Recursos compartidos de archivos SMB en Azure Files
Artículo
Azure Files ofrece dos protocolos estándar del sector para el montaje de recursos compartidos de archivos de Azure: el protocolo Bloque de mensajes del servidor (SMB) y el protocolo Network File System (NFS). Azure Files le permite seleccionar el protocolo del sistema de archivos más adecuado para su carga de trabajo. Los recursos compartidos de archivos de Azure no admiten el acceso a un recurso compartido de archivos de Azure individual con los protocolos SMB y NFS, aunque se pueden crear recursos compartidos de archivos SMB y NFS dentro de la misma cuenta de almacenamiento. En general, Azure Files ofrece recursos compartidos de archivos de nivel empresarial que se pueden escalar verticalmente para satisfacer sus necesidades de almacenamiento y a los que pueden acceder simultáneamente miles de clientes.
En este artículo se tratan los recursos compartidos de archivos SMB de Azure. Para obtener información sobre los recursos compartidos de archivos NFS de Azure, consulte el artículo sobre Recursos compartidos de archivos NFS en Azure Files.
Escenarios frecuentes
Los recursos compartidos de archivos SMB se usan para diversas aplicaciones, incluidos recursos compartidos de archivos de usuario final y recursos compartidos de archivos que respaldan las bases de datos y las aplicaciones. Los recursos compartidos de archivos SMB se suelen usar en los escenarios siguientes:
Recursos compartidos de archivos de usuario final, como recursos compartidos de equipo, directorios particulares, etc.
Almacenamiento auxiliar para aplicaciones basadas en Windows, como bases de datos de SQL Server o aplicaciones de línea de negocio escritas para las API del sistema de archivos local Win32 o .NET.
Desarrollo de aplicaciones y servicios nuevos, sobre todo si esa aplicación o servicio tiene como requisito una E/S aleatoria y almacenamiento jerárquico.
Características
Azure Files admite las características principales de SMB y Azure que se requieren para las implementaciones de producción de recursos compartidos de archivos SMB:
Listas de control de acceso discrecional (DACL) y unión a un dominio de AD.
Copia de seguridad sin servidor integrada con Azure Backup.
Aislamiento de red con puntos de conexión privados de Azure.
Alto rendimiento de red con SMB multicanal (solo recursos compartidos de archivos premium).
Cifrado de canal SMB que incluye AES-256-GCM, AES-128-GCM y AES-128-CCM.
Compatibilidad con versiones anteriores mediante instantáneas de recurso compartido integradas de VSS.
Eliminación temporal automática en los recursos compartidos de archivos de Azure para evitar eliminaciones accidentales.
Opcionalmente, recursos compartidos de archivos accesibles desde Internet con SMB 3.0 y versiones posteriores seguro para Internet.
Todos los datos almacenados en Azure Files se cifran en reposo mediante el cifrado de servicio de almacenamiento (SSE) de Azure. El cifrado del servicio de almacenamiento funciona de forma similar a BitLocker en Windows: los datos se cifran bajo el nivel del sistema de archivos. Dado que los datos se cifran bajo el sistema de archivos del recurso compartido de archivos de Azure, ya que se codifican en el disco, no es necesario tener acceso a la clave subyacente en el cliente para leer o escribir en dicho recurso compartido. El cifrado en reposo se aplica a los protocolos SMB y NFS.
De forma predeterminada, todas las cuentas de Azure Storage tienen habilitado el cifrado en tránsito. Esto significa que, al montar un recurso compartido de archivos a través de SMB (o acceder a él a través del protocolo FileREST), Azure Files solo permitirá la conexión si se realiza con una versión SMB 3.x con cifrado o HTTPS. Los clientes que no admiten SMB 3.x con cifrado del canal SMB no podrán montar el recurso compartido de archivos de Azure si está habilitado el cifrado en tránsito.
Azure Files admite AES-256-GCM con SMB 3.1.1 cuando se usa con Windows Server 2022 o Windows 11. SMB 3.1.1 también admite AES-128-GCM y SMB 3.0 admite AES-128-CCM. AES-128-GCM se negocia de forma predeterminada en Windows 10, versión 21H1, por motivos de rendimiento.
Puede deshabilitar el cifrado en tránsito para una cuenta de almacenamiento de Azure. Cuando el cifrado está deshabilitado, Azure Files también permite el uso de SMB 2.1 y SMB 3.x sin cifrado. La razón principal para deshabilitar el cifrado en tránsito es admitir una aplicación heredada que debe ejecutarse en un sistema operativo anterior, como Windows Server 2008 R2 o una distribución de Linux anterior. Azure Files solo permite conexiones SMB 2.1 dentro de la misma región de Azure del recurso compartido de archivos de Azure. Un cliente SMB 2.1 fuera de la región de Azure del recurso compartido de archivos de Azure (por ejemplo, en un entorno local o en una región de Azure diferente) no podrá acceder al recurso compartido de archivos.
Configuración del protocolo SMB
Azure Files ofrece varias configuraciones que afectan al comportamiento, rendimiento y seguridad del protocolo SMB. Se configuran para todos los recursos compartidos de archivos de Azure dentro de una cuenta de almacenamiento.
SMB multicanal
SMB multicanal permite que un cliente SMB 3.x establezca varias conexiones de red a un recurso compartido de archivos SMB. Azure Files admite SMB multicanal en recursos compartidos de archivos prémium (recursos compartidos de archivos en el tipo de cuenta de almacenamiento FileStorage). No hay ningún costo adicional por habilitar SMB multicanal en Azure Files. SMB multicanal está deshabilitado de forma predeterminada.
Para ver el estado de SMB multicanal, vaya a la cuenta de almacenamiento que contiene los recursos compartidos de archivos prémium y seleccione Recursos compartidos de archivos en el encabezado Almacenamiento de datos de la tabla de contenido de la cuenta de almacenamiento. El estado de SMB multicanal se puede ver en la sección Configuración del recurso compartido de archivos.
Para habilitar o deshabilitar SMB multicanal, seleccione el estado actual (Habilitado o Deshabilitado en función del estado). El cuadro de diálogo resultante proporciona un botón de alternancia para habilitar o deshabilitar SMB multicanal. Seleccione el estado deseado y seleccione Guardar.
Para obtener el estado de SMB multicanal, use el cmdlet Get-AzStorageFileServiceProperty. No olvide reemplazar <resource-group> y <storage-account> por los valores adecuados para su entorno antes de ejecutar estos comandos de PowerShell.
$resourceGroupName = "<resource-group>"
$storageAccountName = "<storage-account>"
# Get reference to storage account
$storageAccount = Get-AzStorageAccount `
-ResourceGroupName $resourceGroupName `
-StorageAccountName $storageAccountName
# If you've never enabled or disabled SMB Multichannel, the value for the SMB Multichannel
# property returned by Azure Files will be null. Null returned values should be interpreted
# as "default settings are in effect". To make this more user-friendly, the following
# PowerShell commands replace null values with the human-readable default values.
$defaultSmbMultichannelEnabled = $false
# Get the current value for SMB Multichannel
Get-AzStorageFileServiceProperty -StorageAccount $storageAccount | `
Select-Object -Property `
ResourceGroupName, `
StorageAccountName, `
@{
Name = "SmbMultichannelEnabled";
Expression = {
if ($null -eq $_.ProtocolSettings.Smb.Multichannel.Enabled) {
$defaultSmbMultichannelEnabled
} else {
$_.ProtocolSettings.Smb.Multichannel.Enabled
}
}
}
Para habilitar o deshabilitar SMB multicanal, use el cmdlet Update-AzStorageFileServiceProperty.
Para obtener el estado de SMB multicanal, use el comando az storage account file-service-properties show. No olvide reemplazar <resource-group> y <storage-account> por los valores adecuados para su entorno antes de ejecutar estos comandos de Bash.
RESOURCE_GROUP_NAME="<resource-group>"
STORAGE_ACCOUNT_NAME="<storage-account>"
# If you've never enabled or disabled SMB Multichannel, the value for the SMB Multichannel
# property returned by Azure Files will be null. Null returned values should be interpreted
# as "default settings are in effect". To make this more user-friendly, the following
# PowerShell commands replace null values with the human-readable default values.
## Search strings
REPLACESMBMULTICHANNEL="\"smbMultichannelEnabled\": null"
# Replacement values for null parameters.
DEFAULTSMBMULTICHANNELENABLED="\"smbMultichannelEnabled\": false"
# Build JMESPath query string
QUERY="{"
QUERY="${QUERY}smbMultichannelEnabled: protocolSettings.smb.multichannel.enabled"
QUERY="${QUERY}}"
# Get protocol settings from the Azure Files FileService object
protocolSettings=$(az storage account file-service-properties show \
--resource-group $RESOURCE_GROUP_NAME \
--account-name $STORAGE_ACCOUNT_NAME \
--query "${QUERY}")
# Replace returned values if null with default values
PROTOCOL_SETTINGS="${protocolSettings/$REPLACESMBMULTICHANNEL/$DEFAULTSMBMULTICHANNELENABLED}"
# Print returned settings
echo $PROTOCOL_SETTINGS
Para habilitar o deshabilitar SMB multicanal, use el comando az storage account file-service-properties update.
Azure Files expone una configuración que le permite alternar el protocolo SMB para que sea más compatible o más seguro, en función de los requisitos de la organización. De manera predeterminada, Azure Files está configurado para ser compatible al máximo, por lo que tenga en cuenta que restringir esta configuración puede hacer que algunos clientes no puedan conectarse.
Azure Files expone la siguiente configuración:
Versiones de SMB: qué versiones de SMB se permiten. Las versiones admitidas del protocolo son SMB 3.1.1, SMB 3.0 y SMB 2.1. De forma predeterminada, se admiten todas las versiones de SMB, salvo en el caso de SMB 2.1 si está habilitada la opción para requerir la transferencia segura, ya que SMB 2.1 no admite el cifrado en tránsito.
Métodos de autenticación: qué métodos de autenticación SMB se permiten. Los métodos de autenticación admitidos son NTLMv2 (solo clave de cuenta de almacenamiento) y Kerberos. De forma predeterminada, se admiten todos los métodos de autenticación. La eliminación de NTLMv2 impide el uso de la clave de la cuenta de almacenamiento para montar el recurso compartido de archivos de Azure. Azure Files no admite el uso de la autenticación NTLM para las credenciales de dominio.
Cifrado de vales Kerberos: qué algoritmos de cifrado se permiten. Los algoritmos de cifrado admitidos son AES-256 (recomendado) y RC4-HMAC.
Cifrado del canal SMB: qué algoritmos de cifrado del canal SMB se permiten. Los algoritmos de cifrado admitidos son AES-256-GCM, AES-128-GCM y AES-128-CCM. Si selecciona solo AES-256-GCM, deberá indicar a los clientes que lo usen abriendo un terminal de PowerShell como administrador en cada cliente y ejecutando Set-SmbClientConfiguration -EncryptionCiphers "AES_256_GCM" -Confirm:$false. No se admite el uso de AES-256-GCM en clientes Windows anteriores a Windows 11/Windows Server 2022.
Puede ver y cambiar la configuración de seguridad de SMB mediante Azure Portal, PowerShell o la CLI. Seleccione la pestaña deseada para ver los pasos sobre cómo obtener y establecer la configuración de seguridad de SMB.
Para ver o cambiar la configuración de seguridad de SMB mediante Azure Portal, siga estos pasos:
Busque Cuentas de almacenamiento y seleccione la cuenta de almacenamiento cuya configuración de seguridad quiere ver.
Seleccione Almacenamiento de datos>Recursos compartido de archivos.
En Configuración del recurso compartido de archivos, seleccione el valor asociado a Seguridad. Si no ha modificado la configuración de seguridad, tiene como valor predeterminado Compatibilidad máxima.
En Perfil, seleccione Compatibilidad máxima, Maximum security (Seguridad máxima) o Personalizado. Si selecciona Personalizado, podrá crear un perfil personalizado para las versiones del protocolo SMB, el cifrado de canales SMB, los mecanismos de autenticación y el cifrado de vales de Kerberos.
Después de especificar la configuración de seguridad deseada, seleccione Guardar.
Para obtener la configuración del protocolo SMB, use el cmdlet Get-AzStorageFileServiceProperty. No olvide reemplazar <resource-group> y <storage-account> por los valores correctos para su entorno. Si ha establecido deliberadamente alguna de las opciones de seguridad de SMB en NULL, por ejemplo, deshabilitando el cifrado del canal SMB, consulte las instrucciones del script sobre cómo comentar determinadas líneas.
$resourceGroupName = "<resource-group>"
$storageAccountName = "<storage-account>"
# Get reference to storage account
$storageAccount = Get-AzStorageAccount `
-ResourceGroupName $resourceGroupName `
-StorageAccountName $storageAccountName
# If you've never changed any SMB security settings, the values for the SMB security
# settings returned by Azure Files will be null. Null returned values should be interpreted
# as "default settings are in effect". To make this more user-friendly, the following
# PowerShell commands replace null values with the human-readable default values.
# If you've deliberately set any of your SMB security settings to null, for example by
# disabling SMB channel encryption, comment out the following four lines to avoid
# changing the security settings back to defaults.
$smbProtocolVersions = "SMB2.1", "SMB3.0", "SMB3.1.1"
$smbAuthenticationMethods = "NTLMv2", "Kerberos"
$smbKerberosTicketEncryption = "RC4-HMAC", "AES-256"
$smbChannelEncryption = "AES-128-CCM", "AES-128-GCM", "AES-256-GCM"
# Gets the current values of the SMB security settings
Get-AzStorageFileServiceProperty -StorageAccount $storageAccount | `
Select-Object -Property `
ResourceGroupName, `
StorageAccountName, `
@{
Name = "SmbProtocolVersions";
Expression = {
if ($null -eq $_.ProtocolSettings.Smb.Versions) {
[String]::Join(", ", $smbProtocolVersions)
} else {
[String]::Join(", ", $_.ProtocolSettings.Smb.Versions)
}
}
},
@{
Name = "SmbChannelEncryption";
Expression = {
if ($null -eq $_.ProtocolSettings.Smb.ChannelEncryption) {
[String]::Join(", ", $smbChannelEncryption)
} else {
[String]::Join(", ", $_.ProtocolSettings.Smb.ChannelEncryption)
}
}
},
@{
Name = "SmbAuthenticationMethods";
Expression = {
if ($null -eq $_.ProtocolSettings.Smb.AuthenticationMethods) {
[String]::Join(", ", $smbAuthenticationMethods)
} else {
[String]::Join(", ", $_.ProtocolSettings.Smb.AuthenticationMethods)
}
}
},
@{
Name = "SmbKerberosTicketEncryption";
Expression = {
if ($null -eq $_.ProtocolSettings.Smb.KerberosTicketEncryption) {
[String]::Join(", ", $smbKerberosTicketEncryption)
} else {
[String]::Join(", ", $_.ProtocolSettings.Smb.KerberosTicketEncryption)
}
}
}
Dependiendo de los requisitos de seguridad, rendimiento y compatibilidad de su organización, es posible que quiera modificar la configuración del protocolo SMB. El comando de PowerShell siguiente restringe los recursos compartidos de archivos SMB exclusivamente a las opciones más seguras.
Importante
Restringir los recursos compartidos de archivos de Azure SMB a solo las opciones más seguras podría dar lugar a que algunos clientes no puedan conectarse. Por ejemplo, AES-256-GCM se introdujo como opción para el cifrado del canal SMB a partir de Windows Server 2022 y Windows 11. Esto significa que los clientes más antiguos que no admiten AES-256-GCM no podrán conectarse. Si selecciona solo AES-256-GCM, deberá indicar a los clientes de Windows Server 2022 y Windows 11 que solo usen AES-256-GCM abriendo un terminal de PowerShell como administrador en cada cliente y ejecutando Set-SmbClientConfiguration -EncryptionCiphers "AES_256_GCM" -Confirm:$false.
Para obtener el estado de la configuración de seguridad de SMB, use el comando az storage account file-service-properties show. No olvide reemplazar <resource-group> y <storage-account> por los valores adecuados para su entorno antes de ejecutar estos comandos de Bash. Si ha establecido deliberadamente alguna de las opciones de seguridad de SMB en NULL, por ejemplo, deshabilitando el cifrado del canal SMB, consulte las instrucciones del script sobre cómo comentar determinadas líneas.
RESOURCE_GROUP_NAME="<resource-group>"
STORAGE_ACCOUNT_NAME="<storage-account>"
# If you've never changed any SMB security settings, the values for the SMB security
# settings returned by Azure Files will be null. Null returned values should be interpreted
# as "default settings are in effect". To make this more user-friendly, the commands in the
# following two sections replace null values with the human-readable default values.
# If you've deliberately set any of your SMB security settings to null, for example by
# disabling SMB channel encryption, comment out the following two sections before
# running the script to avoid changing the security settings back to defaults.
# Values to be replaced
REPLACESMBPROTOCOLVERSION="\"smbProtocolVersions\": null"
REPLACESMBCHANNELENCRYPTION="\"smbChannelEncryption\": null"
REPLACESMBAUTHENTICATIONMETHODS="\"smbAuthenticationMethods\": null"
REPLACESMBKERBEROSTICKETENCRYPTION="\"smbKerberosTicketEncryption\": null"
# Replacement values for null parameters. If you copy this into your own
# scripts, you will need to ensure that you keep these variables up-to-date with any new
# options we may add to these parameters in the future.
DEFAULTSMBPROTOCOLVERSIONS="\"smbProtocolVersions\": \"SMB2.1;SMB3.0;SMB3.1.1\""
DEFAULTSMBCHANNELENCRYPTION="\"smbChannelEncryption\": \"AES-128-CCM;AES-128-GCM;AES-256-GCM\""
DEFAULTSMBAUTHENTICATIONMETHODS="\"smbAuthenticationMethods\": \"NTLMv2;Kerberos\""
DEFAULTSMBKERBEROSTICKETENCRYPTION="\"smbKerberosTicketEncryption\": \"RC4-HMAC;AES-256\""
# Build JMESPath query string
QUERY="{"
QUERY="${QUERY}smbProtocolVersions: protocolSettings.smb.versions,"
QUERY="${QUERY}smbChannelEncryption: protocolSettings.smb.channelEncryption,"
QUERY="${QUERY}smbAuthenticationMethods: protocolSettings.smb.authenticationMethods,"
QUERY="${QUERY}smbKerberosTicketEncryption: protocolSettings.smb.kerberosTicketEncryption"
QUERY="${QUERY}}"
# Get protocol settings from the Azure Files FileService object
PROTOCOLSETTINGS=$(az storage account file-service-properties show \
--resource-group $RESOURCE_GROUP_NAME \
--account-name $STORAGE_ACCOUNT_NAME \
--query "${QUERY}")
# Replace returned values if null with default values
PROTOCOLSETTINGS="${protocolSettings/$REPLACESMBPROTOCOLVERSION/$DEFAULTSMBPROTOCOLVERSIONS}"
PROTOCOLSETTINGS="${protocolSettings/$REPLACESMBCHANNELENCRYPTION/$DEFAULTSMBCHANNELENCRYPTION}"
PROTOCOLSETTINGS="${protocolSettings/$REPLACESMBAUTHENTICATIONMETHODS/$DEFAULTSMBAUTHENTICATIONMETHODS}"
PROTOCOLSETTINGS="${protocolSettings/$REPLACESMBKERBEROSTICKETENCRYPTION/$DEFAULTSMBKERBEROSTICKETENCRYPTION}"
# Print returned settings
echo $PROTOCOLSETTINGS
Dependiendo de los requisitos de seguridad, rendimiento y compatibilidad de su organización, es posible que quiera modificar la configuración del protocolo SMB. El comando de la CLI de Azure siguiente restringe los recursos compartidos de archivos SMB exclusivamente a las opciones más seguras.
Importante
Restringir los recursos compartidos de archivos de Azure SMB a solo las opciones más seguras podría dar lugar a que algunos clientes no puedan conectarse. Por ejemplo, AES-256-GCM se introdujo como opción para el cifrado del canal SMB a partir de Windows Server 2022 y Windows 11. Esto significa que los clientes más antiguos que no admiten AES-256-GCM no podrán conectarse. Si selecciona solo AES-256-GCM, deberá indicar a los clientes de Windows Server 2022 y Windows 11 que solo usen AES-256-GCM abriendo un terminal de PowerShell como administrador en cada cliente y ejecutando Set-SmbClientConfiguration -EncryptionCiphers "AES_256_GCM" -Confirm:$false.
Los recursos compartidos de archivos SMB en Azure Files admiten un subconjunto de características compatibles con el protocolo SMB y el sistema de archivos NTFS. Aunque la mayoría de los casos de uso y de las aplicaciones no requieren estas características, es posible que algunas aplicaciones no funcionen correctamente con Azure Files si dependen de características no admitidas. No se admiten las características siguientes:
Los recursos compartidos de archivos SMB de Azure están disponibles en todas las regiones de Azure, incluidas todas las públicas y soberanas. Los recursos compartidos de archivos SMB premium están disponibles en un subconjunto de regiones.
