Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O perímetro de segurança de rede permite que as organizações definam um limite de isolamento de rede lógica para recursos de PaaS (por exemplo, Armazenamento de Blobs do Azure e Banco de Dados SQL) implantados fora de suas redes virtuais. O recurso restringe o acesso à rede pública aos recursos de PaaS fora do perímetro. No entanto, você pode isentar o acesso usando regras de acesso explícitas para tráfego público de entrada e saída. Isso ajuda a impedir a exfiltração de dados indesejada dos recursos de armazenamento. Dentro de um perímetro de segurança de rede, os recursos de membros podem se comunicar livremente entre si. As regras de perímetro de segurança de rede substituem as configurações de firewall da própria conta de armazenamento. O acesso de dentro do perímetro tem a maior precedência sobre outras restrições de rede.
Você pode encontrar a lista de serviços integrados ao perímetro de segurança de rede aqui. Se um serviço não estiver listado, ele ainda não está integrado. Para permitir o acesso a um recurso específico de um serviço não integrado, você pode criar uma regra baseada em assinatura para o perímetro de segurança de rede. Uma regra baseada em assinatura concede acesso a todos os recursos nessa assinatura. Para obter detalhes sobre como adicionar uma regra de acesso baseada em assinatura, consulte esta documentação.
Modos de acesso
Ao integrar contas de armazenamento a um perímetro de segurança de rede, você pode começar no Modo de Transição (anteriormente 'Modo Aprendizado') ou ir direto para o Modo Aplicado. O modo de transição (o padrão) permite que a conta de armazenamento recue às regras de firewall existentes ou às configurações de "serviços confiáveis" se uma regra de perímetro ainda não permitir uma conexão. O modo imposto bloqueia estritamente todo o tráfego de entrada e saída público, a menos que seja explicitamente permitido por uma regra de perímetro de segurança de rede, garantindo a proteção máxima para sua conta de armazenamento. No modo imposto, até mesmo as exceções de "serviço confiável" do Azure não são respeitadas. Recursos relevantes do Azure ou assinaturas específicas devem ser explicitamente permitidos por meio de regras de perímetro, se necessário.
Important
As contas de Armazenamento Operacional no modo transição (anteriormente aprendizado) devem servir apenas como uma etapa de transição. Atores mal-intencionados podem explorar recursos não confiáveis para exfiltrar dados. Portanto, é crucial fazer a transição para uma configuração totalmente segura o mais rápido possível com o modo de acesso definido como Forçado.
Prioridade da rede
Quando uma conta de armazenamento faz parte de um perímetro de segurança de rede, as regras de acesso do perfil relevante substituem as configurações de firewall da conta, tornando-se o gatekeeper de rede de nível superior. O acesso permitido ou negado pelo perímetro tem precedência, e as configurações de "Redes permitidas" da conta são ignoradas quando a conta de armazenamento está associada no modo forçado. Remover a conta de armazenamento de um perímetro de segurança de rede faz com que o controle retorne ao seu firewall padrão. Os perímetros de segurança de rede não afetam o tráfego de ponto de extremidade privado. As conexões por meio de link privado sempre são bem-sucedidas. Para serviços internos do Azure ("serviços confiáveis"), somente serviços integrados explicitamente ao perímetro de segurança de rede podem ser permitidos por meio de regras de acesso de perímetro. Caso contrário, o tráfego será bloqueado por padrão, mesmo que seja confiável nas regras de firewall da conta de armazenamento. Para serviços ainda não integrados, as alternativas incluem regras de nível de assinatura para entrada e nomes de domínio totalmente qualificados (FQDN) para acesso de saída ou por meio de links privados.
Important
O tráfego de ponto de extremidade privado é considerado altamente seguro e, portanto, não está sujeito a regras do perímetro de segurança de rede. Todo o outro tráfego, incluindo serviços confiáveis, estará sujeito a regras de perímetro de segurança de rede se a conta de armazenamento estiver associada a um perímetro.
Cobertura de funcionalidades no perímetro de segurança de rede
Quando uma conta de armazenamento é associada a um perímetro de segurança de rede, todas as operações de plano de dados padrão para blobs, arquivos, tabelas e filas têm suporte, a menos que sejam especificadas sob as limitações conhecidas. Todas as operações baseadas em HTTPS para Armazenamento de Blobs do Azure, Azure Data Lake Storage Gen2, Arquivos do Azure, Armazenamento de Tabelas do Azure e Armazenamento de Filas do Azure podem ser restritas usando o perímetro de segurança de rede.
Limitations
| Feature | Status de suporte | Recommendations |
|---|---|---|
| Replicação de objeto para o Armazenamento de Blobs do Azure | Sem suporte. A replicação de objeto entre contas de armazenamento falhará se a conta de origem ou de destino estiver associada a um perímetro de segurança de rede | Não configure o perímetro de segurança de rede em contas de armazenamento que precisam de replicação de objeto. Da mesma forma, não habilite a replicação de objeto em contas associadas ao perímetro de segurança de rede até que o suporte esteja disponível. Se a replicação de objeto já estiver habilitada, você não poderá associar um perímetro de segurança de rede. Da mesma forma, se um perímetro de segurança de rede já estiver associado, você não poderá habilitar a replicação de objeto. Essa restrição impede que você configure um cenário sem suporte. |
| Acesso ao sistema de arquivos de rede (NFS) sobre Blobs do Azure e Arquivos do Azure, Protocolo SMB sobre Arquivos do Azure e Protocolo de Transferência de Arquivo SSH (SFTP) sobre Blobs do Azure | Todos os protocolos que não sejam o acesso baseado em HTTPS são bloqueados quando a conta de armazenamento está associada a um perímetro de segurança de rede | Se você precisar usar qualquer um desses protocolos para acessar sua conta de armazenamento, não associe a conta a um perímetro de segurança de rede |
| Backup do Azure | Não há suporte. O Backup do Azure como serviço ainda não está integrado ao perímetro de segurança de rede. | Recomendamos não associar uma conta ao perímetro de segurança de rede se você tiver backups habilitados ou se planeja usar o Backup do Azure. Depois que o Backup do Azure for integrado ao perímetro de segurança de rede, você poderá começar a usar esses dois recursos juntos |
| Discos não gerenciados | Discos não gerenciados não respeitam as regras de perímetro de segurança de rede. | Evite usar discos não gerenciados em contas de armazenamento protegidas pelo perímetro de segurança de rede |
| Site Estático | Sem suporte | O site estático, por ser inerentemente aberto, não pode ser usado com o perímetro de segurança de rede. Se o site estático já estiver habilitado, não será possível associar um perímetro de segurança de rede. Da mesma forma, se um perímetro de segurança de rede já estiver associado, não será possível habilitar o site estático. Essa restrição impede que você configure um cenário sem suporte. |
Warning
Para contas de armazenamento associadas a um perímetro de segurança de rede, para que os cenários de CMK (chaves gerenciadas pelo cliente) funcionem, verifique se o Azure Key Vault está acessível dentro do perímetro ao qual a conta de armazenamento está associada.
Associar um perímetro de segurança de rede a uma conta de armazenamento
Para associar um perímetro de segurança de rede a uma conta de armazenamento, siga estas instruções comuns para todos os recursos de PaaS.
Próximas etapas
- Saiba mais sobre os Pontos de extremidade de serviço da rede do Azure.
- Aprofunde-se nas recomendações de segurança para o armazenamento de Blobs do Azure.
- Habilitar Logs de diagnóstico do Perímetro de Segurança da Rede.