangs beheer voor virtueel netwerk verkeer naar Azure Storage bij het maken van verbinding via service-eind punten.Endpoint policies provide granular access control for virtual network traffic to Azure Storage when connecting over service endpoint.

Uitgaand verkeer van virtuele netwerken beveiligen met Azure Storage accounts

Deze functie is algemeen beschikbaar voor Azure Storage in alle wereld wijde Azure-regio's.This feature is generally available for Azure Storage in all global Azure regions.

Belangrijkste voordelenKey benefits

Het beleid voor service-eindpunten voor virtuele netwerken biedt de volgende voordelen:Virtual network service endpoint policies provide following benefits:

  • Verbeterde beveiliging voor uw Virtual Network verkeer naar Azure StorageImproved security for your Virtual Network traffic to Azure Storage

    Met Azure-service tags voor netwerk beveiligings groepen kunt u uitgaand verkeer van virtuele netwerken beperken tot specifieke Azure Storage regio's.Azure service tags for network security groups allow you to restrict virtual network outbound traffic to specific Azure Storage regions. Hiermee wordt echter verkeer naar een account in de geselecteerde Azure Storage regio toegestaan.However, this allows traffic to any account within selected Azure Storage region.

    Met endpoint-beleids regels kunt u de Azure Storage accounts opgeven die toegang hebben tot uitgaande virtuele netwerk toegang en toegangs beperkingen voor alle andere opslag accounts.Endpoint policies allow you to specify the Azure Storage accounts that are allowed virtual network outbound access and restricts access to all the other storage accounts. Dit biedt een veel gedetailleerdere beveiligings controle voor het beveiligen van gegevens exfiltration van uw virtuele netwerk.This gives much more granular security control for protecting data exfiltration from your virtual network.

  • Schaalbaar beleid met hoge beschikbaarheid voor het filteren van verkeer naar Azure-servicesScalable, highly available policies to filter Azure service traffic

    Beleid voor eindpunten zorgt voor horizontaal schaalbare oplossingen met hoge beschikbaarheid, waarmee het verkeer van virtuele netwerken naar Azure-services kan worden gefilterd via service-eindpunten.Endpoint policies provide horizontally scalable, highly available solution to filter Azure service traffic from virtual networks, over service endpoints. Er is geen extra overhead vereist voor het onderhoud van centrale netwerkapparatuur voor dit verkeer in uw virtuele netwerken.No additional overhead is required to maintain central network appliances for this traffic in your virtual networks.

JSON-object voor service-eindpunt beleidJSON Object for Service Endpoint policies

Laten we eens kijken naar het object service-eindpunt beleid.Let's take a quick look at the Service Endpoint Policy object.

"serviceEndpointPolicyDefinitions": [
    {
            "description": null,
            "name": "MySEP-Definition",
            "resourceGroup": "MySEPDeployment",
            "service": "Microsoft.Storage",
            "serviceResources": [ 
                    "/subscriptions/subscriptionID/resourceGroups/MySEPDeployment/providers/Microsoft.Storage/storageAccounts/mystgacc"
            ],
            "type": "Microsoft.Network/serviceEndpointPolicies/serviceEndpointPolicyDefinitions"
    }
]

ConfiguratieConfiguration

  • U kunt het eindpunt beleid configureren om virtueel netwerk verkeer te beperken tot specifieke Azure Storage-accounts.You can configure the endpoint policies to restrict virtual network traffic to specific Azure Storage accounts.

  • Het beleid voor eindpunten wordt geconfigureerd op een subnet in een virtueel netwerk.Endpoint policy is configured on a subnet in a virtual network. Service-eind punten voor Azure Storage moeten worden ingeschakeld op het subnet om het beleid toe te passen.Service endpoints for Azure Storage should be enabled on the subnet to apply the policy.

  • Met het eindpunt beleid kunt u specifieke Azure Storage accounts toevoegen aan de acceptatie lijst met de notatie resourceID.Endpoint policy allows you to add specific Azure Storage accounts to allow list, using the resourceID format. U kunt de toegang beperken totYou can restrict access to

    • alle opslag accounts in een abonnementall storage accounts in a subscription
      E.g. /subscriptions/subscriptionId

    • alle opslag accounts in een resource groepall storage accounts in a resource group
      E.g. subscriptions/subscriptionId/resourceGroups/resourceGroupName

    • een afzonderlijk opslag account door de bijbehorende Azure Resource Manager resourceId weer te geven.an individual storage account by listing the corresponding Azure Resource Manager resourceId. Dit omvat het verkeer naar blobs, tabellen, wachtrijen, bestanden en Azure Data Lake Storage Gen2.This covers traffic to blobs, tables, queues, files and Azure Data Lake Storage Gen2.
      E.g. /subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.Storage/storageAccounts/storageAccountName

  • Als er geen beleids regels zijn gekoppeld aan een subnet met eind punten, hebt u standaard toegang tot alle opslag accounts in de service.By default, if no policies are attached to a subnet with endpoints, you can access all storage accounts in the service. Zodra een beleid op dat subnet is geconfigureerd, zijn alleen de resources die in het beleid zijn opgegeven toegankelijk via rekenprocessen in dat subnet.Once a policy is configured on that subnet, only the resources specified in the policy can be accessed from compute instances in that subnet. Toegang tot alle andere opslag accounts wordt geweigerd.Access to all other storage accounts will be denied.

  • Bij het Toep assen van service-eindpunt beleid op een subnet, wordt het Azure Storage service-eindpunt bereik bijgewerkt van regionaal naar globaal.When applying Service Endpoint policies on a subnet, the Azure Storage Service Endpoint scope gets upgraded from regional to global. Dit betekent dat al het verkeer naar Azure Storage wordt beveiligd over het service-eind punt, daarna.This means that all the traffic to Azure Storage is secured over service endpoint thereafter. De beleids regels voor service-eind punten zijn ook globaal van toepassing, zodat opslag accounts die niet expliciet zijn toegestaan, geen toegang krijgen.The Service endpoint policies are also applicable globally, so any storage accounts, that are not explicitly allowed, will be denied access.

  • U kunt meerdere beleidsregels toepassen op een subnet.You can apply multiple policies to a subnet. Wanneer er meerdere beleids regels aan het subnet zijn gekoppeld, wordt het virtuele netwerk verkeer naar de resources die zijn opgegeven in elk van deze beleids regels toegestaan.When multiple policies are associated to the subnet, virtual network traffic to resources specified across any of these policies will be allowed. Toegang tot alle andere serviceresources, die niet in een beleidsregel zijn opgegeven, wordt geweigerd.Access to all other service resources, not specified in any of the policies, will be denied.

    Notitie

    Beleids regels voor service-eind punten zijn beleid toestaan, dus naast de opgegeven resources zijn alle andere resources beperkt.Service endpoint policies are allow policies, so apart from the specified resources, all other resources are restricted. Zorg ervoor dat alle afhankelijkheden van service bronnen voor uw toepassingen worden geïdentificeerd en vermeld in het beleid.Please ensure that all service resource dependencies for your applications are identified and listed in the policy.

  • Alleen de opslagaccounts die gebruikmaken van het Azure-resourcemodel, kunnen worden opgegeven in het beleid voor eindpunten.Only storage accounts using the Azure Resource Model can be specified in the endpoint policy. Uw klassieke Azure Storage-accounts bieden geen ondersteuning voor Azure service Endpoint-beleids regels.Your classic Azure Storage accounts will not support Azure Service Endpoint Policies.

  • Secundaire toegang op basis van RA-GRS wordt automatisch toegestaan als het primaire account wordt vermeld.RA-GRS secondary access will be automatically allowed if the primary account is listed.

  • Opslagaccounts kunnen zich in zowel hetzelfde als een ander abonnement of in zowel dezelfde als een andere Azure Active Directory-tenant bevinden als het virtuele netwerk.Storage accounts can be in the same or a different subscription or Azure Active Directory tenant as the virtual network.

Scenario'sScenarios

  • Gekoppelde, verbonden of meerdere virtuele netwerken: Als u het verkeer in gekoppelde virtuele netwerken wilt filteren, moeten de beleidsregels voor eindpunten afzonderlijk op deze virtuele netwerken worden toegepast.Peered, connected or multiple virtual networks: To filter traffic in peered virtual networks, endpoint policies should be applied individually to these virtual networks.
  • Internet verkeer filteren met netwerk apparaten of Azure firewall: Azure service-verkeer filteren met beleids regels, service-eind punten en rest van het internet of Azure-verkeer filteren via apparaten of Azure firewall.Filtering Internet traffic with Network Appliances or Azure Firewall: Filter Azure service traffic with policies, over service endpoints, and filter rest of the Internet or Azure traffic via appliances or Azure Firewall.
  • Verkeer filteren op Azure-Services die zijn geïmplementeerd in virtuele netwerken: op dit moment worden Azure service Endpoint-beleids regels niet ondersteund voor beheerde Azure-Services die in uw virtuele netwerk zijn geïmplementeerd.Filtering traffic on Azure services deployed into Virtual Networks: At this time, Azure Service Endpoint Policies are not supported for any managed Azure services that are deployed into your virtual network.
  • Verkeer vanaf on-premises naar Azure-services filteren: Het beleid voor service-eindpunten is alleen van toepassing op het verkeer van de subnetten die aan het beleid zijn gekoppeld.Filtering traffic to Azure services from on-premises: Service endpoint policies only apply to the traffic from subnets associated to the policies. Als u toegang vanaf on-premises tot bepaalde Azure-serviceresources wilt toestaan, moet het verkeer worden gefilterd met behulp van virtuele netwerkapparaten of firewalls.To allow access to specific Azure service resources from on-premises, traffic should be filtered using network virtual appliances or firewalls.

Logboekregistratie en problemen oplossenLogging and troubleshooting

Voor beleid voor service-eindpunten is gecentraliseerde logboekregistratie niet beschikbaar.No centralized logging is available for service endpoint policies. Zie logboek registratie van service-eind puntenvoor service bron Logboeken.For service resource logs, see Service endpoints logging.

Scenario’s voor probleemoplossingTroubleshooting scenarios

  • Toegang geweigerd tot opslag accounts die in de preview-versie werken (niet in een geografisch gekoppelde regio)Access denied to storage accounts that were working in preview (not in geo-paired region)
    • Met Azure Storage upgrades uitvoeren voor het gebruik van Global Service Tags, het bereik van service-eind punten en dus service-eindpunt beleid is nu globaal.With Azure Storage upgrading to use Global Service Tags, the scope of Service Endpoint and thus Service Endpoint policies is now Global. Elk verkeer naar Azure Storage wordt versleuteld via service-eind punten en alleen opslag accounts die expliciet worden vermeld in het beleid, zijn toegestaan.So any traffic to Azure Storage is encrypted over Service Endpoints and only Storage accounts that are explicitly listed in policy are allowed access.
    • Lijst expliciet toestaan alle vereiste opslag accounts om de toegang te herstellen.Explicitly allow list all the required Storage accounts to restore access.
    • Neem contact op met de ondersteuning van Azure.Contact Azure support.
  • De toegang wordt geweigerd voor accounts die in het beleid voor eindpunten worden vermeldAccess is denied for accounts listed in the endpoint policies
    • Mogelijk wordt de toegang geblokkeerd door netwerkbeveiligingsgroepen of firewall-filtersNetwork security groups or firewall filtering could be blocking access
    • Als het verwijderen/het opnieuw toepassen van het beleid ervoor zorgt dat de verbinding wordt verbroken:If removing/re-applying the policy results in connectivity loss:
      • Controleer of de Azure-service zo is geconfigureerd dat toegang vanaf het virtuele netwerk via eind punten wordt toegestaan of dat het standaard beleid voor de resource is ingesteld op Alles toestaan.Validate whether the Azure service is configured to allow access from the virtual network over endpoints, or that the default policy for the resource is set to Allow All.
      • Controleer of het verkeer via de eindpunten wordt weergegeven in de diagnostische gegevens.Validate that the service diagnostics show the traffic over endpoints.
      • Controleer in de stroomlogboeken voor de netwerkbeveiligingsgroep en de opslaglogboeken of de toegang, zoals verwacht, via de service-eindpunten verloopt.Check whether network security group flow logs show the access and that storage logs show the access, as expected, over service endpoints.
      • Neem contact op met de ondersteuning van Azure.Contact Azure support.
  • De toegang wordt geweigerd voor accounts niet worden vermeld in het beleid voor service-eindpuntenAccess is denied for accounts not listed in the service endpoint policies
    • Controleer of Azure Storage zo is geconfigureerd dat toegang vanaf het virtuele netwerk via eind punten wordt toegestaan, of dat het standaard beleid voor de resource is ingesteld op Alles toestaan.Validate whether Azure Storage is configured to allow access from the virtual network over endpoints, or whether the default policy for the resource is set to Allow All.
    • Zorg ervoor dat de accounts geen klassieke opslag accounts met beleids regels voor service-eind punten in het subnet zijn.Ensure the accounts are not classic storage accounts with service endpoint policies on the subnet.
  • Een beheerde Azure-service is gestopt nadat een service-eindpunt beleid is toegepast op het subnetA managed Azure Service stopped working after applying a Service Endpoint Policy over the subnet
    • Beheerde services worden op dit moment niet ondersteund met beleids regels voor service-eind punten.Managed services are not supported with service endpoint policies at this time. Bekijk deze ruimte op updates.Watch this space for updates.

InrichtenProvisioning

Op subnetten kan het beleid voor service-eindpunten worden geconfigureerd door een gebruiker met schrijftoegang tot een virtueel netwerk.Service endpoint policies can be configured on subnets by a user with write access to a virtual network. Meer informatie over ingebouwde rollen in Azure en het toewijzen van specifieke machtigingen voor aangepaste rollen.Learn more about Azure built-in roles and assigning specific permissions to custom roles.

Virtuele netwerken en Azure Storage accounts kunnen zich in dezelfde of verschillende abonnementen bevindt, of Azure Active Directory tenants.Virtual networks and Azure Storage accounts can be in the same or different subscriptions, or Azure Active Directory tenants.

BeperkingenLimitations

  • U kunt alleen beleid voor service-eindpunten implementeren op virtuele netwerken die zijn geïmplementeerd met behulp van het Azure Resource Manager-implementatiemodel.You can only deploy service endpoint policies on virtual networks deployed through the Azure Resource Manager deployment model.
  • Virtuele netwerken moeten zich in dezelfde regio bevinden als het beleid voor service-eindpunten.Virtual networks must be in the same region as the service endpoint policy.
  • U kunt alleen beleid voor service-eindpunten toepassen op een subnet als de service-eindpunten zijn geconfigureerd voor de Azure-services die in het beleid worden vermeld.You can only apply service endpoint policy on a subnet if service endpoints are configured for the Azure services listed in the policy.
  • Het is niet mogelijk om beleid voor service-eindpunten te gebruiken voor verkeer van uw on-premises netwerk naar Azure-services.You can't use service endpoint policies for traffic from your on-premises network to Azure services.
  • Azure Managed Services biedt momenteel geen ondersteuning voor eindpunt beleidsregels.Azure managed services do not currently support Endpoint policies. Dit omvat beheerde services die zijn geïmplementeerd in de gedeelde subnetten (bijvoorbeeld Azure batch, Azure voegt, Azure-toepassing gateway, azure VPN gateway, Azure firewall) of in de toegewezen subnetten (bijvoorbeeld Azure app service Environment, Azure Redis Cache, Azure API Management, Azure SQL mi, klassieke beheerde services).This includes managed services deployed into the shared subnets (e.g. Azure Batch, Azure ADDS, Azure Application Gateway, Azure VPN Gateway, Azure Firewall) or into the dedicated subnets (e.g. Azure App Service Environment, Azure Redis Cache, Azure API Management, Azure SQL MI, classic managed services).

Waarschuwing

Azure-services die in uw virtuele netwerk zijn geïmplementeerd, zoals Azure HDInsight, hebben toegang tot andere Azure-services, zoals Azure Storage, om aan de vereisten voor de infrastructuur te kunnen voldoen.Azure services deployed into your virtual network, such as Azure HDInsight, access other Azure services, such as Azure Storage, for infrastructure requirements. Als u het beleid voor eindpunten tot specifieke resources beperkt, kan de toegang tot deze infrastructuurresources worden onderbroken voor de Azure-services die in uw virtuele netwerk zijn geïmplementeerd.Restricting endpoint policy to specific resources could break access to these infrastructure resources for the Azure services deployed in your virtual network.

  • Klassieke opslagaccounts worden niet ondersteund in het beleid voor eindpunten.Classic storage accounts are not supported in endpoint policies. Het beleid weigert standaard de toegang tot alle klassieke opslagaccounts.Policies will deny access to all classic storage accounts, by default. Als uw toepassing toegang moet hebben tot Azure Resource Manager en klassieke opslagaccounts, moet er geen beleid voor eindpunten worden gebruikt voor dit verkeer.If your application needs access to Azure Resource Manager and classic storage accounts, endpoint policies should not be used for this traffic.

Prijzen en beperkingenPricing and limits

Er worden geen extra kosten in rekening gebracht voor het gebruik van beleid voor service-eindpunten.There is no additional charge for using service endpoint policies. Het huidige prijsmodel voor Azure-services (zoals Azure Storage) via service-eindpunten is van toepassing.The current pricing model for Azure services (such as, Azure Storage) applies as is today, over service endpoints.

Voor beleid voor service-eindpunten gelden de volgende limieten:Following limits are enforced on service endpoint policies:

ResourceResource StandaardlimietDefault limit
ServiceEndpointPoliciesPerSubscriptionServiceEndpointPoliciesPerSubscription 500500
ServiceEndpointPoliciesPerSubnetServiceEndpointPoliciesPerSubnet 100100
ServiceResourcesPerServiceEndpointPolicyDefinitionServiceResourcesPerServiceEndpointPolicyDefinition 200200

Volgende stappenNext Steps