Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
O Armazenamento do Azure fornece várias camadas de segurança de rede para proteger os seus dados e controlar o acesso às suas contas de armazenamento. Este artigo fornece uma visão geral dos principais recursos de segurança de rede e opções de configuração disponíveis para contas de Armazenamento do Azure. Você pode proteger sua conta de armazenamento exigindo conexões HTTPS, implementando pontos de extremidade privados para isolamento máximo ou configurando o acesso público ao ponto final por meio de regras de firewall e perímetros de segurança de rede. Cada abordagem oferece diferentes níveis de segurança e complexidade, permitindo que você escolha a combinação certa com base em seus requisitos específicos, arquitetura de rede e políticas de segurança.
Observação
Os clientes que fazem solicitações de fontes permitidas também devem atender aos requisitos de autorização da conta de armazenamento. Para saber mais sobre a autorização de conta, consulte Autorizar acesso a dados no Armazenamento do Azure.
Conexões seguras (HTTPS)
Por padrão, as contas de armazenamento aceitam solicitações somente por HTTPS. Todas as solicitações feitas por HTTP são rejeitadas. Recomendamos que você exija transferência segura para todas as suas contas de armazenamento, exceto quando os compartilhamentos de arquivos do Azure NFS são usados com segurança no nível da rede. Para verificar se sua conta aceita solicitações somente de conexões seguras, verifique se a propriedade Transferência segura necessária da conta de armazenamento está ativada. Para saber mais, consulte Exigir transferência segura para garantir conexões seguras.
Terminais privados
Sempre que possível, crie links privados para sua conta de armazenamento para proteger o acesso por meio de um ponto de extremidade privado. Um ponto de extremidade privado atribui um endereço IP privado da sua rede virtual à sua conta de armazenamento. Os clientes se conectam à sua conta de armazenamento usando o link privado. O tráfego é roteado pela rede de backbone da Microsoft, garantindo que ele não viaje pela Internet pública. Você pode ajustar as regras de acesso usando políticas de rede para pontos de extremidade privados. Para permitir o tráfego apenas de links privados, pode bloquear todo o acesso pelo endpoint público. Os terminais privados incorrem em custos adicionais, mas fornecem o máximo isolamento da rede. Para saber mais, consulte Usar pontos de extremidade privados para o Armazenamento do Azure.
Parâmetros de avaliação públicos
O ponto de extremidade público da sua conta de armazenamento é acessado por meio de um endereço IP público. Você pode proteger o ponto de extremidade público de sua conta de armazenamento usando regras de firewall ou adicionando sua conta de armazenamento a um perímetro de segurança de rede.
Regras de firewall
As regras de firewall permitem limitar o tráfego para o endpoint público. Eles não afetam o tráfego para um ponto de extremidade privado.
Você deve habilitar as regras de firewall antes de configurá-las. A ativação de regras de firewall bloqueia todas as solicitações recebidas por padrão. As solicitações são permitidas somente se forem originadas de um cliente ou serviço que opere dentro de uma fonte especificada por você. Você habilita as regras de firewall definindo a regra de acesso à rede pública padrão da conta de armazenamento. Para saber como fazer isso, consulte Definir a regra de acesso à rede pública padrão de uma conta de Armazenamento do Azure.
Use regras de firewall para permitir o tráfego de qualquer uma das seguintes fontes:
- Sub-redes específicas em uma ou mais redes virtuais do Azure
- Intervalos de endereços IP
- Instâncias de recursos
- Serviços confiáveis do Azure
Para saber mais, consulte Regras de firewall do Armazenamento do Azure.
As configurações de firewall são específicas de uma conta de armazenamento. Se você quiser gerenciar um único conjunto de regras de entrada e saída em torno de um grupo de contas de armazenamento e outros recursos, considere configurar um perímetro de segurança de rede.
Perímetro de segurança da rede
Outra maneira de limitar o tráfego para seu ponto de extremidade público é incluir sua conta de armazenamento em um perímetro de segurança de rede. Um perímetro de segurança de rede também protege contra a exfiltração de dados, permitindo que você defina regras de saída. Um perímetro de segurança de rede pode ser particularmente útil quando você deseja estabelecer um limite de segurança em torno de uma coleção de recursos. Isso pode incluir várias contas de armazenamento e outros recursos de plataforma como serviço (PaaS). Um perímetro de segurança de rede fornece um conjunto mais completo de controles de entrada, saída e PaaS que podem ser aplicados a todo o perímetro, em vez de serem configurados individualmente em cada recurso. Também pode reduzir parte da complexidade na auditoria de tráfego.
Para saber mais, consulte Perímetro de segurança de rede para o Armazenamento do Azure.
Âmbitos de operações de cópia (pré-visualização)
Você pode usar o recurso de pré-visualização Escopo permitido para operações de cópia para restringir a cópia de dados para contas de armazenamento, limitando as fontes ao mesmo locatário do Microsoft Entra ou rede virtual com ligações privadas. Isso pode ajudar a evitar a infiltração de dados indesejados de ambientes não confiáveis. Para saber mais, consulte Restringir a origem das operações de cópia a uma conta de armazenamento.