Olvasás angol nyelven

Megosztás a következőn keresztül:

Azure Storage-tűzfalak és virtuális hálózatok konfigurálása

  • Cikk

Az Azure Storage rétegekre osztott biztonsági modellt biztosít. Ez a modell lehetővé teszi az alkalmazások és a vállalati környezetek által igényelt tárfiókokhoz való hozzáférés szintjének szabályozását a használt hálózatok vagy erőforrások típusa és részhalmaza alapján.

Hálózati szabályok konfigurálásakor csak azok az alkalmazások férhetnek hozzá a tárfiókhoz, amelyek a megadott hálózatokon vagy a megadott Azure-erőforrásokon keresztül kérnek adatokat. A tárfiókhoz való hozzáférést korlátozhatja a megadott IP-címekről, IP-tartományokból, Azure-beli virtuális hálózatok alhálózataiból vagy egyes Azure-szolgáltatások erőforráspéldányaiból érkező kérelmekre.

A tárfiókok nyilvános végpontja az interneten keresztül érhető el. Privát végpontokat is létrehozhat a tárfiókhoz. A privát végpontok létrehozása egy privát IP-címet rendel a virtuális hálózathoz a tárfiókhoz. Segít a virtuális hálózat és a tárfiók közötti forgalom biztonságossá tételében egy privát kapcsolaton keresztül.

Az Azure Storage tűzfal hozzáférés-vezérlést biztosít a tárfiók nyilvános végpontjához. A tűzfallal a nyilvános végponton keresztüli összes hozzáférést letilthatja privát végpontok használatakor. A tűzfal konfigurációja lehetővé teszi a megbízható Azure-platformszolgáltatások számára a tárfiók elérését is.

A tárfiókhoz a hálózati szabályok érvénybe lépésekor hozzáférő alkalmazásokhoz továbbra is megfelelő engedélyezésre van szükség a kéréshez. Az engedélyezést a Microsoft Entra hitelesítő adatai támogatják blobokhoz, táblákhoz, fájlmegosztásokhoz és üzenetsorokhoz, érvényes fiókhozzáférési kulccsal vagy közös hozzáférésű jogosultságkóddal (SAS) rendelkező jogkivonattal. Ha névtelen hozzáférésre konfigurál egy blobtárolót, a tárolóban lévő adatok olvasására irányuló kéréseket nem kell engedélyezni. A tűzfalszabályok érvényben maradnak, és blokkolják a névtelen forgalmat.

A tárfiók tűzfalszabályainak bekapcsolása alapértelmezés szerint blokkolja a bejövő adatkéréseket, kivéve, ha a kérések egy Azure-beli virtuális hálózaton belül működő szolgáltatásból vagy engedélyezett nyilvános IP-címekről származnak. A letiltott kérések közé tartoznak a többi Azure-szolgáltatásból, az Azure Portalról, valamint a naplózási és metrikaszolgáltatásokból érkező kérések.

A virtuális hálózaton belül működő Azure-szolgáltatásokhoz úgy adhat hozzáférést, hogy engedélyezi a szolgáltatáspéldányt üzemeltető alhálózat forgalmát. A cikk által leírt kivételek mechanizmusával korlátozott számú forgatókönyvet is engedélyezhet. A tárfiókból az Azure Portalon keresztüli adatok eléréséhez a beállított megbízható határon (IP- vagy virtuális hálózaton) belül kell lennie.

Megjegyzés

Javasoljuk, hogy az Azure Az PowerShell modult használja az Azure-ral való interakcióhoz. Az első lépésekhez tekintse meg Az Azure PowerShell telepítése témakört. Az Az PowerShell-modulra történő migrálás részleteiről lásd: Az Azure PowerShell migrálása az AzureRM modulból az Az modulba.

Forgatókönyvek

A tárfiók biztonságossá tételéhez először konfigurálnia kell egy szabályt, amely alapértelmezés szerint megtagadja a nyilvános végponton lévő összes hálózat forgalmához való hozzáférést (beleértve az internetes forgalmat is). Ezután konfigurálnia kell azokat a szabályokat, amelyek hozzáférést biztosítanak az adott virtuális hálózatokból érkező forgalomhoz. A szabályokat úgy is konfigurálhatja, hogy hozzáférést biztosítsanak a kiválasztott nyilvános internetes IP-címtartományokból érkező forgalomhoz, lehetővé téve az adott internetről vagy helyszíni ügyfelekről érkező kapcsolatokat. Ezzel a konfigurációval biztonságos hálózati határt hozhat létre az alkalmazások számára.

Egyesítheti azokat a tűzfalszabályokat, amelyek lehetővé teszik a hozzáférést adott virtuális hálózatokról és ugyanazon tárfiók nyilvános IP-címtartományaiból. A meglévő tárfiókokra vagy új tárfiókok létrehozásakor is alkalmazhat tárolási tűzfalszabályokat.

A tárterület tűzfalszabályai a tárfiók nyilvános végpontjára vonatkoznak. Nincs szükség tűzfal-hozzáférési szabályokra a tárfiók privát végpontjainak forgalmának engedélyezéséhez. A privát végpont létrehozásának jóváhagyásának folyamata implicit hozzáférést biztosít a privát végpontot üzemeltető alhálózat forgalmához.

Fontos

Az Azure Storage tűzfalszabályai csak az adatsík-műveletekre vonatkoznak. A vezérlősík műveleteire nem vonatkoznak a tűzfalszabályokban meghatározott korlátozások.

Egyes műveletek, például a blobtároló műveletei a vezérlősíkon és az adatsíkon keresztül is végrehajthatók. Ha tehát egy olyan műveletet kísérel meg végrehajtani, mint például a tárolók listázása az Azure Portalról, a művelet sikeres lesz, hacsak egy másik mechanizmus nem blokkolja. A blobadatok egy alkalmazásból, például az Azure Storage Explorerből való elérésére tett kísérleteket a tűzfalkorlátozások szabályozzák.

Az adatsík-műveletek listáját az Azure Storage REST API-referenciájában találja. A vezérlősík-műveletek listáját az Azure Storage-erőforrás-szolgáltató REST API-referenciájában találja.

Az Azure Storage hálózati hozzáférésének konfigurálása

A tárfiókban lévő adatokhoz való hozzáférést hálózati végpontokon vagy megbízható szolgáltatásokon vagy erőforrásokon keresztül szabályozhatja, beleértve a következőket:

Tudnivalók a virtuális hálózati végpontokról

A tárfiókokhoz kétféle virtuális hálózati végpont használható:

A virtuális hálózati szolgáltatásvégpontok nyilvánosak és elérhetők az interneten keresztül. Az Azure Storage tűzfal lehetővé teszi a tárfiókhoz való hozzáférés szabályozását az ilyen nyilvános végpontokon keresztül. Amikor engedélyezi a nyilvános hálózati hozzáférést a tárfiókhoz, alapértelmezés szerint minden bejövő adatkérés le lesz tiltva. Csak azok az alkalmazások férhetnek hozzá az adatokhoz, amelyek a tárfiók tűzfalbeállításaiban konfigurált engedélyezett forrásokból kérnek adatokat. A források tartalmazhatják az ügyfél forrás IP-címét vagy virtuális hálózati alhálózatát, illetve egy Azure-szolgáltatás vagy erőforráspéldány nevét, amelyen keresztül az ügyfelek vagy szolgáltatások hozzáférnek az adatokhoz. A letiltott kérések közé tartoznak a többi Azure-szolgáltatásból, az Azure Portalról, valamint a naplózási és metrikai szolgáltatásokból érkező kérések, kivéve, ha kifejezetten engedélyezi a hozzáférést a tűzfal konfigurációjában.

A privát végpontok a virtuális hálózatból származó privát IP-címet használnak egy tárfiók eléréséhez a Microsoft gerinchálózatán keresztül. Privát végpont esetén a virtuális hálózat és a tárfiók közötti forgalom privát kapcsolaton keresztül van biztosítva. A tárolási tűzfalszabályok csak a tárfiók nyilvános végpontjaira vonatkoznak, a privát végpontokra nem. A privát végpont létrehozásának jóváhagyásának folyamata implicit hozzáférést biztosít a privát végpontot üzemeltető alhálózat forgalmához. Ha pontosítani szeretné a hozzáférési szabályokat, a hálózati házirendek használatával szabályozhatja a privát végpontok forgalmát. Ha kizárólag privát végpontokat szeretne használni, a tűzfallal letilthatja a nyilvános végponton keresztüli összes hozzáférést.

A privát végpontok és szolgáltatásvégpontok összehasonlítása című témakör segít eldönteni, hogy mikor érdemes az egyes típusú végpontokat használni a környezetben.

A tárfiók hálózati biztonságának megközelítése

A tárfiók biztonságossá tételéhez és az alkalmazások biztonságos hálózati határának kiépítéséhez:

  1. Először is tiltsa le a tárfiók összes nyilvános hálózati hozzáférését a tárfiók tűzfalának nyilvános hálózati hozzáférési beállításában.

  2. Ahol lehetséges, konfigurálja a tárfiókra mutató privát hivatkozásokat olyan virtuális hálózati alhálózatok privát végpontjairól, ahol az ügyfelek az adatokhoz való hozzáférést igénylik.

  3. Ha az ügyfélalkalmazások hozzáférést igényelnek a nyilvános végpontokon, módosítsa a nyilvános hálózat hozzáférési beállítását engedélyezettre a kiválasztott virtuális hálózatokról és IP-címekről. Ezután szükség szerint:

    1. Adja meg azokat a virtuális hálózati alhálózatokat, amelyekből engedélyezni szeretné a hozzáférést.
    2. Adja meg azoknak az ügyfeleknek a nyilvános IP-címtartományait, amelyekből engedélyezni szeretné a hozzáférést, például a helyszíni hálózatokon.
    3. Hozzáférés engedélyezése a kijelölt Azure-erőforráspéldányokból.
    4. Adjon hozzá kivételeket az olyan műveletekhez szükséges megbízható szolgáltatásokból való hozzáférés engedélyezéséhez, mint például az adatok biztonsági mentése.
    5. Adjon hozzá kivételeket a naplózáshoz és a metrikákhoz.

A hálózati szabályok alkalmazása után a rendszer minden kéréshez kényszeríti őket. Az adott IP-címhez hozzáférést biztosító SAS-jogkivonatok a jogkivonat-tulajdonos hozzáférésének korlátozására szolgálnak, de a konfigurált hálózati szabályokon túl nem adnak új hozzáférést.

Hálózati biztonsági szegély (előzetes verzió)

A hálózati biztonsági szegély (előzetes verzió) lehetővé teszi a szervezetek számára, hogy logikai hálózatelkülönítési határt határozzanak meg a virtuális hálózatokon kívül üzembe helyezett PaaS-erőforrásokhoz (például az Azure Blob Storage-hoz és az SQL Database-hez). A funkció korlátozza a nyilvános hálózati hozzáférést a paaS-erőforrásokhoz a peremhálózaton kívül. A nyilvános bejövő és kimenő forgalomra vonatkozó explicit hozzáférési szabályokkal azonban mentesítheti a hozzáférést. A tárfiókhoz való hozzáférés a hálózati biztonsági szegélyeken belül a legmagasabb prioritást élvezi a többi hálózati hozzáférési korlátozással szemben.

A hálózati biztonsági szegély jelenleg nyilvános előzetes verzióban érhető el az Azure Blob Storage, az Azure Files (REST), az Azure Tables és az Azure Queues esetében. Lásd: Áttűnés hálózati biztonsági szegélyre.

A hálózati biztonsági szegélyre előkészített szolgáltatások listája itt található.

A listán nem szereplő szolgáltatások esetében, mivel még nem lettek előkészítve a hálózati biztonsági szegélyre, ha engedélyezni szeretné a hozzáférést, használhat előfizetésalapú szabályt a hálózati biztonsági szegélyen. Az előfizetésen belüli összes erőforrás hozzáférést kap ehhez a hálózati biztonsági szegélyhez. Az előfizetésalapú hozzáférési szabály hozzáadásáról itt talál további információt.

Fontos

A privát végpont forgalmát rendkívül biztonságosnak tekintik, ezért nem vonatkoznak a hálózati biztonsági szegélyszabályokra. Minden más forgalomra, beleértve a megbízható szolgáltatásokat is, hálózati biztonsági szegélyszabályok vonatkoznak, ha a tárfiók szegélyhálózattal van társítva.

Korlátozások

Ez az előzetes verzió nem támogatja a következő szolgáltatásokat, műveleteket és protokollokat egy tárfiókon:

Javasoljuk, hogy ne engedélyezze a hálózati biztonsági szegélyt, ha ezen szolgáltatások, műveletek vagy protokollok bármelyikét használnia kell. Ennek célja, hogy megelőzze az esetleges adatvesztési vagy adatkiszivárgási kockázatokat.

Figyelmeztetés

A hálózati biztonsági szegélyhez társított tárfiókok esetében annak érdekében, hogy az ügyfél által felügyelt kulcsok (CMK) forgatókönyvei működjenek, győződjön meg arról, hogy az Azure Key Vault elérhető a tárfiókhoz társított peremhálózatról.

Hálózati biztonsági szegély társítása tárfiókhoz

Ha hálózati biztonsági szegélyt szeretne társítani egy tárfiókkal, kövesse az összes PaaS-erőforrásra vonatkozó gyakori utasításokat .

Korlátozások és szempontok

A tárfiókok hálózati biztonságának megvalósítása előtt tekintse át az ebben a szakaszban tárgyalt fontos korlátozásokat és szempontokat.

  • Az Azure Storage tűzfalszabályai csak az adatsík-műveletekre vonatkoznak. A vezérlősík műveleteire nem vonatkoznak a tűzfalszabályokban meghatározott korlátozások.
  • Tekintse át az IP-hálózati szabályokra vonatkozó korlátozásokat.
  • Ha olyan eszközökkel szeretne hozzáférni az adatokhoz, mint az Azure Portal, az Azure Storage Explorer és az AzCopy, a hálózati biztonsági szabályok konfigurálásakor létrehozott megbízható határon belül kell lennie.
  • A hálózati szabályok az Azure Storage összes hálózati protokolljára vonatkoznak, beleértve a REST-et és az SMB-t is.
  • A hálózati szabályok nem befolyásolják a virtuális gépek (VM) lemezforgalmát, beleértve a csatlakoztatási és leválasztási műveleteket, valamint a lemez I/O-ját, de segítenek megvédeni a lapblobok REST-hozzáférését.
  • A nem felügyelt lemezeket a tárfiókokban olyan hálózati szabályokkal használhatja, amelyeket a virtuális gépek biztonsági mentésére és visszaállítására alkalmaz egy kivétel létrehozásával. A tűzfalak kivételei nem alkalmazhatók a felügyelt lemezekre, mert az Azure már kezeli őket.
  • A klasszikus tárfiókok nem támogatják a tűzfalakat és a virtuális hálózatokat.
  • Ha töröl egy virtuális hálózati szabályban szereplő alhálózatot, az el lesz távolítva a tárfiók hálózati szabályaiból. Ha ugyanazzal a névvel hoz létre új alhálózatot, az nem fér hozzá a tárfiókhoz. A hozzáférés engedélyezéséhez explicit módon engedélyeznie kell az új alhálózatot a tárfiók hálózati szabályaiban.
  • Amikor szolgáltatásvégpontra hivatkozik egy ügyfélalkalmazásban, javasoljuk, hogy kerülje a gyorsítótárazott IP-címek függőségét. A tárfiók IP-címe változhat, és a gyorsítótárazott IP-címekre való támaszkodás váratlan viselkedést eredményezhet. Emellett ajánlott tiszteletben tartani a DNS-rekord élettartamát (TTL), és kerülnie kell a felülküldést. A DNS TTL felülbírálása váratlan viselkedést eredményezhet.
  • A tárfiókokhoz megbízható szolgáltatások általi hozzáférés szándékosan lehetséges az egyéb hálózati hozzáférési korlátozások ellenére. Ha azt követően állítja be a nyilvános hálózati hozzáférést, hogy korábban engedélyezve lett a kiválasztott virtuális hálózatokról és IP-címekről, a korábban konfigurált erőforráspéldányok és kivételek, beleértve a megbízható szolgáltatások listájában szereplő Azure-szolgáltatások hozzáférését a tárfiókhoz, érvényben maradnak. Ennek eredményeképpen előfordulhat, hogy ezek az erőforrások és szolgáltatások továbbra is hozzáférnek a tárfiókhoz.

Engedélyezés

A hálózati szabályokon keresztül hozzáférést kapó ügyfeleknek továbbra is meg kell felelniük a tárfiók engedélyezési követelményeinek az adatok eléréséhez. Az engedélyezés a Blobok és üzenetsorok Microsoft Entra-hitelesítő adataival, érvényes fiókhozzáférési kulccsal vagy közös hozzáférésű jogosultságkóddal (SAS) támogatott.

Ha blobtárolót konfigurál névtelen nyilvános hozzáféréshez, a tárolóban lévő adatok olvasására irányuló kéréseket nem kell engedélyezni, de a tűzfalszabályok érvényben maradnak, és blokkolják a névtelen forgalmat.

Az alapértelmezett hálózati hozzáférési szabály módosítása

Alapértelmezés szerint a tárfiókok bármely hálózatban lévő ügyféltől érkező kapcsolatokat elfogadnak. Korlátozhatja a kijelölt hálózatokhoz való hozzáférést, vagy megakadályozhatja az összes hálózat forgalmát, és csak privát végponton keresztül engedélyezheti a hozzáférést.

Az alapértelmezett szabályt meg kell tagadni, vagy a hálózati szabályoknak nincs hatása. A beállítás módosítása azonban befolyásolhatja, hogy az alkalmazás képes-e csatlakozni az Azure Storage-hoz. A beállítás módosítása előtt mindenképpen adjon hozzáférést az engedélyezett hálózatokhoz, vagy állítson be hozzáférést egy privát végponton keresztül.

Megjegyzés

Javasoljuk, hogy az Azure Az PowerShell modult használja az Azure-ral való interakcióhoz. Az első lépésekhez tekintse meg Az Azure PowerShell telepítése témakört. Az Az PowerShell-modulra történő migrálás részleteiről lásd: Az Azure PowerShell migrálása az AzureRM modulból az Az modulba.

  1. Lépjen a megvédeni kívánt tárfiókra.

  2. A szolgáltatás menü Biztonság + hálózatkezelés területén válassza a Hálózatkezelés lehetőséget.

  3. Válassza ki a tárfiók nyilvános végpontján keresztül engedélyezett hálózati hozzáférést:

    • Válassza ki az Összes hálózat engedélyezve vagy a kijelölt virtuális hálózatok és IP-címek közül engedélyezve lehetőséget. Ha a második lehetőséget választja, a rendszer kérni fogja, hogy adjon hozzá virtuális hálózatokat és IP-címtartományokat.

    • Ha korlátozni szeretné a bejövő hozzáférést, miközben engedélyezi a kimenő hozzáférést, válassza a Letiltva lehetőséget.

  4. Válassza a Mentés lehetőséget a módosítások alkalmazásához.

Hozzáférés biztosítása virtuális hálózatról

A tárfiókokat úgy konfigurálhatja, hogy csak bizonyos alhálózatokból engedélyezze a hozzáférést. Az engedélyezett alhálózatok tartozhatnak egy virtuális hálózathoz ugyanabban az előfizetésben vagy egy másik előfizetésben, beleértve azokat is, amelyek egy másik Microsoft Entra-bérlőhöz tartoznak. Régiók közötti szolgáltatásvégpontok esetén az engedélyezett alhálózatok a tárfióktól eltérő régiókban is lehetnek.

A virtuális hálózaton belül engedélyezheti az Azure Storage szolgáltatásvégpontjainak használatát. A szolgáltatásvégpont egy optimális útvonalon irányítja át a forgalmat a virtuális hálózatról az Azure Storage szolgáltatáshoz. Az egyes kérésekkel az alhálózat és a virtuális hálózat identitását is továbbítja a rendszer. A rendszergazdák ezután konfigurálhatják a tárfiókra vonatkozó hálózati szabályokat, amelyek lehetővé teszik a kérések fogadását egy virtuális hálózat adott alhálózataitól. Az ezen hálózati szabályokon keresztül hozzáférést kapó ügyfeleknek továbbra is meg kell felelniük a tárfiók engedélyezési követelményeinek az adatok eléréséhez.

Minden tárfiók legfeljebb 400 virtuális hálózati szabályt támogat. Ezeket a szabályokat ip-hálózati szabályokkal kombinálhatja.

Fontos

Amikor szolgáltatásvégpontra hivatkozik egy ügyfélalkalmazásban, javasoljuk, hogy kerülje a gyorsítótárazott IP-címek függőségét. A tárfiók IP-címe változhat, és a gyorsítótárazott IP-címekre való támaszkodás váratlan viselkedést eredményezhet.

Emellett ajánlott tiszteletben tartani a DNS-rekord élettartamát (TTL), és kerülnie kell a felülküldést. A DNS TTL felülbírálása váratlan viselkedést eredményezhet.

Szükséges engedélyek

Ha virtuális hálózati szabályt szeretne alkalmazni egy tárfiókra, a felhasználónak rendelkeznie kell a hozzáadandó alhálózatok megfelelő engedélyével. A tárfiók közreműködője vagy az Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/actionAzure-erőforrás-szolgáltatói művelethez engedéllyel rendelkező felhasználó egy egyéni Azure-szerepkör használatával alkalmazhat szabályt.

A tárfiók és a hozzáférést kapó virtuális hálózatok különböző előfizetésekben lehetnek, beleértve azokat az előfizetéseket is, amelyek egy másik Microsoft Entra-bérlő részét képezik.

A más Microsoft Entra-bérlőhöz tartozó virtuális hálózatok alhálózataihoz hozzáférést biztosító szabályok konfigurációja jelenleg csak a PowerShell, az Azure CLI és a REST API-k segítségével támogatott. Ezeket a szabályokat nem konfigurálhatja az Azure Portalon keresztül, de megtekintheti őket a portálon.

Az Azure Storage régióközi szolgáltatásvégpontjai

Az Azure Storage régióközi szolgáltatásvégpontjai 2023 áprilisában általánosan elérhetővé váltak. Bármely régióban működnek a virtuális hálózatok és a tárolási szolgáltatáspéldányok között. Régiók közötti szolgáltatásvégpontok esetén az alhálózatok már nem használnak nyilvános IP-címet a tárfiókokkal való kommunikációhoz, beleértve a másik régióban lévőket is. Ehelyett az alhálózatok és tárfiókok közötti összes forgalom egy magánhálózati IP-címet használ forrás IP-címként. Ennek eredményeképpen az olyan tárfiókok, amelyek IP-hálózati szabályokat használnak az alhálózatok forgalmának engedélyezéséhez, már nem lesznek hatással.

A szolgáltatásvégpontok virtuális hálózatok és szolgáltatáspéldányok közötti konfigurálása egy párosított régióban fontos része lehet a vészhelyreállítási tervnek. A szolgáltatásvégpontok lehetővé teszik a folyamatosságot a regionális feladatátvétel során, és hozzáférést biztosítanak az írásvédett georedundáns tárolási (RA-GRS) példányokhoz. Azok a hálózati szabályok, amelyek hozzáférést biztosítanak egy virtuális hálózatról egy tárfiókhoz, bármely RA-GRS-példányhoz is hozzáférést biztosítanak.

Ha regionális kimaradás esetén vészhelyreállítást tervez, előzetesen hozza létre a virtuális hálózatokat a párosított régióban. Engedélyezze az Azure Storage szolgáltatásvégpontjait, és a hálózati szabályok hozzáférést biztosítanak ezekből az alternatív virtuális hálózatokból. Ezután alkalmazza ezeket a szabályokat a georedundáns tárfiókokra.

A helyi és a régiók közötti szolgáltatásvégpontok nem létezhetnek ugyanazon az alhálózaton. Ha a meglévő szolgáltatásvégpontokat régiók közötti végpontokra szeretné cserélni, törölje a meglévő Microsoft.Storage végpontokat, és hozza létre újra régiók közötti végpontként (Microsoft.Storage.Global).

Virtuális hálózati és hozzáférési szabályok kezelése

A tárfiókok virtuális hálózati és hozzáférési szabályait az Azure Portalon, a PowerShellen vagy az Azure CLI 2-es verzióján keresztül kezelheti.

Ha engedélyezni szeretné a tárfiókhoz való hozzáférést egy másik Microsoft Entra-bérlő virtuális hálózatáról vagy alhálózatáról, a PowerShellt vagy az Azure CLI-t kell használnia. Az Azure Portal nem jelenít meg alhálózatokat más Microsoft Entra-bérlőkben.

  1. Nyissa meg azt a tárfiókot, amelyhez virtuális hálózatot és hozzáférési szabályokat szeretne konfigurálni.

  2. A szolgáltatás menü Biztonság + hálózatkezelés területén válassza a Hálózatkezelés lehetőséget.

  3. Ellenőrizze, hogy engedélyezte-e a nyilvános hálózati hozzáférést a kiválasztott virtuális hálózatokról és IP-címekről.

  4. Ha új hálózati szabály használatával szeretne hozzáférést biztosítani egy virtuális hálózathoz, a Virtuális hálózatok területen válassza a Meglévő virtuális hálózat hozzáadása lehetőséget. Válassza ki a virtuális hálózatok és alhálózatok beállításait, majd válassza a Hozzáadás lehetőséget. Új virtuális hálózat létrehozásához és hozzáférésének biztosításához válassza az Új virtuális hálózat hozzáadása lehetőséget. Adja meg az új virtuális hálózat létrehozásához szükséges információkat, majd válassza a Létrehozás lehetőséget. Jelenleg csak az ugyanahhoz a Microsoft Entra-bérlőhöz tartozó virtuális hálózatok jelennek meg kijelölésre a szabály létrehozásakor. Ha egy másik bérlőhöz tartozó virtuális hálózat alhálózatához szeretne hozzáférést biztosítani, használja a PowerShellt, az Azure CLI-t vagy a REST API-t.

  5. Virtuális hálózat vagy alhálózati szabály eltávolításához válassza a három pontot (...) a virtuális hálózat vagy alhálózat helyi menüjének megnyitásához, majd válassza az Eltávolítás lehetőséget.

  6. Válassza a Mentés lehetőséget a módosítások alkalmazásához.

Fontos

Ha egy hálózati szabályban szereplő alhálózatot töröl, az el lesz távolítva a tárfiók hálózati szabályaiból. Ha ugyanazzal a névvel hoz létre új alhálózatot, az nem fér hozzá a tárfiókhoz. A hozzáférés engedélyezéséhez explicit módon engedélyeznie kell az új alhálózatot a tárfiók hálózati szabályaiban.

Hozzáférés biztosítása internetes IP-címtartományról

IP-hálózati szabályok használatával ip-hálózati szabályok létrehozásával engedélyezheti a hozzáférést adott nyilvános internetes IP-címtartományokból. Minden tárfiók legfeljebb 400 szabályt támogat. Ezek a szabályok hozzáférést biztosítanak bizonyos internetes szolgáltatásokhoz és helyszíni hálózatokhoz, és blokkolják az általános internetes forgalmat.

IP-hálózati szabályok korlátozásai

Az IP-címtartományokra a következő korlátozások vonatkoznak:

  • Az IP-hálózati szabályok csak nyilvános internetes IP-címekre engedélyezettek.

    A magánhálózatokhoz fenntartott IP-címtartományok (az RFC 1918-ban meghatározottak szerint) nem engedélyezettek az IP-szabályokban. A magánhálózatok tartalmazzák a 10, 172,16 és 172,31 és 192,168 címekkel kezdődő címeket.

  • Az engedélyezett internetes címtartományokat a 16.17.18.0/24 formátumú CIDR-jelöléssel vagy egyéni IP-címként kell megadnia, például 16.17.18.19.

  • A /31 vagy /32 előtagméretet használó kis címtartományok nem támogatottak. Ezeket a tartományokat egyéni IP-címszabályok használatával konfigurálhatja.

  • A tárolási tűzfalszabályok konfigurálása csak az IPv4-címeket támogatja.

Fontos

A következő esetekben nem használhat IP-hálózati szabályokat:

  • A tárfiókokkal azonos Azure-régióban lévő ügyfelek hozzáférésének korlátozása. Az IP-hálózati szabályok nincsenek hatással a tárfiókkal azonos Azure-régióból származó kérelmekre. Virtuális hálózati szabályokkal engedélyezheti az azonos régióra vonatkozó kéréseket.
  • A szolgáltatásvégponttal rendelkező virtuális hálózaton lévő párosított régióban lévő ügyfelek hozzáférésének korlátozása.
  • A tárfiókhoz tartozó régióban üzembe helyezett Azure-szolgáltatásokhoz való hozzáférés korlátozása. A tárfiókhoz tartozó régióban üzembe helyezett szolgáltatások privát Azure IP-címeket használnak a kommunikációhoz. Így nem korlátozhatja az egyes Azure-szolgáltatásokhoz való hozzáférést a nyilvános kimenő IP-címtartományuk alapján.

Hozzáférés konfigurálása helyszíni hálózatokból

Ha IP-hálózati szabály használatával szeretne hozzáférést biztosítani a helyszíni hálózatokról a tárfiókhoz, azonosítania kell a hálózat által használt internetes IP-címeket. Segítségért forduljon a hálózati rendszergazdához.

Ha a helyszínről használja az Azure ExpressRoute-ot , azonosítania kell a Microsoft társviszony-létesítéshez használt NAT IP-címeket. A nat IP-címeket a szolgáltató vagy az ügyfél adja meg.

A szolgáltatás erőforrásaihoz való hozzáférés engedélyezéséhez engedélyeznie kell ezeket a nyilvános IP-címeket az erőforrás IP-címeinek tűzfalbeállításában.

IP-hálózati szabályok kezelése

A tárfiókok IP-hálózati szabályait az Azure Portalon, a PowerShellen vagy az Azure CLI 2-es verzióján keresztül kezelheti.

  1. Nyissa meg azt a tárfiókot, amelyhez IP-hálózati szabályokat szeretne kezelni.

  2. A szolgáltatás menü Biztonság + hálózatkezelés területén válassza a Hálózatkezelés lehetőséget.

  3. Ellenőrizze, hogy engedélyezte-e a nyilvános hálózati hozzáférést a kiválasztott virtuális hálózatokról és IP-címekről.

  4. Internetes IP-címtartományhoz való hozzáférés biztosításához adja meg az IP-címet vagy a címtartományt (CIDR formátumban) a tűzfal>címtartománya alatt.

  5. IP-hálózati szabály eltávolításához válassza a címtartomány melletti törlés ikont ( ) .

  6. Válassza a Mentés lehetőséget a módosítások alkalmazásához.

Hozzáférés engedélyezése Azure-erőforráspéldányokról

Bizonyos esetekben az alkalmazások olyan Azure-erőforrásoktól függhetnek, amelyeket nem lehet virtuális hálózaton vagy IP-címszabályon keresztül elkülöníteni. A tárfiókok hozzáférését azonban továbbra is csak az alkalmazás Azure-erőforrásaira szeretné biztosítani és korlátozni. A tárfiókokat úgy konfigurálhatja, hogy egy erőforráspéldány-szabály létrehozásával engedélyezze a hozzáférést a megbízható Azure-szolgáltatások adott erőforráspéldányaihoz.

Az erőforráspéldány Azure-szerepkör-hozzárendelései határozzák meg, hogy az erőforráspéldány milyen típusú műveleteket hajthat végre a tárfiók adatain. Az erőforráspéldányoknak ugyanabból a bérlőből kell származniuk, mint a tárfiókjuk, de a bérlő bármely előfizetéséhez tartozhatnak.

Az Azure Portalon erőforrás-hálózati szabályokat vehet fel vagy távolíthat el:

  1. Jelentkezzen be az Azure Portalra.

  2. Keresse meg a tárfiókot, és jelenítse meg a fiók áttekintését.

  3. A szolgáltatás menü Biztonság + hálózatkezelés területén válassza a Hálózatkezelés lehetőséget.

  4. Ellenőrizze, hogy engedélyezte-e a nyilvános hálózati hozzáférést a kiválasztott virtuális hálózatokról és IP-címekről.

  5. Görgessen le az erőforráspéldányok megkereséséhez. Az Erőforrástípus legördülő listában válassza ki az erőforráspéldány erőforrástípusát.

  6. A Példánynév legördülő listában válassza ki az erőforráspéldányt. Dönthet úgy is, hogy az összes erőforráspéldányt belefoglalja az aktuális bérlőbe, előfizetésbe vagy erőforráscsoportba.

  7. Válassza a Mentés lehetőséget a módosítások alkalmazásához. Az erőforráspéldány a lap Erőforráspéldányok szakaszában jelenik meg a hálózati beállításokhoz.

Az erőforráspéldány eltávolításához válassza a törlés ikont ( ) az erőforráspéldány mellett.

Hozzáférés biztosítása megbízható Azure-szolgáltatásokhoz

Egyes Azure-szolgáltatások olyan hálózatokból működnek, amelyeket nem lehet belefoglalni a hálózati szabályokba. Az ilyen megbízható Azure-szolgáltatások egy részhalmazának hozzáférést adhat a tárfiókhoz, miközben más alkalmazásokra vonatkozó hálózati szabályokat is fenntarthat. Ezek a megbízható szolgáltatások ezután erős hitelesítést használnak a tárfiókhoz való csatlakozáshoz.

A megbízható Azure-szolgáltatásokhoz hálózati szabálykivétel létrehozásával adhat hozzáférést. A cikk Kivételek kezelése szakasza részletes útmutatást nyújt.

Megbízható hozzáférés a Microsoft Entra-bérlőben regisztrált erőforrásokhoz

Egyes szolgáltatások erőforrásai hozzáférhetnek a tárfiókhoz a kiválasztott műveletekhez, például naplók írásához vagy biztonsági másolatok futtatásához. Ezeket a szolgáltatásokat egy olyan előfizetésben kell regisztrálni, amely ugyanabban a Microsoft Entra-bérlőben található, mint a tárfiókja. Az alábbi táblázat az egyes szolgáltatásokat és az engedélyezett műveleteket ismerteti.

Szolgáltatás Erőforrás-szolgáltató neve Engedélyezett műveletek
Azure Backup Microsoft.RecoveryServices Futtassa a nem felügyelt lemezek biztonsági mentését és visszaállítását az infrastruktúrában szolgáltatásként (IaaS) működő virtuális gépeken (a felügyelt lemezekhez nem szükséges). További információ.
Azure Data Box Microsoft.DataBox Adatok importálása az Azure-ba. További információ.
Azure Adatkezelő Microsoft.Kusto Adatokat olvashat be a betöltéshez és a külső táblákhoz, és adatokat írhat külső táblákba. További információ.
Azure DevTest Labs Microsoft.DevTestLab Egyéni rendszerképeket hozhat létre, és összetevőket telepíthet. További információ.
Azure Event Grid Microsoft.EventGrid Engedélyezze az Azure Blob Storage-események közzétételét , és engedélyezze a közzétételt a tárolási várólistákon.
Azure-eseményközpontok Microsoft.EventHub Adatok archiválása az Event Hubs Capture használatával. További információ.
Azure File Sync Microsoft.StorageSync Alakítsa át a helyszíni fájlkiszolgálót azure-fájlmegosztások gyorsítótárává. Ez a funkció lehetővé teszi a többhelyes szinkronizálást, a gyors vészhelyreállítást és a felhőoldali biztonsági mentést. További információ.
Azure HDInsight Microsoft.HDInsight Az új HDInsight-fürt alapértelmezett fájlrendszerének kezdeti tartalmának kiépítése. További információ.
Azure Import/Export Microsoft.ImportExport Adatok importálása az Azure Storage-ba vagy adatok exportálása az Azure Storage-ból. További információ.
Azure Monitor Microsoft.Insights Monitorozási adatok írása biztonságos tárfiókba, beleértve az erőforrásnaplókat, Végponthoz készült Microsoft Defender adatokat, a Microsoft Entra bejelentkezési és naplózási naplóit, valamint a Microsoft Intune-naplókat. További információ.
Azure-beli hálózatkezelési szolgáltatások Microsoft.Network Tárolja és elemezze a hálózati forgalmi naplókat, többek között az Azure Network Watcher és az Azure Traffic Manager szolgáltatáson keresztül. További információ.
Azure Site Recovery Microsoft.SiteRecovery Engedélyezze a replikációt az Azure IaaS virtuális gépek vészhelyreállításához, ha tűzfal-kompatibilis gyorsítótárat, forrás- vagy céltárolófiókokat használ. További információ.

Felügyelt identitáson alapuló megbízható hozzáférés

Az alábbi táblázat felsorolja azokat a szolgáltatásokat, amelyek hozzáférhetnek a tárfiók adataihoz, ha a szolgáltatások erőforráspéldányai rendelkeznek a megfelelő engedélyekkel.

Szolgáltatás Erőforrás-szolgáltató neve Cél
Azure FarmBeats Microsoft.AgFoodPlatform/farmBeats Engedélyezi a tárfiókok elérését.
Azure API Management Microsoft.ApiManagement/service Engedélyezi a tűzfalak mögötti tárfiókok elérését szabályzatokkal. További információ.
Microsoft Autonomous Systems Microsoft.AutonomousSystems/workspaces Engedélyezi a tárfiókok elérését.
Azure Cache for Redis Microsoft.Cache/Redis Engedélyezi a tárfiókok elérését. További információ.
Azure AI Keresés Microsoft.Search/searchServices Engedélyezi a tárfiókokhoz való hozzáférést indexeléshez, feldolgozáshoz és lekérdezéshez.
Azure AI services Microsoft.CognitiveService/accounts Engedélyezi a tárfiókok elérését. További információ.
Azure Container Registry Microsoft.ContainerRegistry/registries Az ACR Tasks szolgáltatáscsomagján keresztül tárolólemezképek készítésekor hozzáférést biztosít a tárfiókokhoz.
Microsoft Cost Management Microsoft.CostManagementExports Engedélyezi a tűzfal mögötti tárfiókokba való exportálást. További információ.
Azure Databricks Microsoft.Databricks/accessConnectors Engedélyezi a tárfiókok elérését.
Azure Data Factory Microsoft.DataFactory/factories Engedélyezi a tárfiókok elérését a Data Factory-futtatókörnyezeten keresztül.
Azure Adatkezelő Microsoft.Kusto/Clusters Adatokat olvashat be a betöltéshez és a külső táblákhoz, és adatokat írhat külső táblákba. További információ.
Azure Backup-tároló Microsoft.DataProtection/BackupVaults Engedélyezi a tárfiókok elérését.
Azure Data Share Microsoft.DataShare/accounts Engedélyezi a tárfiókok elérését.
Azure Database for PostgreSQL Microsoft.DBForPostgreSQL Engedélyezi a tárfiókok elérését.
Azure IoT Hub Microsoft.Devices/IotHubs Lehetővé teszi az IoT Hub adatainak Blob Storage-ba való írását. További információ.
Azure DevTest Labs Microsoft.DevTestLab/labs Engedélyezi a tárfiókok elérését.
Azure Event Grid Microsoft.EventGrid/domains Engedélyezi a tárfiókok elérését.
Azure Event Grid Microsoft.EventGrid/partnerTopics Engedélyezi a tárfiókok elérését.
Azure Event Grid Microsoft.EventGrid/systemTopics Engedélyezi a tárfiókok elérését.
Azure Event Grid Microsoft.EventGrid/topics Engedélyezi a tárfiókok elérését.
Microsoft Fabric Microsoft.Fabric Engedélyezi a tárfiókok elérését.
Azure Egészségügyi célú API-k Microsoft.HealthcareApis/services Engedélyezi a tárfiókok elérését.
Azure Egészségügyi célú API-k Microsoft.HealthcareApis/workspaces Engedélyezi a tárfiókok elérését.
Azure IoT Central Microsoft.IoTCentral/IoTApps Engedélyezi a tárfiókok elérését.
Azure Key Vault Managed HSM Microsoft.keyvault/managedHSMs Engedélyezi a tárfiókok elérését.
Azure Logic Apps Microsoft.Logic/integrationAccounts Engedélyezi a logikai alkalmazások számára a tárfiókok elérését. További információ.
Azure Logic Apps Microsoft.Logic/workflows Engedélyezi a logikai alkalmazások számára a tárfiókok elérését. További információ.
Azure Machine Learning Studio Microsoft.MachineLearning/registries Lehetővé teszi az engedélyezett Azure Machine Learning-munkaterületek számára, hogy kísérleti kimeneteket, modelleket és naplókat írjanak a Blob Storage-ba, és beolvassák az adatokat. További információ.
Azure Machine Learning Microsoft.MachineLearningServices Lehetővé teszi az engedélyezett Azure Machine Learning-munkaterületek számára, hogy kísérleti kimeneteket, modelleket és naplókat írjanak a Blob Storage-ba, és beolvassák az adatokat. További információ.
Azure Machine Learning Microsoft.MachineLearningServices/workspaces Lehetővé teszi az engedélyezett Azure Machine Learning-munkaterületek számára, hogy kísérleti kimeneteket, modelleket és naplókat írjanak a Blob Storage-ba, és beolvassák az adatokat. További információ.
Azure Media Services Microsoft.Media/mediaservices Engedélyezi a tárfiókok elérését.
Azure Migrate Microsoft.Migrate/migrateprojects Engedélyezi a tárfiókok elérését.
Azure ExpressRoute Microsoft.Network/expressRoutePorts Engedélyezi a tárfiókok elérését.
Microsoft Power Platform Microsoft.PowerPlatform/enterprisePolicies Engedélyezi a tárfiókok elérését.
Microsoft Project Arcadia Microsoft.ProjectArcadia/workspaces Engedélyezi a tárfiókok elérését.
Azure Data Catalog Microsoft.ProjectBabylon/accounts Engedélyezi a tárfiókok elérését.
Microsoft Purview Microsoft.Purview/accounts Engedélyezi a tárfiókok elérését.
Azure Site Recovery Microsoft.RecoveryServices/vaults Engedélyezi a tárfiókok elérését.
Security Center Microsoft.Security/dataScanners Engedélyezi a tárfiókok elérését.
Szingularitás Microsoft.Singularity/accounts Engedélyezi a tárfiókok elérését.
Azure SQL Database Microsoft.Sql Lehetővé teszi a naplózási adatok tűzfal mögötti tárfiókokba való írását.
Azure SQL-kiszolgálók Microsoft.Sql/servers Lehetővé teszi a naplózási adatok tűzfal mögötti tárfiókokba való írását.
Azure Synapse Analytics Microsoft.Sql Lehetővé teszi az adatok importálását és exportálását adott SQL-adatbázisokból az utasítás vagy a COPY PolyBase (dedikált készletben) vagy a openrowset kiszolgáló nélküli készletben lévő függvény és külső táblák használatával. További információ.
Azure Stream Analytics Microsoft.StreamAnalytics Lehetővé teszi a streamelési feladatokból származó adatok Blob Storage-ba való írását. További információ.
Azure Stream Analytics Microsoft.StreamAnalytics/streamingjobs Lehetővé teszi a streamelési feladatokból származó adatok Blob Storage-ba való írását. További információ.
Azure Synapse Analytics Microsoft.Synapse/workspaces Engedélyezi az adatokhoz való hozzáférést az Azure Storage-ban.
Azure Video Indexer Microsoft.VideoIndexer/Accounts Engedélyezi a tárfiókok elérését.

Ha a fiókja nem rendelkezik engedélyezve a hierarchikus névtér funkcióval, engedélyt adhat egy Azure-szerepkörnek az egyes erőforráspéldányok felügyelt identitásához való explicit hozzárendelésével. Ebben az esetben a példány hozzáférési hatóköre megfelel a felügyelt identitáshoz rendelt Azure-szerepkörnek.

Ugyanazt a technikát használhatja egy olyan fiókhoz, amelyen engedélyezve van a hierarchikus névtér funkció. Azonban nem kell Azure-szerepkört hozzárendelnie, ha hozzáadja a felügyelt identitást a tárfiókban található címtárak vagy blobok hozzáférés-vezérlési listájához (ACL). Ebben az esetben a példány hozzáférési hatóköre annak a könyvtárnak vagy fájlnak felel meg, amelyhez a felügyelt identitás hozzáféréssel rendelkezik.

Az Azure-szerepköröket és az ACL-eket is kombinálhatja a hozzáférés biztosításához. További információ: Hozzáférés-vezérlési modell az Azure Data Lake Storage-ban.

Javasoljuk, hogy erőforráspéldány-szabályokkal biztosítson hozzáférést adott erőforrásokhoz.

A kivételek kezelése

Bizonyos esetekben, például a tárelemzéshez, az olvasási erőforrásnaplókhoz és a metrikákhoz való hozzáférés a hálózat határain kívülről szükséges. Ha megbízható szolgáltatásokat konfigurál a tárfiók elérésére, hálózati szabálykivétel létrehozásával engedélyezheti a naplófájlok, metrikák táblázatai vagy mindkettő olvasási hozzáférését. A hálózati szabálykivételeket az Azure Portalon, a PowerShellben vagy az Azure CLI v2-ben kezelheti.

A tárolási elemzésekkel kapcsolatos további információkért lásd: Az Azure Storage-elemzés használata naplók és metrikák adatainak gyűjtéséhez.

  1. Nyissa meg azt a tárfiókot, amelyhez kivételeket szeretne kezelni.

  2. A szolgáltatás menü Biztonság + hálózatkezelés területén válassza a Hálózatkezelés lehetőséget.

  3. Ellenőrizze, hogy engedélyezte-e a nyilvános hálózati hozzáférést a kiválasztott virtuális hálózatokról és IP-címekről.

  4. A Kivételek csoportban válassza ki azokat a kivételeket, amelyeket engedélyezni szeretne.

  5. Válassza a Mentés lehetőséget a módosítások alkalmazásához.

Következő lépések

  • További információ az Azure hálózati szolgáltatásvégpontjairól.
  • Részletesebben megismeri az Azure Blob Storage biztonsági ajánlásait.