Azure 記憶體提供多層的網路安全性來保護您的數據,並控制記憶體帳戶的存取。 本文提供 Azure 記憶體帳戶可用的主要網路安全性功能和組態選項概觀。 您可以藉由要求 HTTPS 連線、實作私人端點以達到最大隔離,或透過防火牆規則和網路安全性周邊設定公用端點存取,來保護記憶體帳戶。 每個方法都提供不同層級的安全性和複雜度,可讓您根據特定需求、網路架構和安全性策略來選擇正確的組合。
備註
從允許來源提出要求的客戶端也必須符合記憶體帳戶的授權需求。 若要深入瞭解帳戶授權,請參閱 授權存取 Azure 記憶體中的數據。
安全連線 (HTTPS)
根據預設,記憶體帳戶只接受透過 HTTPS 的要求。 任何透過 HTTP 提出的要求都會遭到拒絕。 建議您為所有記憶體帳戶要求安全傳輸,但 NFS Azure 檔案共用與網路層級安全性搭配使用時除外。 若要確認您的帳戶只接受來自安全連線的要求,請確定已啟用記憶體帳戶 的安全傳輸必要 屬性。 若要深入瞭解,請參閱 要求安全傳輸以確保安全的連線。
私人終端節點
可能的話,請建立記憶體帳戶的私人連結,以透過 私人端點保護存取。 私人端點會將虛擬網路的私人IP位址指派給記憶體帳戶。 用戶端會使用私人連結連線到您的記憶體帳戶。 流量會透過Microsoft骨幹網路路由傳送,以確保不會透過公用因特網傳輸。 您可以使用 私人端點的網路原則來微調存取規則。 若要只允許來自私人連結的流量,您可以封鎖透過公用端點的所有存取。 私人端點會產生額外的成本,但提供網路隔離上限。 若要深入瞭解,請參閱 使用 Azure 記憶體的私人端點。
公用端點
記憶體帳戶的 公用端點 是透過公用IP位址來存取。 您可以使用防火牆規則,或將儲存帳戶新增至網路安全邊界,來保護儲存帳戶的公用端點。
防火牆規則
防火牆規則可讓您限制公用端點的流量。 它們不會影響私人端點的流量。
您必須先啟用防火牆規則,才能進行設定。 啟用防火牆規則預設會封鎖所有傳入要求。 僅在要求源自您指定的來源內運作的用戶端或服務時,才允許要求。 您可以藉由設定記憶體帳戶的預設公用網路存取規則來啟用防火牆規則。 若要瞭解如何這樣做,請參閱 設定 Azure 記憶體帳戶的預設公用網路存取規則。
使用防火牆規則允許來自下列任何來源的流量:
- 一或多個 Azure 虛擬網路中的特定子網
- IP 位址範圍
- 資源執行個體
- 受信任的 Azure 服務
若要深入瞭解,請參閱 Azure 記憶體防火牆規則。
防火牆設定是記憶體帳戶特有的。 如果您想要管理儲存帳戶和其他資源的一組統一的輸入和輸出規則,可以考慮設置網路安全邊界。
網路安全界限
限制公用端點流量的另一種方式是將記憶體帳戶包含在網路安全性周邊中。 網路安全性周邊也可讓您定義輸出規則,以防止數據外流。 當您想要在資源集合周圍建立安全邊界時,網路安全邊界特別有用。 這可能包括多個記憶體帳戶和其他平臺即服務 (PaaS) 資源。 網路安全界限提供一組更完整的輸入、輸出和 PaaS 對 PaaS 控制項,可套用至整個界限,而不是在每個資源上個別設定。 它也能夠減少監控流量的一些複雜性。
若要深入瞭解,請參閱 Azure 儲存的網路安全周界。
複製工作範圍 (預覽)
您可以使用 允許的複製操作範圍預覽功能,透過將來源限制在相同的 Microsoft Entra 租戶或具有私人連結的虛擬網路,以限制數據複製到儲存帳戶。 這有助於防止不受信任的環境滲透不必要的數據。 若要深入瞭解,請參閱 將複製作業的來源限制為記憶體帳戶。