Azure Depolama için sanal ağ hizmet uç noktası ilkeleri

  • Makale

Sanal Ağ hizmet uç noktası ilkeleri, çıkış sanal ağ trafiğini hizmet uç noktası üzerinden Azure Depolama hesaplarına filtrelemenize ve yalnızca belirli Azure Depolama hesaplarına veri sızdırmaya izin vermenizi sağlar. Uç nokta ilkeleri, hizmet uç noktası üzerinden bağlanırken Azure Depolama sanal ağ trafiği için ayrıntılı erişim denetimi sağlar.

Diagram of Securing Virtual network outbound traffic to Azure Storage accounts.

Bu özellik genel olarak tüm genel Azure bölgelerinde Azure Depolama kullanılabilir.

Temel avantajlar

Sanal ağ hizmet uç noktası ilkeleri aşağıdaki avantajları sağlar:

  • Azure Depolama'a Sanal Ağ trafiğiniz için geliştirilmiş güvenlik

    Ağ güvenlik grupları için Azure hizmet etiketleri, sanal ağ giden trafiğini belirli Azure Depolama bölgelerine kısıtlamanıza olanak tanır. Ancak bu işlem, seçilen Azure Depolama bölgesindeki herhangi bir hesaba gelen trafiğe izin verir.

    Uç nokta ilkeleri, sanal ağ giden erişimine izin verilen ve erişimi diğer tüm depolama hesaplarıyla kısıtlayan Azure Depolama hesaplarını belirtmenize olanak tanır. Bu işlem, sanal ağınızdan veri sızdırmayı korumak için çok daha ayrıntılı güvenlik denetimi sağlar.

  • Azure hizmet trafiğini filtrelemek için ölçeklenebilir, yüksek kullanılabilirliğe sahip ilkeler

    Uç nokta ilkeleri, hizmet uç noktaları üzerinden sanal ağlardan gelen Azure hizmeti trafiğini filtrelemek için yatay olarak ölçeklenebilir, yüksek kullanılabilirliğe sahip bir çözüm sağlar. Sanal ağlarınızda bu trafik için merkezi ağ gereçlerinin bakımını yapmak için ek yük gerekmez.

Hizmet Uç Noktası ilkeleri için JSON Nesnesi

Şimdi Hizmet Uç Noktası İlkesi nesnesine hızlıca göz atalım.

"serviceEndpointPolicyDefinitions": [
    {
            "description": null,
            "name": "MySEP-Definition",
            "resourceGroup": "MySEPDeployment",
            "service": "Microsoft.Storage",
            "serviceResources": [ 
                    "/subscriptions/subscriptionID/resourceGroups/MySEPDeployment/providers/Microsoft.Storage/storageAccounts/mystgacc"
            ],
            "type": "Microsoft.Network/serviceEndpointPolicies/serviceEndpointPolicyDefinitions"
    }
]

Yapılandırma

  • Sanal ağ trafiğini belirli Azure Depolama hesaplarıyla kısıtlamak için uç nokta ilkelerini yapılandırabilirsiniz.

  • Uç nokta ilkesi bir sanal ağ içindeki alt ağ üzerinde yapılandırılır. İlkenin uygulanması için alt ağda Azure Depolama hizmet uç noktaları etkinleştirilmelidir.

  • Uç nokta ilkesi, resourceID biçimini kullanarak izin verilenler listesine belirli Azure Depolama hesaplarını eklemenize olanak tanır. Erişimi şu şekilde kısıtlayabilirsiniz:

    • Abonelikteki tüm depolama hesapları
      E.g. /subscriptions/subscriptionId

    • Kaynak grubundaki tüm depolama hesapları
      E.g. subscriptions/subscriptionId/resourceGroups/resourceGroupName

    • İlgili Azure Resource Manager resourceId değerini listeleyerek tek bir depolama hesabı. Bu bloblara, tablolara, kuyruklara, dosyalara ve Azure Data Lake Storage 2. Nesil'e yönelik trafiği kapsar.
      E.g. /subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.Storage/storageAccounts/storageAccountName

  • Varsayılan olarak, uç noktaları olan bir alt ağa hiçbir ilke eklenmemişse, hizmetteki tüm depolama hesaplarına erişebilirsiniz. Alt ağda bir ilke yapılandırıldıktan sonra, o alt ağdaki işlem örneklerinden yalnızca ilkede belirtilen kaynaklara erişilebilir. Diğer tüm depolama hesaplarına erişim reddedilir.

  • Bir alt ağa Hizmet Uç Noktası ilkeleri uygulandığında, Azure Depolama Hizmet Uç Noktası kapsamı bölgeselden genele yükseltilir. Bu işlem, azure Depolama tüm trafiğin bundan sonra hizmet uç noktası üzerinden güvenli hale getirildiğini gösterir. Hizmet uç noktası ilkeleri genel olarak da geçerlidir. Açıkça izin verilmeyen tüm depolama hesaplarına erişim reddedilir.

  • Bir alt ağa birden çok ilke uygulayabilirsiniz. Alt ağ ile birden çok ilke ilişkilendirildiğinde, bu ilkelerden herhangi birinde belirtilen kaynaklara sanal ağ trafiğine izin verilir. İlkelerin hiçbirinde belirtilmeyen diğer tüm hizmet kaynaklarına erişim reddedilir.

Dekont

Hizmet uç noktası ilkeleri izin verme ilkeleridir, bu nedenle belirtilen kaynakların dışında diğer tüm kaynaklar kısıtlanır. Lütfen uygulamalarınız için tüm hizmet kaynağı bağımlılıklarının tanımlandığından ve ilkede listelendiğinden emin olun.

  • Uç nokta ilkesinde yalnızca Azure Dağıtım Modeli'ni kullanan depolama hesapları belirtilebilir. Klasik Azure Depolama hesapları Azure Hizmet Uç Noktası İlkelerini desteklemez.

  • Birincil hesap listeleniyorsa RA-GRS ikincil erişimine otomatik olarak izin verilir.

  • Depolama hesapları sanal ağ ile aynı veya farklı bir abonelikte ya da Microsoft Entra kiracısında olabilir.

Senaryolar

  • Eşleştirilmiş, bağlı veya birden çok sanal ağ: Eşleştirilmiş sanal ağlarda trafiği filtrelemek için, uç nokta ilkelerinin bu sanal ağlara tek tek uygulanması gerekir.

  • Ağ Gereçleri veya Azure Güvenlik Duvarı ile İnternet trafiğini filtreleme: Azure hizmet trafiğini ilkelerle, hizmet uç noktaları üzerinden filtreleyin ve gereçler veya Azure Güvenlik Duvarı aracılığıyla İnternet veya Azure trafiğinin kalan kısmını filtreleyin.

  • Sanal Ağ'lere dağıtılan Azure hizmetlerindeki trafiği filtreleme: Şu anda, sanal ağınıza dağıtılan yönetilen Azure hizmetleri için Azure Hizmet Uç Noktası İlkeleri desteklenmez.

  • Şirket içinden Azure hizmetlerine yönelik trafiği filtreleme: Hizmet uç noktası ilkeleri yalnızca ilkelerle ilişkilendirilmiş uç noktalardan gelen trafiğe uygulanır. Şirket içinden belirli Azure hizmet kaynaklarına yönelik trafiğe izin vermek için, trafiğin ağ sanal cihazları veya güvenlik duvarları kullanılarak filtrelenmesi gerekir.

Günlüğe kaydetme ve sorun giderme

Hizmet uç noktası ilkelerinde hiçbir merkezi günlük sağlanmaz. Hizmet kaynak günlükleri için bkz . Hizmet uç noktalarını günlüğe kaydetme.

Sorun giderme senaryoları

  • Önizlemede çalışan depolama hesaplarına erişim reddedildi (coğrafi olarak eşleştirilmiş bölgede değil)

    • Azure Depolama Genel Hizmet Etiketlerini kullanacak şekilde yükseltildiğinde, Hizmet Uç Noktası ve dolayısıyla Hizmet Uç Noktası ilkelerinin kapsamı artık Genel olarak belirlenmiştir. Bu nedenle Azure Depolama trafiği Hizmet Uç Noktaları üzerinden şifrelenir ve yalnızca ilkede açıkça listelenen Depolama hesaplarına erişim izni verilir.

    • Erişimi geri yüklemek için gerekli tüm Depolama hesaplarını açıkça izin verilenler listesine ekleyin.

    • Azure desteğine başvurun.

  • Uç nokta ilkelerinde listelenen hesaplar için erişim reddedildi

    • Ağ güvenlik grupları veya güvenlik duvarı filtrelemesi erişimi engelliyor olabilir

    • İlkenin kaldırılması/yeniden uygulanması bağlantı kaybına yol açıyorsa:

      • Azure hizmetinin uç noktalar üzerinden sanal ağdan erişime izin verecek şekilde yapılandırıldığını veya kaynak için varsayılan ilkenin Tümüne İzin Ver olarak ayarlandığını doğrulayın.

      • Hizmet tanılamalarında uç noktalar üzerinden trafiğin gösterildiğini doğrulayın.

      • Ağ güvenlik grubu akış günlüklerinde erişimin gösterilip gösterilmediğini ve depolama günlüklerinde beklendiği gibi hizmet uç noktaları üzerinden erişimin gösterilip gösterilmediğini denetleyin.

      • Azure desteğine başvurun.

  • Hizmet uç noktası ilkelerinde listelenmeyen hesaplar için erişim reddedildi

    • Azure Depolama'ın uç noktalar üzerinden sanal ağdan erişime izin verecek şekilde yapılandırılıp yapılandırılmadığını veya kaynağın varsayılan ilkesinin Tümüne İzin Ver olarak ayarlanıp ayarlanmadığını doğrulayın.

    • Alt ağda hizmet uç noktası ilkeleri olan hesapların klasik depolama hesapları olmadığından emin olun.

  • Yönetilen Azure Hizmeti, alt ağ üzerinden Hizmet Uç Noktası İlkesi uygulandıktan sonra çalışmayı durdurdu

    • Azure SQL Yönetilen Örneği dışındaki yönetilen hizmetler şu anda hizmet uç noktalarıyla desteklenmemektedir.

  • Yönetilen Depolama Hesaplarına Erişim, alt ağ üzerinden Hizmet Uç Noktası İlkesi uygulandıktan sonra çalışmayı durdurdu

    • Yönetilen Depolama Hesapları hizmet uç noktası ilkeleriyle desteklenmez. Yapılandırılırsa, ilkeler varsayılan olarak tüm Yönetilen Depolama Hesaplarına erişimi reddeder. Uygulamanızın Yönetilen Depolama Hesaplarına erişmesi gerekiyorsa, bu trafik için uç nokta ilkeleri kullanılmamalıdır.

Hazırlanıyor

Sanal ağa yazma erişimi olan bir kullanıcı, alt ağlarda hizmet uç noktası ilkelerini yapılandırıyor. Azure yerleşik rolleri ve özel rollere belirli izinlerin atanması hakkında daha fazla bilgi edinin.

Sanal ağlar ve Azure Depolama hesapları aynı veya farklı aboneliklerde ya da Microsoft Entra kiracılarında olabilir.

Sınırlamalar

  • Hizmet uç noktası ilkelerini yalnızca Azure Resource Manager dağıtım modeli üzerinden dağıtılmış olan sanal ağlarda dağıtabilirsiniz.

  • Sanal ağların hizmet uç noktası ilkesiyle aynı bölgede bulunması gerekir.

  • Hizmet uç noktası ilkesini bir alt ağa uygulayabilmeniz için, ilkede listelenen Azure hizmetleri için hizmet uç noktalarının yapılandırılmış olması gerekir.

  • Şirket içi ağınızdan Azure hizmetlerine yönelik trafik için hizmet uç noktası ilkelerini kullanamazsınız.

  • Azure SQL Yönetilen Örneği dışındaki Azure yönetilen hizmetleri şu anda uç nokta ilkelerini desteklemez. Bu sınırlama paylaşılan alt ağlara (Azure Batch, Microsoft Entra Domain Services, Azure Uygulaması lication Gateway, Azure VPN Gateway, Azure Güvenlik Duvarı gibi) veya ayrılmış alt ağlara (Azure Uygulaması Hizmet Ortamı, Azure Redis Cache, Azure API Management, klasik yönetilen gibi) dağıtılan yönetilen hizmetleri içerir hizmetleri) seçin.

Uyarı

Sanal ağınıza dağıtılan Azure HDInsight gibi Azure hizmetleri, altyapı gereksinimlerinden dolayı Azure Depolama gibi diğer Azure hizmetlerine erişir. Uç nokta ilkesini belirli kaynaklarla kısıtlamak, sanal ağınızda dağıtılan Azure hizmetleri için bu altyapı kaynaklarına erişimi kesebilir.

  • Klasik depolama hesapları uç nokta ilkelerinde desteklenmez. İlkeler varsayılan olarak tüm klasik depolama hesaplarına erişimi reddeder. Uygulamanızın Azure Resource Manager ve klasik depolama hesaplarına erişmesi gerekiyorsa, bu trafik için uç nokta ilkeleri kullanılmamalıdır.

Fiyatlandırma ve limitler

Hizmet uç noktası ilkelerini kullanmak için ek ücret alınmaz. Hizmet uç noktaları üzerinden Azure hizmetleri (Azure Depolama gibi) için güncel fiyatlandırma modeli uygulanır.

Hizmet uç noktası ilkelerinde aşağıdaki limitler zorunlu tutulur:

Kaynak Varsayılan limit
ServiceEndpointPoliciesPerSubscription 500
ServiceEndpointPoliciesPerSubnet 100
ServiceEndpointPoliciesPerVirtualNetwork 100
ServiceResourcesPerServiceEndpointPolicyDefinition 200

Sonraki Adımlar