Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El perímetro de seguridad de red permite a las organizaciones definir un límite de aislamiento de red lógico para los recursos paaS (por ejemplo, Azure Blob Storage y SQL Database) que se implementan fuera de sus redes virtuales. La característica restringe el acceso de red pública a los recursos de PaaS fuera del perímetro. Sin embargo, puede excluir el acceso mediante reglas de acceso explícitas para el tráfico entrante y saliente público. Esto ayuda a evitar la filtración de datos no deseados de los recursos de almacenamiento. Dentro de un perímetro de seguridad de red, los recursos miembros pueden comunicarse libremente entre sí. Las reglas perimetrales de seguridad de red invalidan la configuración de firewall propia de la cuenta de almacenamiento. El acceso desde dentro del perímetro tiene prioridad más alta sobre otras restricciones de red.
Puede encontrar la lista de servicios que se incorporan al perímetro de seguridad de red aquí. Si un servicio no aparece en la lista, aún no se incorpora. Para permitir el acceso a un recurso específico desde un servicio no incorporado, puede crear una regla basada en suscripciones para el perímetro de seguridad de red. Una regla basada en suscripciones concede acceso a todos los recursos de esa suscripción. Para más información sobre cómo agregar una regla de acceso basada en suscripciones, consulte esta documentación.
Modos de acceso
Al incorporar cuentas de almacenamiento a un perímetro de seguridad de red, puede comenzar en modo de transición (anteriormente modo de aprendizaje) o ir directamente al modo aplicado. El modo de transición (valor predeterminado) permite que la cuenta de almacenamiento vuelva a sus reglas de firewall existentes o a la configuración de "servicios de confianza" si una regla perimetral aún no permite una conexión. El modo aplicado bloquea estrictamente todo el tráfico entrante y saliente público, a menos que una regla de perímetro de seguridad de red lo permita explícitamente, lo que garantiza la máxima protección para la cuenta de almacenamiento. En el modo aplicado, no se respetan las excepciones de "servicio de confianza" de Azure. Los recursos de Azure pertinentes o suscripciones específicas deben permitirse explícitamente a través de reglas perimetrales si es necesario.
Important
Las cuentas de almacenamiento operativo en el modo de transición (anteriormente Learning) solo deben servir como paso de transición. Los actores malintencionados pueden aprovechar los recursos no seguros para filtrar datos. Por lo tanto, es fundamental realizar la transición a una configuración totalmente segura lo antes posible con el modo de acceso establecido en Forzado.
Prioridad de red
Cuando una cuenta de almacenamiento forma parte de un perímetro de seguridad de red, las reglas de acceso del perfil pertinente invalidan la configuración de firewall propia de la cuenta, convirtiéndose en el guardián de red de nivel superior. El acceso permitido o denegado por el perímetro tiene prioridad y la configuración de "Redes permitidas" de la cuenta se omite cuando la cuenta de almacenamiento está asociada en modo aplicado. Al quitar la cuenta de almacenamiento de un perímetro de seguridad de red, el control vuelve a su firewall habitual. Los perímetros de seguridad de red no afectan al tráfico del punto de conexión privado. Las conexiones a través de private link siempre se realizan correctamente. En el caso de los servicios internos de Azure ("servicios de confianza"), solo se pueden permitir los servicios incorporados explícitamente al perímetro de seguridad de red a través de reglas de acceso perimetral. De lo contrario, su tráfico se bloquea de forma predeterminada, incluso si se confía en las reglas de firewall de la cuenta de almacenamiento. En el caso de los servicios que aún no están incorporados, las alternativas incluyen reglas de nivel de suscripción para nombres de dominio entrantes y completos (FQDN) para el acceso saliente o a través de vínculos privados.
Important
El tráfico del punto de conexión privado se considera altamente seguro y, por lo tanto, no está sujeto a reglas perimetrales de seguridad de red. El resto del tráfico, incluidos los servicios de confianza, está sujeto a reglas perimetrales de seguridad de red si la cuenta de almacenamiento está asociada a un perímetro.
Cobertura funcional en el perímetro de seguridad de la red
Cuando una cuenta de almacenamiento está asociada a un perímetro de seguridad de red, se admiten todas las operaciones estándar del plano de datos para blobs, archivos, tablas y colas, a menos que se especifiquen con las limitaciones conocidas. Todas las operaciones basadas en HTTPS para Azure Blob Storage, Azure Data Lake Storage Gen2, Azure Files, Azure Table Storage y Azure Queue Storage se pueden restringir mediante el perímetro de seguridad de red.
Limitations
| Feature | Compatibilidad con el estado | Recommendations |
|---|---|---|
| Replicación de objetos para Azure Blob Storage | No compatible. Se produce un error en la replicación de objetos entre cuentas de almacenamiento si la cuenta de origen o de destino está asociada a un perímetro de seguridad de red | No configure el perímetro de seguridad de red en las cuentas de almacenamiento que necesitan replicación de objetos. Del mismo modo, no habilite la replicación de objetos en cuentas asociadas con el perímetro de seguridad de red hasta que la compatibilidad esté disponible. Si la replicación de objetos ya está habilitada, no puede asociar un perímetro de seguridad de red. Del mismo modo, si ya está asociado un perímetro de seguridad de red, no se puede habilitar la replicación de objetos. Esta restricción impide configurar un escenario no admitido. |
| Acceso del sistema de archivos de red (NFS) a través de blobs de Azure y Azure Files, acceso al bloque de mensajes del servidor (SMB) a través de Azure Files y protocolo de transferencia de archivos SSH (SFTP) a través de blobs de Azure | Todos los protocolos distintos del acceso basado en HTTPS se bloquean cuando la cuenta de almacenamiento está asociada a un perímetro de seguridad de red. | Si necesita usar cualquiera de estos protocolos para acceder a la cuenta de almacenamiento, no asocie la cuenta a un perímetro de seguridad de red. |
| Azure Backup | No está soportado. Azure Backup como servicio aún no está incorporado al perímetro de seguridad de red. | Se recomienda no asociar una cuenta con el perímetro de seguridad de red si tiene habilitadas copias de seguridad o si tiene previsto usar Azure Backup. Una vez que Azure Backup se incorpora al perímetro de seguridad de red, puede empezar a usar ambas características juntas. |
| Discos no administrados | Los discos no administrados no respetan las reglas perimetrales de seguridad de red. | Evite el uso de discos no administrados en cuentas de almacenamiento protegidas por el perímetro de seguridad de red |
| Sitio web estático | No está soportado | Los sitios web estáticos, al ser de naturaleza abierta, no pueden utilizarse con un perímetro de seguridad de red. Si el sitio web estático ya está habilitado, no se puede asociar un perímetro de seguridad de red. Del mismo modo, si ya hay un perímetro de seguridad de red asociado, no se puede habilitar el sitio web estático. Esta restricción impide configurar un escenario no admitido. |
Warning
En el caso de las cuentas de almacenamiento asociadas a un perímetro de seguridad de red, para que los escenarios de claves administradas por el cliente (CMK) funcionen, asegúrese de que azure Key Vault sea accesible desde el perímetro al que está asociada la cuenta de almacenamiento.
Asociación de un perímetro de seguridad de red a una cuenta de almacenamiento
Para asociar un perímetro de seguridad de red a una cuenta de almacenamiento, siga estas instrucciones comunes para todos los recursos de PaaS.
Pasos siguientes
- Más información sobre los puntos de conexión de servicio de red de Azure.
- Profundice en las recomendaciones de seguridad para Azure Blob Storage.
- Habilite los registros de diagnóstico para el perímetro de seguridad de red.