Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
O perímetro de segurança de rede permite que as organizações definam um limite lógico de isolamento de rede para recursos PaaS (por exemplo, Armazenamento de Blobs do Azure e Banco de Dados SQL) implantados fora de suas redes virtuais. O recurso restringe o acesso da rede pública a recursos de PaaS fora do perímetro. No entanto, você pode isentar o acesso usando regras de acesso explícitas para tráfego público de entrada e saída. Isso ajuda a evitar a exfiltração de dados indesejados de seus recursos de armazenamento. Dentro de um perímetro de segurança de rede, os recursos dos membros podem se comunicar livremente entre si. As regras de perímetro de segurança de rede substituem as configurações de firewall da própria conta de armazenamento. O acesso de dentro do perímetro tem maior precedência sobre outras restrições de rede.
Você pode encontrar a lista de serviços que estão integrados ao perímetro de segurança de rede aqui. Se um serviço não estiver listado, ele ainda não está integrado. Para permitir o acesso a um recurso específico a partir de um serviço não integrado, você pode criar uma regra baseada em assinatura para o perímetro de segurança de rede. Uma regra baseada em assinatura concede acesso a todos os recursos dentro dessa assinatura. Para obter detalhes sobre como adicionar uma regra de acesso baseada em assinatura, consulte esta documentação.
Modos de Acesso
Ao integrar contas de armazenamento a um perímetro de segurança de rede, você pode iniciar no modo de transição (anteriormente modo de aprendizagem) ou ir direto para o modo imposto. O modo de transição (o padrão) permite que a conta de armazenamento volte às suas regras de firewall existentes ou configurações de "serviços confiáveis" se uma regra de perímetro ainda não permitir uma conexão. O modo imposto bloqueia estritamente todo o tráfego público de entrada e saída, a menos que explicitamente permitido por uma regra de perímetro de segurança de rede, garantindo a máxima proteção para sua conta de armazenamento. No modo imposto, mesmo as exceções de "serviço confiável" do Azure não são respeitadas. Recursos relevantes do Azure ou assinaturas específicas devem ser explicitamente permitidos por meio de regras de perímetro, se necessário.
Important
As contas de Armazenamento Operacional no modo de Transição (anteriormente Aprendizagem) devem servir apenas como uma etapa de transição. Agentes mal-intencionados podem explorar recursos não seguros para exfiltrar dados. Portanto, é crucial fazer a transição para uma configuração totalmente segura o mais rápido possível com o modo de acesso definido como Enforced.
Prioridade da rede
Quando uma conta de armazenamento faz parte de um perímetro de segurança de rede, as regras de acesso do perfil relevante substituem as configurações de firewall da própria conta, tornando-se o gatekeeper de rede de nível superior. O acesso permitido ou negado pelo perímetro tem precedência, e as configurações de "Redes permitidas" da conta são ignoradas quando a conta de armazenamento é associada no modo imposto. Remover a conta de armazenamento de um perímetro de segurança de rede reverte o controle de volta para seu firewall regular. Os perímetros de segurança de rede não afetam o tráfego de pontos finais privados. As conexões via link privado sempre são bem-sucedidas. Para serviços internos do Azure ("serviços confiáveis"), somente serviços explicitamente integrados ao perímetro de segurança de rede podem ser permitidos por meio de regras de acesso de perímetro. Caso contrário, o tráfego deles será bloqueado por padrão, mesmo se confiável nas regras de firewall da conta de armazenamento. Para serviços que ainda não foram integrados, as alternativas incluem regras de nível de assinatura para acesso de saída com FQDN (Fully Qualified Domain Names) ou através de links privados.
Important
O tráfego de ponto final privado é considerado altamente seguro e, portanto, não está sujeito às regras de perímetro de segurança de rede. Todo o outro tráfego, incluindo serviços confiáveis, está sujeito às regras de perímetro de segurança de rede se a conta de armazenamento estiver associada a um perímetro.
Cobertura de funcionalidades no âmbito do perímetro de segurança da rede
Quando uma conta de armazenamento é associada a um perímetro de segurança de rede, todas as operações de plano de dados padrão para blobs, arquivos, tabelas e filas são suportadas, a menos que especificado nas limitações conhecidas. Todas as operações baseadas em HTTPS para o Armazenamento de Blobs do Azure, o Azure Data Lake Storage Gen2, os Arquivos do Azure, o Armazenamento de Tabela do Azure e o Armazenamento de Filas do Azure podem ser restritas usando o perímetro de segurança de rede.
Limitations
| Feature | Estado do suporte | Recommendations |
|---|---|---|
| Replicação de objetos para o Armazenamento de Blobs do Azure | Não suportado. A replicação de objetos entre contas de armazenamento falhará se a conta de origem ou de destino estiver associada a um perímetro de segurança de rede | Não configure o perímetro de segurança de rede em contas de armazenamento que precisam de replicação de objetos. Da mesma forma, não habilite a replicação de objetos em contas associadas ao perímetro de segurança de rede até que o suporte esteja disponível. Se a replicação de objetos já estiver habilitada, não será possível associar um perímetro de segurança de rede. Da mesma forma, se um perímetro de segurança de rede já estiver associado, não será possível habilitar a replicação de objetos. Essa restrição impede que você configure um cenário sem suporte. |
| Acesso ao sistema de arquivos de rede (NFS) sobre Blobs do Azure e Arquivos do Azure, acesso ao bloco de mensagens do servidor (SMB) sobre Arquivos do Azure e protocolo de transferência de arquivos SSH (SFTP) sobre Blobs do Azure | Todos os protocolos diferentes do acesso baseado em HTTPS são bloqueados quando a conta de armazenamento está associada a um perímetro de segurança de rede | Se você precisar usar qualquer um desses protocolos para acessar sua conta de armazenamento, não associe a conta a um perímetro de segurança de rede |
| Azure Backup | Não suportado. O Backup do Azure como serviço ainda não está integrado ao perímetro de segurança de rede. | Recomendamos não associar uma conta ao perímetro de segurança de rede se você tiver backups habilitados ou se planeja usar o Backup do Azure. Depois que o Backup do Azure for integrado ao perímetro de segurança de rede, você poderá começar a usar esses dois recursos juntos |
| Discos não administrados | Os discos não gerenciados não respeitam as regras de perímetro de segurança de rede. | Evite usar discos não gerenciados em contas de armazenamento protegidas pelo perímetro de segurança de rede |
| Site estático | Não suportado | Site estático, sendo aberto na natureza não pode ser usado com perímetro de segurança de rede. Se o site estático já estiver habilitado, não será possível associar um perímetro de segurança de rede. Da mesma forma, se um perímetro de segurança de rede já estiver associado, não será possível ativar o site estático. Essa restrição impede que você configure um cenário sem suporte. |
Warning
Para contas de armazenamento associadas a um perímetro de segurança de rede, para que os cenários de chaves gerenciadas pelo cliente (CMK) funcionem, verifique se o Cofre de Chaves do Azure está acessível de dentro do perímetro ao qual a conta de armazenamento está associada.
Associar um perímetro de segurança de rede a uma conta de armazenamento
Para associar um perímetro de segurança de rede a uma conta de armazenamento, siga estas instruções comuns para todos os recursos de PaaS.
Próximos passos
- Saiba mais sobre os pontos de extremidade dos serviços de rede Azure.
- Aprofunde-se nas recomendações de segurança para o armazenamento de Blob do Azure.
- Ativar registos de diagnóstico para o Perímetro de Segurança da Rede.