إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
يوفر Azure Storage طبقات متعددة من أمان الشبكة لحماية بياناتك والتحكم في الوصول إلى حسابات التخزين الخاصة بك. توفر هذه المقالة نظرة عامة على ميزات أمان الشبكة الرئيسية وخيارات التكوين المتوفرة لحسابات Azure Storage. يمكنك تأمين حساب التخزين الخاص بك عن طريق طلب اتصالات HTTPS، أو تنفيذ نقاط النهاية الخاصة لأقصى عزل، أو تكوين الوصول إلى نقطة النهاية العامة من خلال قواعد جدار الحماية ومحيط أمان الشبكة. يوفر كل نهج مستويات مختلفة من الأمان والتعقيد، ما يسمح لك باختيار المجموعة المناسبة استنادا إلى متطلباتك المحددة وبنية الشبكة ونهج الأمان.
Note
يجب على العملاء الذين يقدمون طلبات من المصادر المسموح بها أيضا تلبية متطلبات التخويل لحساب التخزين. لمعرفة المزيد حول تخويل الحساب، راجع تخويل الوصول إلى البيانات في Azure Storage.
اتصالات آمنة (HTTPS)
بشكل افتراضي، تقبل حسابات التخزين الطلبات عبر HTTPS فقط. يتم رفض أي طلبات يتم تقديمها عبر HTTP. نوصي بأن تحتاج إلى نقل آمن لجميع حسابات التخزين الخاصة بك، إلا عند استخدام مشاركات ملفات NFS Azure مع الأمان على مستوى الشبكة. للتحقق من أن حسابك يقبل الطلبات فقط من الاتصالات الآمنة، تأكد من تمكين خاصية النقل الآمن المطلوبة لحساب التخزين. لمعرفة المزيد، راجع طلب نقل آمن لضمان الاتصالات الآمنة.
Private endpoints
Where possible, create private links to your storage account to secure access through a private endpoint. تعين نقطة النهاية الخاصة عنوان IP خاصا من شبكتك الظاهرية إلى حساب التخزين الخاص بك. يتصل العملاء بحساب التخزين الخاص بك باستخدام الارتباط الخاص. يتم توجيه نسبة استخدام الشبكة عبر شبكة Microsoft الأساسية، مما يضمن عدم انتقالها عبر الإنترنت العام. يمكنك ضبط قواعد الوصول باستخدام نهج الشبكة لنقاط النهاية الخاصة. للسماح بحركة المرور فقط من الارتباطات الخاصة، يمكنك حظر جميع الوصول عبر نقطة النهاية العامة. تتحمل نقاط النهاية الخاصة تكاليف إضافية ولكنها توفر أقصى عزل للشبكة. لمعرفة المزيد، راجع استخدام نقاط النهاية الخاصة ل Azure Storage.
Public endpoints
The public endpoint of your storage account is accessed through a public IP address. يمكنك تأمين نقطة النهاية العامة لحساب التخزين الخاص بك باستخدام قواعد جدار الحماية أو عن طريق إضافة حساب التخزين الخاص بك إلى محيط أمان الشبكة.
Firewall rules
تمكنك قواعد جدار الحماية من تقييد نسبة استخدام الشبكة إلى نقطة النهاية العامة. لا تؤثر على حركة المرور إلى نقطة نهاية خاصة.
يجب تمكين قواعد جدار الحماية قبل أن تتمكن من تكوينها. يؤدي تمكين قواعد جدار الحماية إلى حظر جميع الطلبات الواردة بشكل افتراضي. لا يسمح بالطلبات إلا إذا كانت تنشأ من عميل أو خدمة تعمل ضمن مصدر تحدده. يمكنك تمكين قواعد جدار الحماية عن طريق تعيين قاعدة الوصول إلى الشبكة العامة الافتراضية لحساب التخزين. لمعرفة كيفية القيام بذلك، راجع تعيين قاعدة الوصول إلى الشبكة العامة الافتراضية لحساب Azure Storage.
استخدم قواعد جدار الحماية للسماح بنسبة استخدام الشبكة من أي من المصادر التالية:
- شبكات فرعية محددة في شبكة واحدة أو أكثر من شبكات Azure الظاهرية
- نطاقات عناوين IP
- Resource instances
- خدمات Azure الموثوق بها
لمعرفة المزيد، راجع قواعد جدار حماية Azure Storage.
إعدادات جدار الحماية خاصة بحساب تخزين. إذا كنت ترغب في إدارة مجموعة واحدة من القواعد الواردة والصادرة حول مجموعة من حسابات التخزين والموارد الأخرى، ففكر في إعداد محيط أمان الشبكة.
محيط أمان الشبكة
هناك طريقة أخرى للحد من نسبة استخدام الشبكة إلى نقطة النهاية العامة الخاصة بك وهي تضمين حساب التخزين الخاص بك في محيط أمان الشبكة. كما يحمي محيط أمان الشبكة من تسرب البيانات من خلال تمكينك من تحديد القواعد الصادرة. يمكن أن يكون محيط أمان الشبكة مفيدا بشكل خاص عندما تريد إنشاء حدود أمان حول مجموعة من الموارد. قد يتضمن ذلك حسابات تخزين متعددة وموارد نظام أساسي آخر كخدمة (PaaS). يوفر محيط أمان الشبكة مجموعة أكثر اكتمالا من عناصر التحكم الواردة والصادرة وPaaS-to-PaaS التي يمكن تطبيقها على المحيط بأكمله، بدلا من تكوينها بشكل فردي على كل مورد. كما يمكن أن يقلل من بعض التعقيد في تدقيق نسبة استخدام الشبكة.
لمعرفة المزيد، راجع محيط أمان الشبكة ل Azure Storage.
نسخ نطاقات العملية (معاينة)
يمكنك استخدام النطاق المسموح به لميزة معاينة عمليات النسخ لتقييد نسخ البيانات إلى حسابات التخزين عن طريق قصر المصادر على نفس مستأجر Microsoft Entra أو الشبكة الظاهرية ذات الارتباطات الخاصة. يمكن أن يساعد هذا في منع تسلل البيانات غير المرغوب فيها من بيئات غير موثوق بها. لمعرفة المزيد، راجع تقييد مصدر عمليات النسخ إلى حساب تخزين.