Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Az Azure Storage több hálózati biztonsági réteget biztosít az adatok védelme és a tárfiókokhoz való hozzáférés szabályozása érdekében. Ez a cikk áttekintést nyújt az Azure Storage-fiókokhoz elérhető legfontosabb hálózati biztonsági funkciókról és konfigurációs lehetőségekről. A tárfiókot https-kapcsolatok megkövetelésével, privát végpontok maximális elkülönítésre való implementálásával vagy a nyilvános végpontok hozzáférésének tűzfalszabályokon és hálózati biztonsági szegélyeken keresztül történő konfigurálásával teheti biztonságossá. Minden megközelítés különböző biztonsági és összetettségi szinteket kínál, lehetővé téve a megfelelő kombináció kiválasztását a konkrét követelmények, a hálózati architektúra és a biztonsági szabályzatok alapján.
Megjegyzés:
Az engedélyezett forrásokból érkező kéréseket intéző ügyfeleknek is meg kell felelniük a tárfiók engedélyezési követelményeinek. A fiókengedélyezési szolgáltatásról további információt az Adatokhoz való hozzáférés engedélyezése az Azure Storage-ban című témakörben talál.
Biztonságos kapcsolatok (HTTPS)
Alapértelmezés szerint a tárfiókok csak HTTPS-en keresztül fogadják el a kéréseket. A HTTP-en keresztül küldött kérelmeket a rendszer elutasítja. Javasoljuk, hogy az összes tárfiókhoz biztonságos átvitelt igényeljön, kivéve, ha az NFS Azure-fájlmegosztások hálózati szintű biztonsággal vannak használatban. Annak ellenőrzéséhez, hogy a fiók csak biztonságos kapcsolatokról fogad-e kérelmeket, győződjön meg arról, hogy a tárfiók biztonságos átvitelhez szükséges tulajdonsága engedélyezve van. További információ: Biztonságos átvitel megkövetelése a biztonságos kapcsolatok biztosításához.
Privát végpontok
Ha lehetséges, hozzon létre privát hivatkozásokat a tárfiókhoz, hogy biztonságossá tegye a hozzáférést egy privát végponton keresztül. Egy privát végpont privát IP-címet rendel a virtuális hálózatból a tárfiókhoz. Az ügyfelek a privát hivatkozás használatával csatlakoznak a tárfiókhoz. A forgalom a Microsoft gerinchálózatán keresztül van irányítva, biztosítva, hogy az ne a nyilvános interneten keresztül haladjön. A hozzáférési szabályokat a privát végpontok hálózati házirendjeivel finomhangolhatja. Ha csak privát hivatkozásokról szeretné engedélyezni a forgalmat, letilthatja az összes hozzáférést a nyilvános végponton keresztül. A privát végpontok többletköltséggel járnak, de maximális hálózati elkülönítést biztosítanak. További információ: Privát végpontok használata az Azure Storage-hoz.
Nyilvános végpontok
A tárfiók nyilvános végpontja nyilvános IP-címen keresztül érhető el. A tárfiók nyilvános végpontjának védelmét tűzfalszabályok használatával vagy a tárfiók hálózati biztonsági szegélyhez való hozzáadásával teheti biztonságossá.
Tűzfal szabályok
A tűzfalszabályok lehetővé teszik a nyilvános végpont felé történő forgalom korlátozását. Nem befolyásolják a privát végpont felé történő forgalmat.
Mielőtt konfigurálhatja őket, engedélyeznie kell a tűzfalszabályokat. A tűzfalszabályok engedélyezése alapértelmezés szerint blokkolja az összes bejövő kérést. A kérések csak akkor engedélyezettek, ha egy ön által megadott forráson belül működő ügyféltől vagy szolgáltatástól származnak. A tűzfalszabályokat a tárfiók alapértelmezett nyilvános hálózati hozzáférési szabályának beállításával engedélyezheti. Ennek módjáról az Azure Storage-fiók alapértelmezett nyilvános hálózati hozzáférési szabályának beállítása című témakörben olvashat.
Használjon tűzfalszabályokat a következő forrásokból érkező forgalom engedélyezéséhez:
- Egy vagy több Azure-beli virtuális hálózat adott alhálózatai
- IP-címtartományok
- Erőforráspéldányok
- Megbízható Azure-szolgáltatások
További információ: Azure Storage tűzfalszabályok.
A tűzfalbeállítások egy tárfiókra vonatkoznak. Ha egyetlen bejövő és kimenő szabálykészletet szeretne kezelni a tárfiókok és más erőforrások egy csoportja körül, fontolja meg a hálózati biztonsági szegély beállítását.
Hálózati biztonsági szegély
A nyilvános végpont felé történő forgalom korlátozásának másik módja a tárfiók hálózati biztonsági szegélybe való belefoglalása. A hálózati biztonsági szegély az adatkiszivárgás ellen is védelmet nyújt azáltal, hogy lehetővé teszi a kimenő szabályok definiálását. A hálózati biztonsági szegély különösen akkor lehet hasznos, ha biztonsági határt szeretne létrehozni egy erőforrásgyűjtemény körül. Ez több tárfiókot és más szolgáltatásként nyújtott platformot (PaaS) is tartalmazhat. A hálózati biztonsági szegélyek teljesebb körű bejövő, kimenő és PaaS-paaS-alapú vezérlőket biztosítanak, amelyek a teljes szegélyre alkalmazhatók ahelyett, hogy egyenként konfigurálhatók az egyes erőforrásokon. Emellett csökkentheti a forgalom naplózásának összetettségét is.
További információkért tekintse meg az Azure Storage hálózati biztonsági szegélyét.
Másolási művelet hatókörei (előzetes verzió)
A másolási műveletek előzetes verziójának Engedélyezett hatóköre funkcióval korlátozhatja a tárfiókokra történő adatmásolást úgy, hogy a forrásokat ugyanarra a Microsoft Entra-bérlőre vagy virtuális hálózatra korlátozza, privát hivatkozásokkal. Ez segíthet megelőzni a nem megbízható környezetek nem kívánt adatszivárgását. További információ: Másolási műveletek forrásának korlátozása tárfiókra.