Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Antes de implementar la seguridad de red para las cuentas de almacenamiento, revise las restricciones y consideraciones importantes de esta sección.
Directrices y limitaciones generales
Las reglas de firewall de Azure Storage solo se aplican a las operaciones del plano de datos . Las operaciones del plano de control no están sujetas a las restricciones especificadas en las reglas de firewall.
Para acceder a los datos mediante herramientas como Azure Portal, Explorador de Azure Storage y AzCopy, debe estar en un equipo dentro del límite de confianza que estableció al configurar las reglas de seguridad de red.
Algunas operaciones, como las operaciones de contenedores de blobs, se pueden realizar tanto a través del plano de control como del plano de datos. Si intenta realizar una operación como enumerar contenedores desde Azure Portal, la operación se realiza correctamente a menos que esté bloqueada por otro mecanismo. Los intentos de acceder a los datos de blob desde una aplicación como Explorador de Azure Storage se controlan mediante las restricciones de firewall.
Para obtener una lista de las operaciones del plano de datos, consulte la Referencia de la API de REST de Azure Storage.
Para obtener una lista de las operaciones del plano de control, consulte la Referencia de la API de REST del proveedor de recursos de Azure Storage.
Se aplican reglas de red en todos los protocolos de red para Azure Storage, incluidos REST y SMB.
Las reglas de red no afectan al tráfico de disco de la máquina virtual (VM), incluidas las operaciones de montaje y desmontaje y E/S de disco, pero sí ayudan a proteger el acceso REST a los blobs de página.
Puede usar discos no administrados en cuentas de almacenamiento con reglas de red aplicadas para crear copias de seguridad y restaurar máquinas virtuales mediante la creación de una excepción. Las excepciones de firewall no se aplican a los discos administrados porque Azure ya los administra.
Si elimina una subred que se ha incluido en una regla de red virtual, se quita de las reglas de red de la cuenta de almacenamiento. Si crea una nueva subred con el mismo nombre, no tendrá acceso a la cuenta de almacenamiento. Para permitir el acceso, deberá autorizar la nueva subred explícitamente en las reglas de red de la cuenta de almacenamiento.
Al hacer referencia a un punto de conexión de servicio en una aplicación cliente, se recomienda evitar tomar una dependencia en una dirección IP almacenada en caché. La dirección IP de la cuenta de almacenamiento está sujeta a cambios y confiar en una dirección IP almacenada en caché podría dar lugar a un comportamiento inesperado. Además, se recomienda respetar el período de vida (TTL) del registro DNS y evitar reemplazarlo. La invalidación del TTL de DNS puede ocasionar un comportamiento inesperado.
Por diseño, el acceso a una cuenta de almacenamiento desde servicios de confianza tiene la prioridad más alta, por encima de otras restricciones de acceso a la red. Si establece Acceso de red pública en Deshabilitado después de haberlo establecido en Habilitado desde redes virtuales y direcciones IP seleccionadas, las instancias de recursos y excepciones que había configurado antes, incluida la opción Permitir que los servicios de Azure de la lista de servicios de confianza accedan a esta cuenta de almacenamiento, permanecerán en vigor. Como resultado, esos recursos y servicios podrían seguir teniendo acceso a la cuenta de almacenamiento.
Incluso si deshabilita el acceso a la red pública, es posible que siga recibiendo una advertencia de Microsoft Defender para Storage o de Azure Advisor, que recomienda restringir el acceso mediante reglas de red virtual. Esto puede ocurrir en los casos en los que se deshabilita el acceso público mediante una plantilla. La propiedad defaultAction permanece establecida en Permitir aunque establezca la propiedad PublicNetworkAccess en Deshabilitado. Aunque la propiedad PublicNetworkAccess tiene prioridad, las herramientas como Microsoft Defender también informan sobre el valor de la propiedad defaultAction . Para resolver este problema, use una plantilla para establecer la propiedad defaultActionDenegar o deshabilitar el acceso público mediante herramientas como Azure Portal, PowerShell o la CLI de Azure. Estas herramientas cambian automáticamente la propiedad defaultAction a un valor de Deny por ti.
Restricciones para las reglas de red IP
Las reglas de red IP solo se permiten para direcciones IP de la red pública de Internet.
No se permiten intervalos de direcciones IP reservados para redes privadas (tal y como se define en RFC 1918) en las reglas de IP. Las redes privadas incluyen direcciones que comienzan por 10, 172.16 a 172.31 y 192.168.
Debe proporcionar los intervalos de dirección de Internet permitidos mediante la notación CIDR en el formulario 16.17.18.0/24 o como direcciones IP individuales en formato 16.17.18.19.
No se admiten intervalos de direcciones pequeños que usan tamaños de prefijo /31 o /32. Configure estos intervalos mediante reglas de direcciones IP individuales.
Solo se admiten direcciones IPv4 para la configuración de reglas de firewall de almacenamiento.
No puede usar reglas de red IP para restringir el acceso a los clientes de la misma región de Azure que la cuenta de almacenamiento. Las reglas de red IP no tienen ningún efecto en las solicitudes que proceden de la misma región de Azure que la cuenta de almacenamiento. Use reglas de red virtual para permitir solicitudes de la misma región.
No puede usar reglas de red IP para restringir el acceso a los clientes de una región emparejada que se encuentra en una red virtual con un punto de conexión de servicio.
No puede usar reglas de red IP para restringir el acceso a los servicios de Azure implementados en la misma región que la cuenta de almacenamiento.
Los servicios implementados en la misma región que la cuenta de almacenamiento usan direcciones IP privadas de Azure para la comunicación. Por lo tanto, no puede restringir el acceso a servicios específicos de Azure en función de su intervalo de direcciones IP de salida públicas.
Pasos siguientes
- Más información sobre los puntos de conexión de servicio de red de Azure.
- Profundice en las recomendaciones de seguridad para Azure Blob Storage.