Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Armazenamento do Azure fornece várias camadas de segurança de rede para proteger seus dados e controlar o acesso às suas contas de armazenamento. Este artigo fornece uma visão geral dos principais recursos de segurança de rede e opções de configuração disponíveis para contas de Armazenamento do Azure. Você pode proteger sua conta de armazenamento exigindo conexões HTTPS, implementando pontos de extremidade privados para isolamento máximo ou configurando o acesso de ponto de extremidade público por meio de regras de firewall e perímetros de segurança de rede. Cada abordagem oferece diferentes níveis de segurança e complexidade, permitindo que você escolha a combinação certa com base em seus requisitos específicos, arquitetura de rede e políticas de segurança.
Observação
Os clientes que fazem solicitações de fontes permitidas também devem atender aos requisitos de autorização da conta de armazenamento. Para saber mais sobre a autorização da conta, consulte Autorizar o acesso aos dados no Armazenamento do Azure.
Conexões seguras (HTTPS)
Por padrão, as contas de armazenamento aceitam solicitações somente por HTTPS. Todas as solicitações feitas por HTTP são rejeitadas. Recomendamos que você exija transferência segura para todas as suas contas de armazenamento, exceto quando os compartilhamentos de arquivos do Azure NFS são usados com segurança em nível de rede. Para verificar se sua conta aceita solicitações somente de conexões seguras, verifique se a propriedade necessária de transferência segura da conta de armazenamento está habilitada. Para saber mais, confira Exigir transferência segura para garantir conexões seguras.
Pontos de extremidade privados
Sempre que possível, crie links privados para sua conta de armazenamento para proteger o acesso por meio de um ponto de extremidade privado. Um ponto de extremidade privado atribui um endereço IP privado de sua rede virtual à sua conta de armazenamento. Os clientes se conectam à sua conta de armazenamento usando o link privado. O tráfego é roteado pela rede de backbone da Microsoft, garantindo que ele não viaje pela Internet pública. Você pode ajustar as regras de acesso usando políticas de rede para pontos de extremidade privados. Para permitir que trafegue somente por links privados, você pode bloquear todo o acesso pelo endpoint público. Os pontos de extremidade privados incorrem em custos extras, mas fornecem isolamento máximo de rede. Para saber mais sobre, confira Usar endpoints privados para o Armazenamento do Azure.
Pontos de extremidade públicos
O ponto de extremidade público da sua conta de armazenamento é acessado por meio de um endereço IP público. Você pode proteger o ponto de extremidade público da sua conta de armazenamento usando regras de firewall ou adicionando sua conta de armazenamento a um perímetro de segurança de rede.
Regras de firewall
Regras de firewall permitem que você restrinja o tráfego ao endpoint público. Eles não afetam o tráfego para um endpoint privado.
Você deve habilitar regras de firewall antes de configurá-las. A habilitação de regras de firewall bloqueia todas as solicitações de entrada por padrão. As solicitações só serão permitidas se forem originadas de um cliente ou serviço que opera dentro de uma origem especificada. Habilite as regras de firewall definindo a regra de acesso à rede pública padrão da conta de armazenamento. Para saber como fazer isso, consulte Definir a regra de acesso à rede pública padrão de uma conta de Armazenamento do Azure.
Use regras de firewall para permitir o tráfego de qualquer uma das seguintes fontes:
- Sub-redes específicas em uma ou mais redes virtuais do Azure
- Intervalos de endereços IP
- Instâncias do recurso
- Serviços confiáveis do Azure
Para saber mais, confira as regras de firewall do Armazenamento do Azure.
As configurações de firewall são específicas para uma conta de armazenamento. Se você quiser gerenciar um único conjunto de regras de entrada e saída em torno de um grupo de contas de armazenamento e outros recursos, considere configurar um perímetro de segurança de rede.
Perímetro de segurança da rede
Outra maneira de limitar o tráfego para o seu endpoint público é incluir sua conta de armazenamento em um perímetro de segurança de rede. Um perímetro de segurança de rede também protege contra a exfiltração de dados, permitindo que você defina regras de saída. Um perímetro de segurança de rede pode ser particularmente útil quando você deseja estabelecer um limite de segurança em torno de uma coleção de recursos. Isso pode incluir várias contas de armazenamento e outros recursos de PaaS (plataforma como serviço). Um perímetro de segurança de rede fornece um conjunto mais completo de controles de entrada, saída e PaaS para PaaS que podem ser aplicados a todo o perímetro, em vez de serem configurados individualmente em cada recurso. Também pode reduzir parte da complexidade na auditoria do tráfego.
Para saber mais, confira o perímetro de segurança de rede do Armazenamento do Azure.
Copiar escopos de operação (versão prévia)
Você pode usar o recurso de visualização Escopo permitido para operações de cópia para restringir a cópia dos dados nas contas de armazenamento, limitando as origens ao mesmo locatário do Microsoft Entra ou à mesma rede virtual com links privados. Isso pode ajudar a evitar infiltração de dados indesejados de ambientes não confiáveis. Para saber mais, confira Restringir a origem das operações de cópia a uma conta de armazenamento.