Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Usługa Azure Storage zapewnia wiele warstw zabezpieczeń sieciowych w celu ochrony danych i kontrolowania dostępu do kont magazynu. Ten artykuł zawiera omówienie najważniejszych funkcji zabezpieczeń sieci i opcji konfiguracji dostępnych dla kont usługi Azure Storage. Konto pamięci masowej można zabezpieczyć, wymagając połączeń HTTPS, implementując prywatne punkty końcowe w celu maksymalnej izolacji lub konfigurując dostęp do publicznego punktu końcowego za pośrednictwem zasad zapory i perymetrów zabezpieczeń sieciowych. Każde podejście oferuje różne poziomy zabezpieczeń i złożoności, co pozwala wybrać odpowiednią kombinację na podstawie określonych wymagań, architektury sieci i zasad zabezpieczeń.
Uwaga / Notatka
Klienci, którzy wysyłają żądania z dozwolonych źródeł, muszą również spełniać wymagania autoryzacji konta magazynu. Aby dowiedzieć się więcej na temat autoryzacji konta, zobacz Autoryzowanie dostępu do danych w usłudze Azure Storage.
Bezpieczne połączenia (HTTPS)
Domyślnie konta magazynu akceptują żądania tylko za pośrednictwem protokołu HTTPS. Wszystkie żądania wysyłane za pośrednictwem protokołu HTTP są odrzucane. Zalecamy wymaganie bezpiecznego transferu dla wszystkich kont magazynu, z wyjątkiem sytuacji, gdy udziały plików platformy Azure NFS są używane z zabezpieczeniami na poziomie sieci. Aby sprawdzić, czy twoje konto akceptuje żądania tylko z bezpiecznych połączeń, upewnij się, że włączono właściwość Wymagany bezpieczny transfer konta przechowywania. Aby dowiedzieć się więcej, zobacz Wymagaj bezpiecznego transferu, aby zapewnić bezpieczne połączenia.
Prywatne punkty końcowe
Jeśli to możliwe, utwórz prywatne łącza do kont pamięci masowej w celu zabezpieczenia dostępu za pośrednictwem prywatnego punktu końcowego. Prywatny punkt końcowy przypisuje prywatny adres IP z sieci wirtualnej do konta magazynowego. Klienci łączą się z kontem przechowywania za pomocą połączenia prywatnego. Ruch jest kierowany przez sieć szkieletową firmy Microsoft, zapewniając, że nie podróżuje przez publiczny Internet. Reguły dostępu można dostosować przy użyciu zasad sieciowych dla prywatnych punktów końcowych. Aby zezwolić na ruch tylko z linków prywatnych, możesz zablokować cały dostęp za pośrednictwem publicznego punktu końcowego. Prywatne punkty końcowe generują dodatkowe koszty, ale zapewniają maksymalną izolację sieci. Aby dowiedzieć się więcej, zobacz Używanie prywatnych punktów końcowych dla usługi Azure Storage.
Publiczne punkty końcowe
Publiczny punkt końcowy konta magazynu jest dostępny za pośrednictwem publicznego adresu IP. Publiczny punkt końcowy konta magazynowego można zabezpieczyć poprzez reguły zapory lub dodając konto magazynowe do obwodu bezpieczeństwa sieci.
Reguły zapory sieciowej
Reguły zapory umożliwiają ograniczenie ruchu do publicznego punktu końcowego. Nie wpływają one na ruch do prywatnego punktu końcowego.
Przed ich skonfigurowaniem należy włączyć reguły zapory. Włączenie reguł zapory domyślnie blokuje wszystkie żądania przychodzące. Żądania są dozwolone tylko wtedy, gdy pochodzą od klienta lub usługi, które działają w źródle określonym przez Ciebie. Reguły zapory sieciowej można włączyć, ustawiając domyślną regułę dostępu sieci publicznej dla konta magazynu. Aby dowiedzieć się, jak to zrobić, zobacz Ustawianie domyślnej reguły dostępu do sieci publicznej konta usługi Azure Storage.
Użyj reguł zapory, aby zezwolić na ruch z dowolnego z następujących źródeł:
- Określone podsieci w co najmniej jednej sieci wirtualnej platformy Azure
- Zakresy adresów IP
- Wystąpienia zasobów
- Zaufane usługi platformy Azure
Aby dowiedzieć się więcej, zobacz Reguły zapory usługi Azure Storage.
Ustawienia zapory sieciowej są specyficzne dla konta magazynowego. Jeśli chcesz zarządzać pojedynczym zestawem reguł ruchu przychodzącego i wychodzącego wokół grupy kont magazynu i innych zasobów, rozważ skonfigurowanie obwodu zabezpieczeń sieci.
Obwód zabezpieczeń sieci
Innym sposobem ograniczenia ruchu do publicznego punktu końcowego jest zawarcie konta magazynowego w obwodzie zabezpieczeń sieci. Obwód zabezpieczeń sieci chroni również przed eksfiltracją danych, umożliwiając definiowanie reguł ruchu wychodzącego. Obwód zabezpieczeń sieci może być szczególnie przydatny, gdy chcesz ustanowić granicę zabezpieczeń wokół kolekcji zasobów. Może to obejmować wiele kont przechowywania oraz innych zasobów platformy jako usługa (PaaS). Obwód zabezpieczeń sieci zapewnia pełniejszy zestaw kontroli dla ruchu przychodzącego, wychodzącego oraz PaaS-to-PaaS, które można zastosować do całego obwodu, zamiast konfigurować indywidualnie dla każdego zasobu. Może również zmniejszyć złożoność inspekcji ruchu.
Aby dowiedzieć się więcej, zobacz Obwód zabezpieczeń sieci dla usługi Azure Storage.
Zakresy operacji kopiowania (wersja zapoznawcza)
Możesz użyć funkcji zapoznawczej Zakres dozwolony dla operacji kopiowania, aby ograniczyć kopiowanie danych do kont magazynu, ograniczając źródła do tej samej dzierżawy Microsoft Entra lub sieci wirtualnej połączonej z linkami prywatnymi. Może to pomóc zapobiec niepożądanej infiltracji danych ze środowisk niezaufanych. Aby dowiedzieć się więcej, zobacz Ograniczyć źródło operacji kopiowania do konta magazynowego.