Jegyzet
Az oldalhoz való hozzáférés engedélyezést igényel. Próbálhatod be jelentkezni vagy könyvtárat váltani.
Az oldalhoz való hozzáférés engedélyezést igényel. Megpróbálhatod a könyvtár váltását.
Az Azure Storage tűzfalszabályai részletes vezérlést biztosítanak a tárfiók nyilvános végpontjához való hálózati hozzáférés felett. A tárfiókok alapértelmezés szerint bármely hálózatról engedélyezik a kapcsolatokat, de a hozzáférést korlátozhatja olyan hálózati szabályok konfigurálásával, amelyek meghatározzák, hogy mely források csatlakozhatnak a tárfiókhoz.
Négyféle hálózati szabályt konfigurálhat:
- Virtuális hálózati szabályok: Adott alhálózatokról érkező forgalom engedélyezése az Azure-beli virtuális hálózatokon belül
- IP-hálózati szabályok: Adott nyilvános IP-címtartományokból érkező forgalom engedélyezése
- Erőforráspéldány-szabályok: Adott Azure-erőforráspéldányokból érkező forgalom engedélyezése, amelyek nem különíthetők el virtuális hálózaton vagy IP-szabályokon keresztül
- Megbízható szolgáltatás kivételek: Adott, a hálózat határain kívül működő Azure-szolgáltatásokból érkező forgalom engedélyezése
Hálózati szabályok konfigurálásakor csak a kifejezetten engedélyezett forrásokból származó forgalom férhet hozzá a tárfiókhoz a nyilvános végponton keresztül. Minden más forgalom le van tagadva.
Megjegyzés
Az engedélyezett forrásokból érkező kéréseket intéző ügyfeleknek is meg kell felelniük a tárfiók engedélyezési követelményeinek. A fiókengedélyezési szolgáltatásról további információt az Adatokhoz való hozzáférés engedélyezése az Azure Storage-ban című témakörben talál.
Virtuális hálózati szabályok
Bármely Azure-beli virtuális hálózat alhálózataiból engedélyezheti a forgalmat. A virtuális hálózat bármilyen előfizetésből származhat bármely Microsoft Entra-bérlőn belül bármely Azure-régióban. Az alhálózatról érkező forgalom engedélyezéséhez adjon hozzá egy virtuális hálózati szabályt. Tárfiókonként legfeljebb 400 virtuális hálózati szabályt adhat hozzá.
Az alhálózat virtuális hálózati beállításai között engedélyeznie kell egy virtuális hálózati szolgáltatásvégpontot is. Ez a végpont úgy lett kialakítva, hogy biztonságos és közvetlen kapcsolatot biztosítson a tárfiókhoz.
Amikor az Azure Portal használatával hoz létre hálózati szabályokat, ezek a szolgáltatásvégpontok automatikusan létrejönnek az egyes célalhálózatok kiválasztásakor. A PowerShell és az Azure CLI olyan parancsokat biztosít, amelyekkel manuálisan hozhatja létre őket. A szolgáltatásvégpontokról további információt a Virtuális hálózati szolgáltatásvégpontok című témakörben talál.
Az alábbi táblázat az Azure Storage-hoz engedélyezhető szolgáltatásvégpontok típusait ismerteti:
| Szolgáltatásvégpont | Erőforrás neve | Leírás |
|---|---|---|
| Azure Storage-végpont | Microsoft.Storage | Kapcsolatot biztosít a virtuális hálózattal azonos régióban lévő tárfiókokkal. |
| Az Azure Storage régióközi szolgáltatásvégpontja | Microsoft.Storage.Global | Bármely régióban biztosít kapcsolatot a tárfiókokkal. |
Megjegyzés
Ezen végponttípusok közül csak egy társítható alhálózathoz. Ha az egyik végpont már társítva van az alhálózattal, a másik hozzáadása előtt törölnie kell a végpontot.
A virtuális hálózati szabályok konfigurálásáról és a szolgáltatásvégpontok engedélyezéséről a Virtuális hálózati szabály létrehozása az Azure Storage-hoz című témakörben olvashat.
Hozzáférés párosított régióból
A szolgáltatásvégpontok a párosított régióban lévő virtuális hálózatok és szolgáltatáspéldányok között is működnek.
A szolgáltatásvégpontok virtuális hálózatok és szolgáltatáspéldányok közötti konfigurálása egy párosított régióban fontos része lehet a vészhelyreállítási tervnek. A szolgáltatásvégpontok lehetővé teszik a folyamatosságot egy regionális feladatátvétel során, és hozzáférést biztosítanak az írásvédett georedundáns tárolási (RA-GRS) példányokhoz. Azok a virtuális hálózati szabályok, amelyek hozzáférést biztosítanak egy virtuális hálózatról egy tárfiókhoz, szintén hozzáférést biztosítanak az RA-GRS-példányokhoz.
Ha regionális kimaradás esetén vészhelyreállítást tervez, előzetesen hozza létre a virtuális hálózatokat a párosított régióban. Engedélyezze az Azure Storage szolgáltatásvégpontjait olyan hálózati szabályokkal, amelyek hozzáférést biztosítanak ezekből az alternatív virtuális hálózatokból. Ezután alkalmazza ezeket a szabályokat a georedundáns tárfiókokra.
IP-hálózati szabályok
A nem virtuális hálózaton található ügyfelek és szolgáltatások esetében IP-hálózati szabályok létrehozásával engedélyezheti a forgalmat. Minden IP-hálózati szabály engedélyezi a forgalmat egy adott nyilvános IP-címtartományból. Ha például egy helyszíni hálózatból származó ügyfélnek hozzá kell férnie a tárolási adatokhoz, létrehozhat egy szabályt, amely tartalmazza az ügyfél nyilvános IP-címét. Minden tárfiók legfeljebb 400 IP-hálózati szabályt támogat.
Az IP-hálózati szabályok létrehozásáról az Azure Storage-hoz készült IP-hálózati szabály létrehozása című témakörben olvashat.
Ha egy alhálózat szolgáltatásvégpontját engedélyezi, az alhálózatról érkező forgalom nem használ nyilvános IP-címet a tárfiókkal való kommunikációhoz. Ehelyett minden forgalom egy privát IP-címet használ forrás IP-címként. Ennek eredményeképpen az alhálózatokról érkező forgalmat engedélyező IP-hálózati szabályok már nem lesznek hatással.
Az adott IP-címhez hozzáférést biztosító SAS-jogkivonatok a jogkivonat-tulajdonos hozzáférésének korlátozására szolgálnak, de a konfigurált hálózati szabályokon túl nem adnak új hozzáférést.
Fontos
Bizonyos korlátozások az IP-címtartományokra vonatkoznak. A korlátozások listáját az IP-hálózati szabályok korlátozásai című témakörben találja.
Hozzáférés helyszíni hálózatról
Ip-hálózati szabály használatával engedélyezheti a helyszíni hálózatról érkező forgalmat. Először azonosítania kell a hálózat által használt internetes IP-címeket. Segítségért forduljon a hálózati rendszergazdához.
Ha a telephelyéről használja az Azure ExpressRoute-ot, azonosítania kell a Microsoft peeringhez használt NAT IP-címeket. A nat IP-címeket a szolgáltató vagy az ügyfél adja meg.
A szolgáltatás erőforrásaihoz való hozzáférés engedélyezéséhez engedélyeznie kell ezeket a nyilvános IP-címeket az erőforrás IP-címeinek tűzfalbeállításában.
Azure-erőforráspéldány-szabályok
Egyes Azure-erőforrások nem különíthetők el virtuális hálózaton vagy IP-címszabályon keresztül. Ezekről az erőforrásokról egy erőforráspéldány-hálózati szabály létrehozásával engedélyezheti a forgalmat. Az erőforráspéldány Azure-szerepkör-hozzárendelései határozzák meg, hogy az erőforráspéldány milyen típusú műveleteket hajthat végre a tárfiók adatain. Az erőforráspéldányoknak ugyanabból a bérlőből kell származniuk, mint a tárfiók, de a bérlőn belül bármely előfizetéshez tartozhatnak.
Az erőforráspéldány-szabály konfigurálásáról az Azure Storage-hoz készült erőforráspéldány-hálózati szabály létrehozása című témakörben olvashat.
A megbízható Azure-szolgáltatások kivételei
Ha engedélyeznie kell egy, a hálózat határain kívül eső Azure-szolgáltatásból érkező forgalmat, hozzáadhat egy hálózati biztonsági kivételt. Ez akkor lehet hasznos, ha egy Azure-szolgáltatás olyan hálózatról működik, amelyet nem lehet belefoglalni a virtuális hálózatba vagy az IP-hálózati szabályokba. Előfordulhat például, hogy egyes szolgáltatásoknak erőforrásnaplókat és metrikákat kell olvasniuk a fiókjában. Hálózati szabály kivételének létrehozásával engedélyezheti a naplófájlok, metrikák táblái vagy mindkettő olvasási hozzáférését. Ezek a szolgáltatások erős hitelesítéssel csatlakoznak a tárfiókhoz.
A hálózati biztonsági kivételek hozzáadásáról további információt a hálózati biztonsági kivételek kezelése című témakörben talál.
Azoknak az Azure szolgáltatásoknak a teljes listáját, amelyekhez engedélyezheti a forgalmat, a Megbízható Azure-szolgáltatások című témakörben találja.
Korlátozások és szempontok
A tárfiókok hálózati biztonságának megvalósítása előtt mindenképpen tekintse át az összes korlátozást és szempontot. A teljes listát az Azure Storage-tűzfal és a virtuális hálózat konfigurációjának korlátozásai és korlátozásai című témakörben találja.