Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Azure Storage poskytuje několik vrstev zabezpečení sítě, které chrání vaše data a řídí přístup k účtům úložiště. Tento článek obsahuje přehled klíčových funkcí zabezpečení sítě a možností konfigurace dostupných pro účty Azure Storage. Účet úložiště můžete zabezpečit vyžadováním připojení HTTPS, implementací privátních koncových bodů pro maximální izolaci nebo konfigurací přístupu k veřejnému koncovému bodu prostřednictvím pravidel brány firewall a síťových bezpečnostních perimetrů. Každý přístup nabízí různé úrovně zabezpečení a složitosti, takže si můžete vybrat správnou kombinaci na základě konkrétních požadavků, architektury sítě a zásad zabezpečení.
Poznámka:
Klienti, kteří posílali požadavky z povolených zdrojů, musí také splňovat požadavky na autorizaci účtu úložiště. Další informace o autorizaci účtu najdete v tématu Autorizace přístupu k datům ve službě Azure Storage.
Zabezpečená připojení (HTTPS)
Ve výchozím nastavení účty úložiště přijímají požadavky pouze přes PROTOKOL HTTPS. Všechny požadavky provedené přes protokol HTTP jsou odmítnuty. Doporučujeme vyžadovat zabezpečený přenos pro všechny účty úložiště, s výjimkou případů, kdy se sdílené složky Azure NFS používají se zabezpečením na úrovni sítě. Pokud chcete ověřit, že váš účet přijímá požadavky pouze ze zabezpečených připojení, ujistěte se, že je povolená požadovaná vlastnost zabezpečeného přenosu účtu úložiště. Další informace najdete v tématu Vyžadovat zabezpečený přenos, aby se zajistila zabezpečená připojení.
Privátní koncové body
Pokud je to možné, vytvořte privátní propojení s vaším účtem úložiště, abyste zajistili přístup prostřednictvím privátního koncového bodu. Privátní koncový bod přiřadí privátní IP adresu z vaší virtuální sítě k vašemu účtu úložiště. Klienti se připojují k účtu úložiště pomocí privátního propojení. Provoz se směruje přes páteřní síť Microsoftu a zajišťuje, aby nepřecestoval přes veřejný internet. Pravidla přístupu můžete vyladit pomocí zásad sítě pro privátní koncové body. Pokud chcete povolit provoz jenom z privátních propojení, můžete blokovat veškerý přístup přes veřejný koncový bod. Privátní koncové body účtují dodatečné náklady, ale poskytují maximální izolaci sítě. Další informace najdete v tématu Použití privátních koncových bodů pro Azure Storage.
Veřejné koncové body
K veřejnému koncovému bodu vašeho účtu úložiště se přistupuje prostřednictvím veřejné IP adresy. Veřejný koncový bod účtu úložiště můžete zabezpečit pomocí pravidel brány firewall nebo přidáním účtu úložiště do hraniční sítě.
Pravidla firewallu
Pravidla brány firewall umožňují omezit provoz do vašeho veřejného koncového bodu. Nemají vliv na provoz do privátního koncového bodu.
Než je budete moct nakonfigurovat, musíte povolit pravidla brány firewall. Povolení pravidel brány firewall blokuje ve výchozím nastavení všechny příchozí požadavky. Požadavky jsou povoleny pouze v případě, že pocházejí od klienta nebo služby, která pracuje v určeném zdroji, který jste určili. Pravidla brány firewall povolíte nastavením výchozího pravidla přístupu k veřejné síti účtu úložiště. Informace o tom, jak to udělat, najdete v tématu Nastavení výchozího pravidla přístupu k veřejné síti účtu Azure Storage.
Pomocí pravidel brány firewall povolte provoz z některého z následujících zdrojů:
- Konkrétní podsítě v jedné nebo více virtuálních sítích Azure
- Rozsahy IP adres
- Instance prostředků
- Důvěryhodné služby Azure
Další informace najdete v tématu Pravidla brány firewall služby Azure Storage.
Nastavení brány firewall jsou specifická pro účet úložiště. Pokud chcete spravovat jednu sadu příchozích a odchozích pravidel pro skupinu účtů úložiště a dalších prostředků, zvažte nastavení síťového bezpečnostního perimetru.
Perimetr zabezpečení sítě
Dalším způsobem, jak omezit provoz k vašemu veřejnému koncovému bodu, je zahrnout váš účet úložiště do síťového bezpečnostního perimetru. Hraniční síť chrání také před exfiltrací dat tím, že umožňuje definovat pravidla odchozích přenosů. Síťový bezpečnostní perimetr může být zvlášť užitečný, když chcete vytvořit bezpečnostní hranici kolem kolekce prostředků. Může to zahrnovat více účtů úložiště a dalších prostředků paaS (platforma jako služba). Perimetr síťové bezpečnosti poskytuje ucelenější sadu příchozích, odchozích a PaaS-to-PaaS kontrolních mechanismů, které lze aplikovat na celý perimetr, místo aby byly nakonfigurovány jednotlivě pro každý prostředek. Může také snížit některé složitosti auditování provozu.
Další informace najdete v tématu Zabezpečení sítě pro Azure Storage.
Rozsahy operací kopírování (Preview)
Pomocí funkce Povolený obor pro operace kopírování ve verzi Preview můžete omezit kopírování dat do účtů úložiště omezením zdrojů na stejného tenanta Microsoft Entra nebo virtuální sítě s privátními propojeními. To může pomoct zabránit nežádoucímu infiltrování dat z nedůvěryhodných prostředí. Další informace najdete v tématu Omezení zdroje operací kopírování na účet úložiště.