[新产品/新功能] 公开预览：Network Watcher VNET 流日志、流量分析及数据包捕获已支持托管标识

**发布时间:** 2025-11-25 **厂商:** Azure **类型:** Updates ---  [新产品/新功能] 公开预览：Network Watcher VNET 流日志、流量分析及数据包捕获已支持托管标识   # 产品功能分析 ## 新功能/新产品概述 Azure Network Watcher 的核心网络监控组件——**VNET 流日志 (VNET flow log)**、**流量分析 (Traffic Analytics)** 和 **数据包捕获 (Packet Capture)**，现已在公共预览版中支持 **托管标识 (Managed Identity)**。这项新功能旨在通过 **Microsoft Entra ID** (前身为 Azure AD) 为 Network Watcher 服务提供一个自动管理的身份，使其在访问其他 Azure 资源（如用于存储日志的 **Azure Blob 存储**和用于数据分析的 **Log Analytics 工作区**）时，无需再使用和管理静态的访问密钥或连接字符串。其工作原理是，在启用后，Network Watcher 会利用其 **托管标识** 从 **Microsoft Entra ID** 获取一个临时的 **访问令牌 (Access Token)**，并使用该令牌向目标资源进行身份验证，从而实现安全、无缝的访问。此功能主要面向关注安全性和简化运维的 Azure 网络管理员、安全工程师和云架构师，是 Azure 将其“无密码”安全理念深度集成到原生网络基础设施服务中的重要一步，旨在提升企业级云环境的安全基线和管理效率。 ## 关键客户价值 - **显著提升安全性** - 通过消除对长期有效的静态凭据（如存储账户访问密钥）的依赖，从根本上降低了因凭据意外泄露而导致数据被未授权访问的风险。**托管标识** 使用的是由 Azure 平台自动管理和轮换的短期访问令牌，遵循了“凭据无密码化”的最佳实践。 - 与传统的共享访问签名 (SAS) 或账户密钥认证相比，**托管标识** 结合 **Azure RBAC (基于角色的访问控制)**，可以实现更精细、更动态的权限管理。管理员可以精确授予 Network Watcher 仅执行必要操作（如写入 Blob）的最小权限，完全符合**最小权限原则 (Principle of Least Privilege)**。 - **简化运维管理** - 彻底免除了管理员手动创建、分发、轮换和撤销访问密钥的繁琐工作。这不仅降低了运维成本，还减少了因人为错误（如密钥过期未轮换）导致服务中断的可能性。 - 配置流程得到简化，管理员只需在 Azure 门户或通过 IaC (基础设施即代码) 工具为 Network Watcher 的 **托管标识** 分配适当的 **RBAC** 角色即可，整个过程更加标准化且易于自动化。 - **增强合规性与可审计性** - 所有通过 **托管标识** 进行的访问请求都会在 **Microsoft Entra ID** 中留下详细的审计日志。这为安全审计和合规性审查提供了清晰的追溯路径，能够明确追踪到是 Network Watcher 服务在何时、对哪个资源执行了操作，满足了许多行业对安全审计的严格要求。 ## 关键技术洞察 - 该功能的核心是利用了 **Microsoft Entra ID** 的 **服务主体 (Service Principal)** 机制。当为 Network Watcher 启用 **托管标识** 时，Azure 会在后台为其创建一个与该服务实例生命周期绑定的特殊类型的 **服务主体**。 - 其身份验证流程遵循标准的 **OAuth 2.0** 客户端凭据授予流程。Network Watcher 服务向 Azure 内部的身份验证终结点发起请求，凭借其托管身份获取一个针对目标资源（如 `storage.azure.com`）的 **JWT (JSON Web Token)** 格式的访问令牌。随后，它在访问目标资源的 API 请求中携带此令牌进行身份验证。 - 技术创新点在于将 **托管标识** 这一成熟的身份管理技术无缝集成到基础网络监控服务中。这标志着 Azure 正在将其“身份即安全边界”的云原生安全模型从计算服务（如虚拟机、函数应用）全面扩展到平台级的基础设施服务，构建了更加统一和安全的管理体验。这种原生集成避免了用户自行管理凭据或配置复杂的服务间认证逻辑，降低了技术门槛。   # 公共预览版：Network Watcher 的 VNet 流日志、流量分析和数据包捕获支持托管标识 **发布时间:** 2025-11-25 **厂商:** Azure **类型:** Updates --- VNet 流日志 (VNET flow log) 捕获流经 VNet、子网和 NIC 的 IP 流量，用于监控、故障排查、网络优化、安全和合规性需求，并将日志存储在 Azure Storage 中。流量分析 (Traffic Analytics) 利用 VNet 流日志，对流量进行聚合、处理和丰富，以分析流量流向，并提供有关网络活动、可视化、安全性和性能的见解。 Network Watcher 的数据包捕获 (packet capture) 功能可以直接从虚拟机 (virtual machine) 捕获网络数据包，帮助用户进行深度网络分析和诊断问题。由 Microsoft Entra ID 提供的托管标识 (Managed identities) 使 VNet 流日志和流量分析能够安全地访问 Azure Blob Storage 和日志分析工作区 (log analytics workspace)，而无需管理凭据。更多信息，请参阅 [什么是 Azure 资源的托管标识](https://learn.microsoft.com/en-us/entra/identity/) 。为 Network Watcher VNet 流日志、流量分析或数据包捕获启用托管标识后，通过授予托管标识必要的权限，该功能将使用托管标识从 Microsoft Entra ID 获取访问令牌 (access token) 以访问指定资源。 [了解更多。](https://aka.ms/NWMI)