Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure Storage bietet mehrere Ebenen der Netzwerksicherheit, um Ihre Daten zu schützen und den Zugriff auf Ihre Speicherkonten zu steuern. Dieser Artikel enthält eine Übersicht über die wichtigsten Netzwerksicherheitsfeatures und -konfigurationsoptionen, die für Azure Storage-Konten verfügbar sind. Sie können Ihr Speicherkonto schützen, indem Sie HTTPS-Verbindungen benötigen, private Endpunkte für maximale Isolation implementieren oder den Zugriff auf öffentliche Endpunkte über Firewallregeln und Netzwerksicherheitsperimeter konfigurieren. Jeder Ansatz bietet unterschiedliche Sicherheits- und Komplexitätsebenen, sodass Sie die richtige Kombination basierend auf Ihren spezifischen Anforderungen, der Netzwerkarchitektur und den Sicherheitsrichtlinien auswählen können.
Hinweis
Clients, die Anforderungen aus zulässigen Quellen stellen, müssen auch die Autorisierungsanforderungen des Speicherkontos erfüllen. Weitere Informationen zur Kontoautorisierung finden Sie unter Autorisieren des Zugriffs auf Daten in Azure Storage.
Sichere Verbindungen (HTTPS)
Standardmäßig akzeptieren Speicherkonten Anforderungen nur über HTTPS. Anforderungen über HTTP werden abgelehnt. Es wird empfohlen, dass Sie eine sichere Übertragung für alle Ihre Speicherkonten benötigen, außer wenn NFS Azure-Dateifreigaben mit Sicherheit auf Netzwerkebene verwendet werden. Um zu überprüfen, dass Ihr Konto Anfragen nur von sicheren Verbindungen akzeptiert, stellen Sie sicher, dass die Eigenschaft Sichere Übertragung erforderlich des Speicherkontos aktiviert ist. Weitere Informationen finden Sie unter "Sichere Übertragung erforderlich", um sichere Verbindungen sicherzustellen.
Private Endpunkte
Erstellen Sie nach Möglichkeit private Links zu Ihrem Speicherkonto, um den Zugriff über einen privaten Endpunkt zu sichern. Ein privater Endpunkt weist Ihrem Speicherkonto eine private IP-Adresse aus Ihrem virtuellen Netzwerk zu. Clients stellen über den privaten Link eine Verbindung mit Ihrem Speicherkonto her. Der Datenverkehr wird über das Microsoft-Backbone-Netzwerk geleitet, um sicherzustellen, dass er nicht über das öffentliche Internet geleitet wird. Sie können Zugriffsregeln mithilfe von Netzwerkrichtlinien für private Endpunkte optimieren. Um Datenverkehr nur über private Links zuzulassen, können Sie den gesamten Zugriff über den öffentlichen Endpunkt blockieren. Private Endpunkte verursachen zusätzliche Kosten, bieten jedoch eine maximale Netzwerkisolation. Weitere Informationen finden Sie unter Verwenden privater Endpunkte für Azure Storage.
Öffentliche Endpunkte
Auf den öffentlichen Endpunkt Ihres Speicherkontos wird über eine öffentliche IP-Adresse zugegriffen. Sie können den öffentlichen Endpunkt Ihres Speicherkontos mithilfe von Firewallregeln sichern oder Ihr Speicherkonto zu einem Netzwerksicherheitsperimeter hinzufügen.
Firewallregeln
Firewallregeln ermöglichen es Ihnen, den Datenverkehr auf Ihren öffentlichen Endpunkt zu beschränken. Sie wirken sich nicht auf den Datenverkehr zu einem privaten Endpunkt aus.
Sie müssen Firewallregeln aktivieren, bevor Sie sie konfigurieren können. Durch aktivieren von Firewallregeln werden standardmäßig alle eingehenden Anforderungen blockiert. Anforderungen sind nur zulässig, wenn sie von einem Client oder Dienst stammen, der in einer von Ihnen angegebenen Quelle ausgeführt wird. Sie aktivieren Firewallregeln, indem Sie die Standardregel für den Zugriff auf das öffentliche Netzwerk des Speicherkontos festlegen. Informationen dazu finden Sie unter Festlegen der Standardregel für den Zugriff auf öffentliche Netzwerke eines Azure Storage-Kontos.
Verwenden Sie Firewallregeln, um Datenverkehr aus einer der folgenden Quellen zuzulassen:
- Bestimmte Subnetze in einem oder mehreren virtuellen Azure-Netzwerken
- IP-Adressbereiche
- Ressourceninstanzen
- Vertrauenswürdige Azure-Dienste
Weitere Informationen finden Sie unter Azure Storage-Firewallregeln.
Firewalleinstellungen sind spezifisch für ein Speicherkonto. Wenn Sie einen einzelnen Satz von eingehenden und ausgehenden Regeln für eine Gruppe von Speicherkonten und anderen Ressourcen verwalten möchten, sollten Sie einen Netzwerksicherheitsperimeter einrichten.
Netzwerksicherheitsperimeter
Eine weitere Möglichkeit, den Datenverkehr auf Ihren öffentlichen Endpunkt zu beschränken, besteht darin, Ihr Speicherkonto in einen Netzwerksicherheitsperimeter einzuschließen. Ein Netzwerksicherheitsperimeter schützt auch vor Datenexfiltration, indem Sie ausgehende Regeln definieren können. Ein Netzwerksicherheitsperimeter kann besonders nützlich sein, wenn Sie eine Sicherheitsgrenze um eine Sammlung von Ressourcen einrichten möchten. Dazu können mehrere Speicherkonten und andere Plattform-as-a-Service-Ressourcen (PaaS) gehören. Ein Netzwerksicherheitsperimeter bietet einen vollständigeren Satz von eingehenden, ausgehenden und PaaS-zu-PaaS-Steuerelementen, die auf den gesamten Umkreis angewendet werden können, anstatt einzeln für jede Ressource konfiguriert zu werden. Es kann auch einige der Komplexität bei der Prüfung des Datenverkehrs reduzieren.
Weitere Informationen finden Sie im Netzwerksicherheitsperimeter für Azure Storage.
Kopiervorgangsbereiche (Vorschau)
Sie können den zulässigen Bereich für Kopiervorgänge in der Vorschaufunktion verwenden, um das Kopieren von Daten auf Speicherkonten einzuschränken, indem Sie Quellen auf denselben Microsoft Entra-Mandanten oder ein virtuelles Netzwerk mit privaten Links beschränken. Dies kann dazu beitragen, unerwünschte Dateninfiltration aus nicht vertrauenswürdigen Umgebungen zu verhindern. Weitere Informationen finden Sie unter Einschränken der Quelle von Kopiervorgängen auf ein Speicherkonto.