Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Antes de implementar a segurança de rede para suas contas de armazenamento, examine as restrições e considerações importantes nesta seção.
Diretrizes e limitações gerais
As regras de firewall do Armazenamento do Azure se aplicam somente às operações do plano de dados . As operações do plano de controle não estão sujeitas às restrições especificadas nas regras de firewall.
Para acessar dados usando ferramentas como o portal do Azure, o Gerenciador de Armazenamento do Azure e o AzCopy, você deve estar em um computador dentro do limite confiável estabelecido ao configurar regras de segurança de rede.
Algumas operações, como operações de contêiner de blob, podem ser executadas pelo plano de controle e do plano de dados. Se você tentar executar uma operação, como listar contêineres do portal do Azure, a operação terá êxito, a menos que seja bloqueada por outro mecanismo. As tentativas de acessar dados de blob de um aplicativo, como o Gerenciador de Armazenamento do Azure, são controladas pelas restrições de firewall.
Para obter uma lista de operações do plano de dados, consulte a Referência da API REST do Armazenamento do Azure.
Para obter uma lista das operações do painel de controle, consulte a Referência da API REST do Provedor de Recursos de Armazenamento do Azure.
As regras de rede são impostas em todos os protocolos de rede para o Armazenamento do Microsoft Azure, incluindo REST e SMB.
As regras de rede não afetam o tráfego de disco da máquina virtual (VM), incluindo operações de montagem e desmontagem e E/S de disco, mas ajudam a proteger o acesso REST aos blobs de páginas.
Você pode usar discos não gerenciados nas contas de armazenamento com regras de rede aplicadas para fazer backup e restaurar VMs criando uma exceção. As exceções de firewall não se aplicam a discos gerenciados porque o Azure já os gerencia.
Se você excluir uma sub-rede incluída em uma regra de rede virtual, ela será removida das regras de rede da conta de armazenamento. Se você criar uma nova sub-rede com o mesmo nome, ela não terá acesso à conta de armazenamento. Para permitir o acesso, você precisa autorizar explicitamente a nova sub-rede nas regras de rede da conta de armazenamento.
Ao referenciar um ponto de extremidade de serviço em um aplicativo cliente, recomendamos que você evite usar uma dependência em um endereço IP armazenado em cache. O endereço IP da conta de armazenamento está sujeito a alterações e depender de um endereço IP armazenado em cache pode resultar em um comportamento inesperado. Além disso, recomendamos que você respeite o TTL (tempo de vida útil) do registro DNS e evite substituí-lo. Substituir a TTL DNS pode resultar em um comportamento inesperado.
O acesso a uma conta de armazenamento de serviços confiáveis tem maior precedência do que outras restrições de acesso à rede, por padrão. Se você definir o Acesso à rede pública como Desabilitado depois de já ter definido como Habilitado de redes virtuais selecionadas e endereços IP, todas as instâncias de recurso e exceções que você configurou anteriormente, incluindo Permitir que os serviços do Azure na lista de serviços confiáveis acessem essa conta de armazenamento, permanecerão em vigor. Com isso, esses recursos e serviços ainda poderão ter acesso à conta de armazenamento.
Mesmo se você desabilitar o acesso à rede pública, ainda poderá receber um aviso do Microsoft Defender para Armazenamento ou do Assistente do Azure, que recomenda restringir o acesso usando regras de rede virtual. Isso pode acontecer nos casos em que você desabilitar o acesso público usando um template. A propriedade defaultAction permanece definida como Permitir , mesmo que você defina a propriedade PublicNetworkAccess como Desabilitada. Embora a propriedade PublicNetworkAccess tenha precedência, ferramentas como o Microsoft Defender também relatam o valor da propriedade defaultAction . Para resolver esse problema, use um modelo para definir a propriedade defaultActionNegar ou desabilitar o acesso público usando ferramentas como portal do Azure, PowerShell ou CLI do Azure. Essas ferramentas alteram automaticamente a propriedade defaultAction para um valor de Deny para você.
Restrições para regras de rede de IP
As regras de rede IP são permitidas apenas para endereços IP públicos da internet.
Intervalos de endereços IP reservados para redes privadas (conforme definido em RFC 1918) não são permitidos nas regras de IP. Redes privadas incluem endereços que começam com 10, 172.16 a 172.31 e 192.168.
Forneça intervalos de endereços de Internet permitidos usando a notação CIDR no formulário 16.17.18.0/24 ou como endereços IP individuas como 16.17.18.19.
Não há suporte para intervalos de endereços pequenos que usam tamanhos de prefixo /31 ou /32. Configure esses intervalos usando regras de endereço IP individuais.
Somente endereços IPv4 são compatíveis com a configuração de regras de firewall de armazenamento.
Você não pode usar regras de rede IP para restringir o acesso a clientes na mesma região do Azure que a conta de armazenamento. As regras de rede IP não terão efeito sobre solicitações originadas da mesma região do Azure que a conta de armazenamento. Use as regras de rede Virtual para permitir solicitações da mesma região.
Você não pode usar regras de rede IP para restringir o acesso a clientes em uma região emparelhada que estão em uma rede virtual com um ponto de extremidade de serviço.
Você não pode usar regras de rede IP para restringir o acesso aos serviços do Azure implantados na mesma região que a conta de armazenamento.
Os serviços implantados na mesma região que a conta de armazenamento usam endereços IP privados do Azure para comunicação. Portanto, você não pode restringir o acesso a serviços específicos do Azure com base no intervalo de endereços IP de saída público.
Próximas etapas
- Saiba mais sobre os Pontos de extremidade de serviço da rede do Azure.
- Aprofunde-se nas recomendações de segurança para o armazenamento de Blobs do Azure.