Note
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de changer d’annuaire.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de changer d’annuaire.
Avant d’implémenter la sécurité réseau pour vos comptes de stockage, passez en revue les restrictions et considérations importantes de cette section.
Instructions générales et limitations
Les règles de pare-feu stockage Azure s’appliquent uniquement aux opérations de plan de données . Les opérations de plan de contrôle ne sont pas soumises aux restrictions spécifiées dans les règles de pare-feu.
Pour accéder aux données à l’aide d’outils tels que le portail Azure, l’Explorateur Stockage Azure et AzCopy, vous devez être sur un ordinateur dans la limite approuvée que vous établissez lors de la configuration des règles de sécurité réseau.
Certaines opérations, telles que les opérations de conteneur d’objets blob, peuvent être effectuées via le plan de contrôle et le plan de données. Si vous tentez d’effectuer une opération telle que la liste des conteneurs à partir du portail Azure, l’opération réussit, sauf si elle est bloquée par un autre mécanisme. Les tentatives d’accès aux données d’objet blob à partir d’une application telle que l’Explorateur Stockage Azure sont contrôlées par les restrictions de pare-feu.
Pour obtenir la liste des opérations du plan de données, consultez la référence de l’API REST de stockage Azure.
Pour obtenir la liste des opérations du plan de contrôle, consultez la référence de l’API REST du fournisseur de ressources de stockage Azure.
Les règles de réseau sont appliquées sur tous les protocoles réseau pour le stockage Azure, notamment REST et SMB.
Les règles de réseau n’affectent pas le trafic de disque de machine virtuelle, y compris les opérations de montage et de démontage et les E/S de disque, mais elles aident à protéger l’accès REST aux objets blob de pages.
Vous pouvez utiliser des disques non gérés dans des comptes de stockage avec des règles réseau appliquées pour sauvegarder et restaurer des machines virtuelles en créant une exception. Les exceptions de pare-feu ne s’appliquent pas aux disques managés, car Azure les gère déjà.
Si vous supprimez un sous-réseau inclus dans une règle de réseau virtuel, il est supprimé des règles de réseau pour le compte de stockage. Si vous créez un sous-réseau portant le même nom, il n’a pas accès au compte de stockage. Pour autoriser l’accès, vous devez autoriser explicitement le nouveau sous-réseau dans les règles réseau du compte de stockage.
Lors du référencement d’un point de terminaison de service dans une application cliente, nous vous recommandons d’éviter de prendre une dépendance sur une adresse IP mise en cache. L’adresse IP du compte de stockage est susceptible de changer et la confiance sur une adresse IP mise en cache peut entraîner un comportement inattendu. En outre, nous vous recommandons d’honorer la durée de vie (TTL) de l’enregistrement DNS et d’éviter de la remplacer. La substitution de la durée de vie DNS peut entraîner un comportement inattendu.
Par défaut, l’accès à un compte de stockage à partir de services approuvés a priorité sur les autres restrictions d’accès réseau. Si vous définissez l’accès au réseau public sur Désactivé après avoir précédemment défini la valeur Activé à partir de réseaux virtuels et d’adresses IP sélectionnés, toutes les instances de ressources et exceptions que vous avez précédemment configurées, y compris l’autorisation des services Azure dans la liste des services approuvés à accéder à ce compte de stockage, resteront en vigueur. Par conséquent, les ressources et services pourront toujours avoir accès au compte de stockage.
Même si vous désactivez l’accès au réseau public, vous pouvez toujours recevoir un avertissement de Microsoft Defender pour le stockage ou d’Azure Advisor qui vous recommande de restreindre l’accès à l’aide de règles de réseau virtuel. Cela peut se produire dans les cas où vous désactivez l’accès public à l’aide d’un modèle. La propriété defaultAction reste définie sur Allow , même si vous définissez la propriété PublicNetworkAccesssur Disabled. Bien que la propriété PublicNetworkAccess soit prioritaire, les outils tels que Microsoft Defender signalent également la valeur de la propriété defaultAction . Pour résoudre ce problème, utilisez un modèle pour définir la propriété DefaultActionDeny ou désactiver l’accès public à l’aide d’un outil tel que le portail Azure, PowerShell ou Azure CLI. Ces outils modifient automatiquement la propriété defaultAction en valeur Deny pour vous.
Restrictions pour les règles de réseau IP
Les règles de réseau IP sont autorisées uniquement pour les adresses IP de l’internet public.
Les plages d’adresses IP réservées aux réseaux privés (comme défini dans RFC 1918) ne sont pas autorisées dans les règles IP. Les réseaux privés incluent des adresses qui commencent par 10, 172.16 à 172.31, et 192.168.
Vous devez fournir des plages d’adresses Internet autorisées à l’aide de la notation CIDR sous la forme 16.17.18.0/24 ou sous la forme d’adresses IP individuelles de type 16.17.18.19.
Les petites plages d’adresses qui utilisent /31 ou /32 tailles de préfixe ne sont pas prises en charge. Configurez ces plages à l’aide de règles d’adresse IP individuelles.
Seules les adresses IPv4 sont prises en charge dans la configuration des règles de pare-feu de stockage.
Vous ne pouvez pas utiliser de règles de réseau IP pour restreindre l’accès aux clients dans la même région Azure que le compte de stockage. Les règles de réseau IP n’ont aucun effet sur les requêtes provenant de la même région Azure que le compte de stockage. Utilisez des règles de réseau virtuel pour autoriser les requêtes de même région.
Vous ne pouvez pas utiliser de règles de réseau IP pour restreindre l’accès aux clients d’une région jumelée qui se trouvent dans un réseau virtuel avec un point de terminaison de service.
Vous ne pouvez pas utiliser de règles de réseau IP pour restreindre l’accès aux services Azure déployés dans la même région que le compte de stockage.
Les services déployés dans la même région que le compte de stockage utilisent des adresses IP Azure privées pour la communication. Par conséquent, vous ne pouvez pas restreindre l’accès à des services Azure spécifiques en fonction de leur plage d’adresses IP sortantes publiques.
Étapes suivantes
- Découvrez-en davantage sur les points de terminaison de service de réseau virtuel Azure.
- Explorez plus en détail les recommandations de sécurité pour Stockage Blob Azure.