Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Azure Storage proporciona varias capas de seguridad de red para proteger los datos y controlar el acceso a las cuentas de almacenamiento. En este artículo se proporciona información general sobre las características clave de seguridad de red y las opciones de configuración disponibles para las cuentas de Azure Storage. Puede proteger la cuenta de almacenamiento mediante la necesidad de conexiones HTTPS, la implementación de puntos de conexión privados para el aislamiento máximo o la configuración del acceso al punto de conexión público a través de reglas de firewall y perímetros de seguridad de red. Cada enfoque ofrece diferentes niveles de seguridad y complejidad, lo que le permite elegir la combinación adecuada en función de sus requisitos específicos, arquitectura de red y directivas de seguridad.
Nota:
Los clientes que realizan solicitudes de orígenes permitidos también deben cumplir los requisitos de autorización de la cuenta de almacenamiento. Para más información sobre la autorización de la cuenta, consulte Autorización del acceso a los datos en Azure Storage.
Conexiones seguras (HTTPS)
De forma predeterminada, las cuentas de almacenamiento solo aceptan solicitudes a través de HTTPS. Las solicitudes realizadas a través de HTTP se rechazan. Se recomienda requerir transferencia segura para todas las cuentas de almacenamiento, excepto cuando se usan recursos compartidos de archivos de Azure NFS con seguridad de nivel de red. Para comprobar que la cuenta acepta solicitudes solo de conexiones seguras, asegúrese de que la propiedad Necesaria de transferencia segura de la cuenta de almacenamiento está habilitada. Para más información, consulte Requerir transferencia segura para garantizar conexiones seguras.
Puntos de conexión privados
Siempre que sea posible, cree vínculos privados a la cuenta de almacenamiento para proteger el acceso a través de un punto de conexión privado. Un punto de conexión privado asigna una dirección IP privada de la red virtual a la cuenta de almacenamiento. Los clientes se conectan a la cuenta de almacenamiento mediante el vínculo privado. El tráfico se enruta a través de la red troncal de Microsoft, lo que garantiza que no viaja a través de la red pública de Internet. Puede ajustar las reglas de acceso mediante directivas de red para puntos de conexión privados. Para permitir el tráfico solo desde vínculos privados, puede bloquear todo el acceso a través del punto de conexión público. Los puntos de conexión privados incurren en costos adicionales, pero proporcionan el aislamiento máximo de red. Para más información, consulte Uso de puntos de conexión privados para Azure Storage.
Puntos de conexión públicos
Se accede al punto de conexión público de la cuenta de almacenamiento a través de una dirección IP pública. Puede proteger el punto de conexión público de la cuenta de almacenamiento mediante reglas de firewall o agregando la cuenta de almacenamiento a un perímetro de seguridad de red.
Reglas de firewall
Las reglas de firewall permiten limitar el tráfico al punto de conexión público. No afectan al tráfico a un punto de conexión privado.
Debe habilitar las reglas de firewall para poder configurarlas. La habilitación de reglas de firewall bloquea todas las solicitudes entrantes de forma predeterminada. Las solicitudes solo se permiten si se originan en un cliente o servicio que funciona dentro de un origen que especifique. Para habilitar las reglas de firewall, configure la regla de acceso predeterminada para la red pública de la cuenta de almacenamiento. Para obtener información sobre cómo hacerlo, consulte Establecimiento de la regla de acceso de red pública predeterminada de una cuenta de Azure Storage.
Use reglas de firewall para permitir el tráfico desde cualquiera de los orígenes siguientes:
- Subredes específicas en una o varias redes virtuales de Azure
- Intervalos de direcciones IP
- Instancias de recursos
- Servicios de Azure de confianza
Para más información, consulte Reglas de firewall de Azure Storage.
La configuración del firewall es específica de una cuenta de almacenamiento. Si desea administrar un único conjunto de reglas de entrada y salida en torno a un grupo de cuentas de almacenamiento y otros recursos, considere la posibilidad de configurar un perímetro de seguridad de red.
Perímetro de seguridad de red
Otra manera de limitar el tráfico al punto de conexión público es incluir la cuenta de almacenamiento en un perímetro de seguridad de red. Un perímetro de seguridad de red también protege contra la filtración de datos al permitirle definir reglas de salida. Un perímetro de seguridad de red puede ser especialmente útil cuando se desea establecer un límite de seguridad alrededor de una colección de recursos. Esto podría incluir varias cuentas de almacenamiento y otros recursos de plataforma como servicio (PaaS). Un perímetro de seguridad de red proporciona un conjunto más completo de controles entrantes, salientes y PaaS a PaaS que se pueden aplicar a todo el perímetro, en lugar de configurarse individualmente en cada recurso. También puede reducir parte de la complejidad de la auditoría del tráfico.
Para más información, consulte Perímetro de seguridad de red para Azure Storage.
Ámbitos de operación de copia (versión preliminar)
Puede usar la función de vista previa ámbito permitido de operaciones de copia para restringir la copia de datos a cuentas de almacenamiento, limitando las fuentes al mismo arrendatario de Microsoft Entra o a la misma red virtual con enlaces privados. Esto puede ayudar a evitar la infiltración de datos no deseados de entornos que no son de confianza. Para más información, consulte Restricción del origen de las operaciones de copia a una cuenta de almacenamiento.