Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Azure network security perimeter (NSP) consente di definire un limite di isolamento della rete logica per le risorse PaaS, ad esempio un archivio di Configurazione app, distribuito all'esterno di una rete virtuale. Per impostazione predefinita, un perimetro di sicurezza di rete limita l'accesso alla rete pubblica alle risorse PaaS all'interno del perimetro. Tuttavia, è possibile configurare regole di accesso esplicite per il traffico in ingresso e in uscita.
Quando si associa un archivio di Configurazione app a un perimetro di sicurezza di rete, è possibile controllare il traffico in ingresso e in uscita con le regole di accesso, condividere un set comune di regole tra più risorse PaaS usando profili perimetrali e monitorare il traffico di rete tramite i log di diagnostica. Per altre informazioni, vedere Perché usare un perimetro di sicurezza di rete?
Transizione a un perimetro di sicurezza di rete
L'associazione di una risorsa con un perimetro di sicurezza di rete prevede due modalità di accesso: Transition e Enforced. La modalità di transizione è destinata a un passaggio intermedio temporaneo che consente di adottare un perimetro di sicurezza di rete senza interrompere la connettività esistente eseguendo il fallback alle regole di accesso di rete esistenti dell'archivio di Configurazione app quando nessuna regola perimetrale corrisponde. Vedi Passaggio a un perimetro di sicurezza di rete in Azure per scoprire come usare la modalità di transizione per un'adozione agevole di NSP. Per informazioni dettagliate sul modo in cui la modalità di accesso di un'associazione di risorse interagisce con l'impostazione di accesso alla rete pubblica dell'archivio di Configurazione app, vedere Spostamento di nuove risorse nel perimetro di sicurezza di rete.
Applicazione delle restrizioni di rete con un perimetro di sicurezza di rete
Per applicare restrizioni di rete con un perimetro di sicurezza di rete, assicurarsi che l'associazione di risorse del perimetro di sicurezza di rete sia in modalità Enforced. In questa modalità, l'archivio di Configurazione app consente solo le richieste in ingresso e in uscita consentite dal profilo perimetrale di sicurezza di rete associato, indipendentemente dall'impostazione di accesso alla rete pubblica dell'archivio di Configurazione app.
Considerazioni sulle richieste di endpoint privato
Le richieste in ingresso all'archivio di App Configuration attraverso un endpoint privato valido sono sempre consentite da un perimetro di sicurezza di rete, a prescindere dalla modalità di associazione o dalle regole del profilo del perimetro.
Considerazioni sulla crittografia della chiave gestita dal cliente
Se l'archivio di App Configuration usa la crittografia con chiavi gestite dal cliente, il servizio App Configuration comunica con una risorsa di Azure Key Vault per accedere alla chiave di crittografia. Quando le richieste in uscita dell'archivio sono soggette alle regole NSP (l'accesso alla rete pubblica è protetto dal perimetro o l'associazione NSP è in modalità Forzata), le regole di accesso del perimetro devono consentire la comunicazione in uscita verso la risorsa Azure Key Vault. Per assicurarsi che il servizio Configurazione app possa continuare ad accedere alla chiave di crittografia, è necessario configurare il perimetro di sicurezza di rete in uno dei modi seguenti:
- Stesso perimetro: collocare Azure Key Vault nello stesso perimetro di sicurezza di rete dell'archivio di App Configuration. Quando entrambe le risorse si trovano all'interno dello stesso perimetro, la comunicazione tra di esse viene consentita automaticamente.
-
Regola di accesso in uscita basata su FQDN: Aggiungere una regola di accesso in uscita basata su un nome di dominio completo (FQDN) al profilo del perimetro di sicurezza di rete associato all'archivio di App Configuration. La regola deve elencare l'endpoint del Key Vault che contiene la chiave gestita dal cliente, ad esempio
mykeyvault.vault.azure.net.
Se nessuna delle due condizioni è soddisfatta, l'archivio App Configuration non può accedere alla chiave di crittografia e le richieste all'archivio non vanno a buon fine.
Considerazioni sul monitoraggio
Se l'archivio di Configurazione app ha monitoring abilitato tramite le impostazioni di diagnostica, le destinazioni di log (ad esempio aree di lavoro Log Analytics, gli account di archiviazione e gli hub eventi) devono trovarsi nello stesso perimetro di sicurezza di rete dell'archivio di Configurazione app. Le regole di accesso in uscita basate su FQDN non si applicano alle destinazioni di monitoraggio, quindi qualsiasi destinazione esterna al perimetro non riceverà i dati di diagnostica.
Limitations
- Il supporto di Configurazione app di Azure per il perimetro di sicurezza di rete è attualmente in anteprima privata, con accesso limitato a un insieme di sottoscrizioni.
- Durante l'anteprima privata, le operazioni del piano di gestione perimetrale della sicurezza di rete, ad esempio l'associazione di un archivio di Configurazione app a un perimetro o la visualizzazione della configurazione dell'associazione, possono essere eseguite solo usando i modelli arm o il interfaccia della riga di comando di Azure. Per un tutorial su come associare un archivio di App Configuration usando l'interfaccia della riga di comando di Azure (interfaccia della riga di comando di Azure), vedi Associare Configurazione app di Azure a un perimetro di sicurezza di rete.
- Alcune funzionalità perimetrali della sicurezza di rete, ad esempio le regole di accesso in ingresso basate su sottoscrizione, non funzionano con l'autenticazione con chiave di accesso. Usare l'autenticazione Microsoft Entra ID per usufruire di tutte le funzionalità di NSP.
- Attualmente, un archivio di App Configuration all'interno di un perimetro di sicurezza di rete non può inviare eventi ad Griglia di eventi di Azure. Se un archivio di App Configuration ha una sottoscrizione di eventi di Configurazione app di Azure configurata, non è possibile associare l'archivio a un perimetro di sicurezza di rete. Allo stesso modo, se un archivio è associato a un perimetro di sicurezza di rete, non è possibile abilitare una sottoscrizione di eventi per tale archivio.
- Le regole di accesso in ingresso basate sulla sottoscrizione e sull'IP non si applicano al chiamante originale per le richieste al piano dati effettuate tramite strumenti di distribuzione, ad esempio modelli ARM, Bicep o Terraform. Poiché queste richieste vengono inoltrate all'archivio di App Configuration da Azure Resource Manager, l'ID sottoscrizione e l'indirizzo IP del chiamante originale non vengono trasmessi al perimetro per la valutazione.
Troubleshooting
Errori di accesso alle funzionalità
interfaccia della riga di comando di Azure
(BadRequest) Questa funzionalità non è ancora disponibile per la sottoscrizione specificata. Codice: Messaggio BadRequest: questa funzionalità non è ancora disponibile per la sottoscrizione specificata
Portale di Azure
Impossibile associare la risorsa. Questa funzionalità non è ancora disponibile per la sottoscrizione specificata.
Questi errori indicano che la sottoscrizione in uso non ha accesso alla funzionalità perimetrale di sicurezza di rete per Configurazione app di Azure, attualmente in anteprima privata.
Errori di registrazione RP
Se si associa un archivio di App Configuration a un perimetro di sicurezza di rete in una sottoscrizione diversa da quella dell'archivio, è necessario assicurarsi che la sottoscrizione del perimetro di sicurezza di rete abbia il provider di risorse Microsoft.AppConfiguration registrato. Se il provider di risorse non è registrato, viene visualizzato l'errore seguente durante l'esecuzione dell'associazione:
Impossibile completare l'operazione perché la sottoscrizione del perimetro di sicurezza di rete '{SubscriptionId}' non è registrata per l'uso del provider di risorse 'Microsoft. AppConfiguration'. Vedere https://aka.ms/appconfig/NSPTroubleshooting per istruzioni sulla registrazione di un provider di risorse.
Per risolvere questo errore, seguire questa procedura:
- Registrare il provider di risorse
Microsoft.AppConfigurationnella sottoscrizione del perimetro di sicurezza di rete. - Riprovare l'associazione tra l'archivio di App Configuration e il perimetro di sicurezza di rete.
Per altre informazioni sulla registrazione di una sottoscrizione in un provider di risorse, vedere Registrare il provider di risorse.
Errori di accesso alle chiavi gestite dal cliente
Se l'archivio di Configurazione app usa la crittografia della chiave gestita dal cliente, è possibile che venga visualizzato l'errore seguente quando si associa l'archivio a un perimetro di sicurezza di rete:
Impossibile applicare l'associazione perimetrale di sicurezza di rete richiesta perché blocca l'accesso alla chiave gestita dal cliente dell'archivio di configurazione. Vedere https://aka.ms/appconfig/NSPTroubleshooting per indicazioni sulla configurazione di un NSP per gli archivi di configurazione che usano una chiave gestita dal cliente.
Questo errore si verifica quando la configurazione del perimetro di sicurezza di rete impedisce all'archivio di Configurazione app di raggiungere il Azure Key Vault che contiene la chiave gestita dal cliente. Per risolvere questo errore, configurare il perimetro di sicurezza di rete per consentire l'accesso al Key Vault come descritto in Considerations for customer-managed key encryption e quindi ritentare l'associazione.