Az Azure Storage-tűzfalra vonatkozó irányelvek és korlátozások

Mielőtt megvalósítja a tárfiókok hálózati biztonságát, tekintse át az ebben a szakaszban szereplő fontos korlátozásokat és szempontokat.

Általános irányelvek és korlátozások

• Az Azure Storage tűzfalszabályai csak az adatsík-műveletekre vonatkoznak. A vezérlősík műveleteire nem vonatkoznak a tűzfalszabályokban meghatározott korlátozások.

• Ha olyan eszközökkel szeretne hozzáférni az adatokhoz, mint az Azure Portal, az Azure Storage Explorer és az AzCopy, a hálózati biztonsági szabályok konfigurálásakor létrehozott megbízható határon belül kell lennie.

  Egyes műveletek, például a blobtároló műveletei a vezérlősíkon és az adatsíkon keresztül is végrehajthatók. Ha olyan műveletet kísérel meg végrehajtani, mint például a tárolók listázása az Azure Portalról, a művelet sikeres lesz, hacsak nem tiltja le egy másik mechanizmus. A blobadatok egy alkalmazásból, például az Azure Storage Explorerből való elérésére tett kísérleteket a tűzfalkorlátozások szabályozzák.

  Az adatsík-műveletek listáját az Azure Storage REST API-referenciájában találja.

  A vezérlősík-műveletek listáját az Azure Storage-erőforrás-szolgáltató REST API-referenciájában találja.

• A hálózati szabályok az Azure Storage összes hálózati protokolljára vonatkoznak, beleértve a REST-et és az SMB-t is.

• A hálózati szabályok nem befolyásolják a virtuális gépek (VM) lemezforgalmát, beleértve a csatlakoztatási és leválasztási műveleteket, valamint a lemez I/O-ját, de segítenek megvédeni a lapblobok REST-hozzáférését.

• A nem felügyelt lemezeket olyan hálózati szabályokkal rendelkező tárfiókokban használhatja, amelyeket kivételek létrehozásával a virtuális gépek biztonsági mentésére és visszaállítására alkalmaz. A tűzfalak kivételei nem vonatkoznak a felügyelt lemezekre, mert az Azure már kezeli őket.

• Ha töröl egy virtuális hálózati szabályban szereplő alhálózatot, az törlődik a tárfiók hálózati szabályaiból. Ha ugyanazzal a névvel hoz létre új alhálózatot, az nem fér hozzá a tárfiókhoz. A hozzáférés engedélyezéséhez explicit módon engedélyeznie kell az új alhálózatot a tárfiók hálózati szabályaiban.

• Amikor szolgáltatásvégpontra hivatkozik egy ügyfélalkalmazásban, javasoljuk, hogy kerülje a gyorsítótárazott IP-címek függőségét. A tárfiók IP-címe változhat, és a gyorsítótárazott IP-címekre való támaszkodás váratlan viselkedést eredményezhet. Azt is javasoljuk, hogy tiszteletben tartja a DNS-rekord élettartamát (TTL), és ne bírálja felül. A DNS TTL felülbírálása váratlan viselkedést eredményezhet.

• A megbízható szolgáltatások általi hozzáférés egy tárfiókhoz prioritást élvez az egyéb hálózati hozzáférési korlátozásokkal szemben. Ha a nyilvános hálózati hozzáférést a korábban kiválasztott virtuális hálózatokról és IP-címekről történő engedélyezés után letiltottra állítja, akkor a korábban konfigurált erőforráspéldányok és kivételek, beleértve a megbízható szolgáltatások listáján szereplő Azure-szolgáltatások hozzáférését a tárfiókhoz, továbbra is érvényben maradnak. Ennek eredményeképpen előfordulhat, hogy ezek az erőforrások és szolgáltatások továbbra is hozzáférnek a tárfiókhoz.

• Még ha letiltja is a nyilvános hálózati hozzáférést, akkor is figyelmeztetést kaphat a Microsoft Defender for Storage-tól vagy az Azure Advisortól, amely azt javasolja, hogy korlátozza a hozzáférést a virtuális hálózati szabályok használatával. Ez akkor fordulhat elő, ha a nyilvános hozzáférést sablonnal tiltja le. A defaultAction tulajdonság továbbra is Engedélyezés értékre van állítva, annak ellenére, hogy a PublicNetworkAccesstulajdonságot Letiltva értékre állítja. Bár a PublicNetworkAccess tulajdonság elsőbbséget élvez, az olyan eszközök, mint a Microsoft Defender, szintén a defaultAction tulajdonság értékéről számolnak be. A probléma megoldásához használjon sablont az alapértelmezett Megtagadás tulajdonság beállításához, vagy tiltsa le a nyilvános hozzáférést olyan eszközökkel, mint az Azure Portal, a PowerShell vagy az Azure CLI. Ezek az eszközök automatikusan elutasító értékre módosítják a defaultAction tulajdonságot.

IP-hálózati szabályok korlátozásai

• Az IP-hálózati szabályok csak nyilvános internetes IP-címekre engedélyezettek.

  A magánhálózatokhoz fenntartott IP-címtartományok (az RFC 1918-ban meghatározottak szerint) nem engedélyezettek az IP-szabályokban. A magánhálózatok tartalmazzák a 10, 172,16 és 172,31 és 192,168 címekkel kezdődő címeket.

• Az engedélyezett internetes címtartományokat a 16.17.18.0/24 formátumú CIDR-jelöléssel vagy egyéni IP-címként kell megadnia, például 16.17.18.19.

• A /31 vagy /32 előtagméretet használó kis címtartományok nem támogatottak. Ezeket a tartományokat egyéni IP-címszabályok használatával konfigurálhatja.

• A tárolási tűzfalszabályok konfigurálása csak az IPv4-címeket támogatja.

• Nem használhat IP-hálózati szabályokat az ügyfelek hozzáférésének korlátozására ugyanabban az Azure-régióban, mint a tárfiók. Az IP-hálózati szabályok nincsenek hatással a tárfiókkal azonos Azure-régióból származó kérelmekre. Virtuális hálózati szabályokkal engedélyezheti az azonos régióra vonatkozó kéréseket.

• Ip-hálózati szabályokkal nem korlátozhatja a szolgáltatásvégponttal rendelkező virtuális hálózatban lévő párosított régióban lévő ügyfelek hozzáférését.

• Ip-hálózati szabályokkal nem korlátozhatja a tárfiókkal azonos régióban üzembe helyezett Azure-szolgáltatásokhoz való hozzáférést.

  A tárfiókhoz tartozó régióban üzembe helyezett szolgáltatások privát Azure IP-címeket használnak a kommunikációhoz. Ezért nem korlátozhatja az egyes Azure-szolgáltatásokhoz való hozzáférést a nyilvános kimenő IP-címtartományuk alapján.

Következő lépések

• További információ az Azure hálózati szolgáltatásvégpontjairól.
• Részletesebben megismeri az Azure Blob Storage biztonsági ajánlásait.