Azure Storage-tűzfalak és virtuális hálózatok konfigurálása
Az Azure Storage rétegekre osztott biztonsági modellt biztosít. Ez a modell lehetővé teszi az alkalmazások és a vállalati környezetek által igényelt tárfiókokhoz való hozzáférés szintjének szabályozását a használt hálózatok vagy erőforrások típusa és részhalmaza alapján.
Hálózati szabályok konfigurálásakor csak azok az alkalmazások férhetnek hozzá a tárfiókhoz, amelyek a megadott hálózatokon vagy a megadott Azure-erőforrásokon keresztül kérnek adatokat. A tárfiókhoz való hozzáférést korlátozhatja a megadott IP-címekről, IP-tartományokból, Azure-beli virtuális hálózatok alhálózataiból vagy egyes Azure-szolgáltatások erőforráspéldányaiból érkező kérelmekre.
A tárfiókok nyilvános végpontja az interneten keresztül érhető el. Privát végpontokat is létrehozhat a tárfiókhoz. A privát végpontok létrehozása egy privát IP-címet rendel a virtuális hálózathoz a tárfiókhoz. Segít a virtuális hálózat és a tárfiók közötti forgalom biztonságossá tételében egy privát kapcsolaton keresztül.
Az Azure Storage tűzfal hozzáférés-vezérlést biztosít a tárfiók nyilvános végpontjához. A tűzfallal a nyilvános végponton keresztüli összes hozzáférést letilthatja privát végpontok használatakor. A tűzfal konfigurációja lehetővé teszi a megbízható Azure-platformszolgáltatások számára a tárfiók elérését is.
A tárfiókhoz a hálózati szabályok érvénybe lépésekor hozzáférő alkalmazásokhoz továbbra is megfelelő engedélyezésre van szükség a kéréshez. Az engedélyezést a Microsoft Entra hitelesítő adatai támogatják blobokhoz, táblákhoz, fájlmegosztásokhoz és üzenetsorokhoz, érvényes fiókhozzáférési kulccsal vagy közös hozzáférésű jogosultságkóddal (SAS) rendelkező jogkivonattal. Ha névtelen hozzáférésre konfigurál egy blobtárolót, a tárolóban lévő adatok olvasására irányuló kéréseket nem kell engedélyezni. A tűzfalszabályok érvényben maradnak, és blokkolják a névtelen forgalmat.
A tárfiók tűzfalszabályainak bekapcsolása alapértelmezés szerint blokkolja a bejövő adatkéréseket, kivéve, ha a kérések egy Azure-beli virtuális hálózaton belül működő szolgáltatásból vagy engedélyezett nyilvános IP-címekről származnak. A letiltott kérések közé tartoznak a többi Azure-szolgáltatásból, az Azure Portalról, valamint a naplózási és metrikaszolgáltatásokból érkező kérések.
A virtuális hálózaton belül működő Azure-szolgáltatásokhoz úgy adhat hozzáférést, hogy engedélyezi a szolgáltatáspéldányt üzemeltető alhálózat forgalmát. A cikk által leírt kivételek mechanizmusával korlátozott számú forgatókönyvet is engedélyezhet. A tárfiókból az Azure Portalon keresztüli adatok eléréséhez a beállított megbízható határon (IP- vagy virtuális hálózaton) belül kell lennie.
Feljegyzés
Javasoljuk, hogy az Azure Az PowerShell modult használja az Azure-ral való interakcióhoz. Az első lépésekhez tekintse meg Az Azure PowerShell telepítése témakört. Az Az PowerShell-modulra történő migrálás részleteiről lásd: Az Azure PowerShell migrálása az AzureRM modulból az Az modulba.
Forgatókönyvek
A tárfiók biztonságossá tételéhez először konfigurálnia kell egy szabályt, amely alapértelmezés szerint megtagadja a nyilvános végponton lévő összes hálózat forgalmához való hozzáférést (beleértve az internetes forgalmat is). Ezután konfigurálnia kell azokat a szabályokat, amelyek hozzáférést biztosítanak az adott virtuális hálózatokból érkező forgalomhoz. A szabályokat úgy is konfigurálhatja, hogy hozzáférést biztosítsanak a kiválasztott nyilvános internetes IP-címtartományokból érkező forgalomhoz, lehetővé téve az adott internetről vagy helyszíni ügyfelekről érkező kapcsolatokat. Ezzel a konfigurációval biztonságos hálózati határt hozhat létre az alkalmazások számára.
Egyesítheti azokat a tűzfalszabályokat, amelyek lehetővé teszik a hozzáférést adott virtuális hálózatokról és ugyanazon tárfiók nyilvános IP-címtartományaiból. A meglévő tárfiókokra vagy új tárfiókok létrehozásakor is alkalmazhat tárolási tűzfalszabályokat.
A tárterület tűzfalszabályai a tárfiók nyilvános végpontjára vonatkoznak. Nincs szükség tűzfal-hozzáférési szabályokra a tárfiók privát végpontjainak forgalmának engedélyezéséhez. A privát végpont létrehozásának jóváhagyásának folyamata implicit hozzáférést biztosít a privát végpontot üzemeltető alhálózat forgalmához.
Fontos
Az Azure Storage tűzfalszabályai csak az adatsík-műveletekre vonatkoznak. A vezérlősík műveleteire nem vonatkoznak a tűzfalszabályokban meghatározott korlátozások.
Egyes műveletek, például a blobtároló műveletei a vezérlősíkon és az adatsíkon keresztül is végrehajthatók. Ha tehát egy olyan műveletet kísérel meg végrehajtani, mint például a tárolók listázása az Azure Portalról, a művelet sikeres lesz, hacsak egy másik mechanizmus nem blokkolja. A blobadatok egy alkalmazásból, például az Azure Storage Explorerből való elérésére tett kísérleteket a tűzfalkorlátozások szabályozzák.
Az adatsík-műveletek listáját az Azure Storage REST API-referenciájában találja. A vezérlősík-műveletek listáját az Azure Storage-erőforrás-szolgáltató REST API-referenciájában találja.
Hálózati hozzáférés konfigurálása az Azure Storage-hoz
A tárfiókban lévő adatokhoz való hozzáférést hálózati végpontokon vagy megbízható szolgáltatásokon vagy erőforrásokon keresztül szabályozhatja, beleértve a következőket:
- Hozzáférés engedélyezése a kijelölt virtuális hálózati alhálózatokról privát végpontok használatával.
- Hozzáférés engedélyezése a kijelölt virtuális hálózati alhálózatokról szolgáltatásvégpontok használatával.
- Adott nyilvános IP-címekről vagy tartományokról való hozzáférés engedélyezése.
- Hozzáférés engedélyezése a kijelölt Azure-erőforráspéldányokból.
- Hozzáférés engedélyezése megbízható Azure-szolgáltatásokból (a kivételek kezelése használatával).
- A naplózási és metrikaszolgáltatások kivételeinek konfigurálása.
Tudnivalók a virtuális hálózati végpontokról
A tárfiókokhoz kétféle virtuális hálózati végpont használható:
A virtuális hálózati szolgáltatásvégpontok nyilvánosak és elérhetők az interneten keresztül. Az Azure Storage tűzfal lehetővé teszi a tárfiókhoz való hozzáférés szabályozását az ilyen nyilvános végpontokon keresztül. Amikor engedélyezi a nyilvános hálózati hozzáférést a tárfiókhoz, alapértelmezés szerint minden bejövő adatkérés le lesz tiltva. Csak azok az alkalmazások férhetnek hozzá az adatokhoz, amelyek a tárfiók tűzfalbeállításaiban konfigurált engedélyezett forrásokból kérnek adatokat. A források tartalmazhatják az ügyfél forrás IP-címét vagy virtuális hálózati alhálózatát, illetve egy Azure-szolgáltatás vagy erőforráspéldány nevét, amelyen keresztül az ügyfelek vagy szolgáltatások hozzáférnek az adatokhoz. A letiltott kérések közé tartoznak a többi Azure-szolgáltatásból, az Azure Portalról, valamint a naplózási és metrikai szolgáltatásokból érkező kérések, kivéve, ha kifejezetten engedélyezi a hozzáférést a tűzfal konfigurációjában.
A privát végpontok a virtuális hálózatból származó privát IP-címet használnak egy tárfiók eléréséhez a Microsoft gerinchálózatán keresztül. Privát végpont esetén a virtuális hálózat és a tárfiók közötti forgalom privát kapcsolaton keresztül van biztosítva. A tárolási tűzfalszabályok csak a tárfiók nyilvános végpontjaira vonatkoznak, a privát végpontokra nem. A privát végpont létrehozásának jóváhagyásának folyamata implicit hozzáférést biztosít a privát végpontot üzemeltető alhálózat forgalmához. Ha pontosítani szeretné a hozzáférési szabályokat, a hálózati házirendek használatával szabályozhatja a privát végpontok forgalmát. Ha kizárólag privát végpontokat szeretne használni, a tűzfallal letilthatja a nyilvános végponton keresztüli összes hozzáférést.
A privát végpontok és szolgáltatásvégpontok összehasonlítása című témakör segít eldönteni, hogy mikor érdemes az egyes típusú végpontokat használni a környezetben.
A tárfiók hálózati biztonságának megközelítése
A tárfiók biztonságossá tételéhez és az alkalmazások biztonságos hálózati határának kiépítéséhez:
Először is tiltsa le a tárfiók összes nyilvános hálózati hozzáférését a tárfiók tűzfalának nyilvános hálózati hozzáférési beállításában.
Ahol lehetséges, konfigurálja a tárfiókra mutató privát hivatkozásokat olyan virtuális hálózati alhálózatok privát végpontjairól, ahol az ügyfelek az adatokhoz való hozzáférést igénylik.
Ha az ügyfélalkalmazások hozzáférést igényelnek a nyilvános végpontokon, módosítsa a nyilvános hálózat hozzáférési beállítását engedélyezettre a kiválasztott virtuális hálózatokról és IP-címekről. Ezután szükség szerint:
- Adja meg azokat a virtuális hálózati alhálózatokat, amelyekből engedélyezni szeretné a hozzáférést.
- Adja meg azoknak az ügyfeleknek a nyilvános IP-címtartományait, amelyekből engedélyezni szeretné a hozzáférést, például a helyszíni hálózatokon.
- Hozzáférés engedélyezése a kijelölt Azure-erőforráspéldányokból.
- Adjon hozzá kivételeket az olyan műveletekhez szükséges megbízható szolgáltatásokból való hozzáférés engedélyezéséhez, mint például az adatok biztonsági mentése.
- Adjon hozzá kivételeket a naplózáshoz és a metrikákhoz.
A hálózati szabályok alkalmazása után a rendszer minden kéréshez kényszeríti őket. Az adott IP-címhez hozzáférést biztosító SAS-jogkivonatok a jogkivonat-tulajdonos hozzáférésének korlátozására szolgálnak, de a konfigurált hálózati szabályokon túl nem adnak új hozzáférést.
Korlátozások és szempontok
A tárfiókok hálózati biztonságának megvalósítása előtt tekintse át az ebben a szakaszban tárgyalt fontos korlátozásokat és szempontokat.
- Az Azure Storage tűzfalszabályai csak az adatsík-műveletekre vonatkoznak. A vezérlősík műveleteire nem vonatkoznak a tűzfalszabályokban meghatározott korlátozások.
- Tekintse át az IP-hálózati szabályokra vonatkozó korlátozásokat.
- Ha olyan eszközökkel szeretne hozzáférni az adatokhoz, mint az Azure Portal, az Azure Storage Explorer és az AzCopy, a hálózati biztonsági szabályok konfigurálásakor létrehozott megbízható határon belül kell lennie.
- A hálózati szabályok az Azure Storage összes hálózati protokolljára vonatkoznak, beleértve a REST-et és az SMB-t is.
- A hálózati szabályok nem befolyásolják a virtuális gépek (VM) lemezforgalmát, beleértve a csatlakoztatási és leválasztási műveleteket, valamint a lemez I/O-ját, de segítenek megvédeni a lapblobok REST-hozzáférését.
- A nem felügyelt lemezeket a tárfiókokban olyan hálózati szabályokkal használhatja, amelyeket a virtuális gépek biztonsági mentésére és visszaállítására alkalmaz egy kivétel létrehozásával. A tűzfalak kivételei nem alkalmazhatók a felügyelt lemezekre, mert az Azure már kezeli őket.
- A klasszikus tárfiókok nem támogatják a tűzfalakat és a virtuális hálózatokat.
- Ha töröl egy virtuális hálózati szabályban szereplő alhálózatot, az el lesz távolítva a tárfiók hálózati szabályaiból. Ha ugyanazzal a névvel hoz létre új alhálózatot, az nem fér hozzá a tárfiókhoz. A hozzáférés engedélyezéséhez explicit módon engedélyeznie kell az új alhálózatot a tárfiók hálózati szabályaiban.
- Amikor szolgáltatásvégpontra hivatkozik egy ügyfélalkalmazásban, javasoljuk, hogy kerülje a gyorsítótárazott IP-címek függőségét. A tárfiók IP-címe változhat, és a gyorsítótárazott IP-címekre való támaszkodás váratlan viselkedést eredményezhet. Emellett ajánlott tiszteletben tartani a DNS-rekord élettartamát (TTL), és kerülnie kell a felülküldést. A DNS TTL felülbírálása váratlan viselkedést eredményezhet.
- A tárfiókokhoz megbízható szolgáltatások általi hozzáférés szándékosan lehetséges az egyéb hálózati hozzáférési korlátozások ellenére. Ha azt követően állítja be a nyilvános hálózati hozzáférést, hogy korábban engedélyezve lett a kiválasztott virtuális hálózatokról és IP-címekről, a korábban konfigurált erőforráspéldányok és kivételek, beleértve a megbízható szolgáltatások listájában szereplő Azure-szolgáltatások hozzáférését a tárfiókhoz, érvényben maradnak. Ennek eredményeképpen előfordulhat, hogy ezek az erőforrások és szolgáltatások továbbra is hozzáférnek a tárfiókhoz.
Engedélyezés
A hálózati szabályokon keresztül hozzáférést kapó ügyfeleknek továbbra is meg kell felelniük a tárfiók engedélyezési követelményeinek az adatok eléréséhez. Az engedélyezés a Blobok és üzenetsorok Microsoft Entra-hitelesítő adataival, érvényes fiókhozzáférési kulccsal vagy közös hozzáférésű jogosultságkóddal (SAS) támogatott.
Ha blobtárolót konfigurál névtelen nyilvános hozzáféréshez, a tárolóban lévő adatok olvasására irányuló kéréseket nem kell engedélyezni, de a tűzfalszabályok érvényben maradnak, és blokkolják a névtelen forgalmat.
Az alapértelmezett hálózati hozzáférési szabály módosítása
Alapértelmezés szerint a tárfiókok bármely hálózatban lévő ügyféltől érkező kapcsolatokat elfogadnak. Korlátozhatja a kijelölt hálózatokhoz való hozzáférést, vagy megakadályozhatja az összes hálózat forgalmát, és csak privát végponton keresztül engedélyezheti a hozzáférést.
Az alapértelmezett szabályt meg kell tagadni, vagy a hálózati szabályoknak nincs hatása. A beállítás módosítása azonban befolyásolhatja, hogy az alkalmazás képes-e csatlakozni az Azure Storage-hoz. A beállítás módosítása előtt mindenképpen adjon hozzáférést az engedélyezett hálózatokhoz, vagy állítson be hozzáférést egy privát végponton keresztül.
Feljegyzés
Javasoljuk, hogy az Azure Az PowerShell modult használja az Azure-ral való interakcióhoz. Az első lépésekhez tekintse meg Az Azure PowerShell telepítése témakört. Az Az PowerShell-modulra történő migrálás részleteiről lásd: Az Azure PowerShell migrálása az AzureRM modulból az Az modulba.
Lépjen a megvédeni kívánt tárfiókra.
Keresse meg a Hálózatkezelési beállításokat a Biztonság + hálózatkezelés területen.
Válassza ki, hogy milyen típusú nyilvános hálózati hozzáférést szeretne engedélyezni:
Az összes hálózatról érkező forgalom engedélyezéséhez válassza az Összes hálózatról engedélyezett lehetőséget.
Ha csak a bizonyos virtuális hálózatokról érkező forgalmat szeretné engedélyezni, válassza a Kiválasztott virtuális hálózatokból és IP-címekről engedélyezett lehetőséget.
Az összes hálózat forgalmának letiltásához válassza a Letiltva lehetőséget.
Válassza a Mentés lehetőséget a módosítások alkalmazásához.
Figyelemfelhívás
A tárfiókokhoz megbízható szolgáltatások általi hozzáférés szándékosan lehetséges az egyéb hálózati hozzáférési korlátozások ellenére. Ha azt követően állítja be a nyilvános hálózati hozzáférést, hogy korábban engedélyezve lett a kiválasztott virtuális hálózatokról és IP-címekről, a korábban konfigurált erőforráspéldányok és kivételek, beleértve a megbízható szolgáltatások listájában szereplő Azure-szolgáltatások hozzáférését a tárfiókhoz, érvényben maradnak. Ennek eredményeképpen előfordulhat, hogy ezek az erőforrások és szolgáltatások továbbra is hozzáférnek a tárfiókhoz.
Hozzáférés biztosítása virtuális hálózatról
A tárfiókokat úgy konfigurálhatja, hogy csak bizonyos alhálózatokból engedélyezze a hozzáférést. Az engedélyezett alhálózatok tartozhatnak egy virtuális hálózathoz ugyanabban az előfizetésben vagy egy másik előfizetésben, beleértve azokat is, amelyek egy másik Microsoft Entra-bérlőhöz tartoznak. Régiók közötti szolgáltatásvégpontok esetén az engedélyezett alhálózatok a tárfióktól eltérő régiókban is lehetnek.
A virtuális hálózaton belül engedélyezheti az Azure Storage szolgáltatásvégpontjainak használatát. A szolgáltatásvégpont egy optimális útvonalon irányítja át a forgalmat a virtuális hálózatról az Azure Storage szolgáltatáshoz. Az egyes kérésekkel az alhálózat és a virtuális hálózat identitását is továbbítja a rendszer. A rendszergazdák ezután konfigurálhatják a tárfiókra vonatkozó hálózati szabályokat, amelyek lehetővé teszik a kérések fogadását egy virtuális hálózat adott alhálózataitól. Az ezen hálózati szabályokon keresztül hozzáférést kapó ügyfeleknek továbbra is meg kell felelniük a tárfiók engedélyezési követelményeinek az adatok eléréséhez.
Minden tárfiók legfeljebb 400 virtuális hálózati szabályt támogat. Ezeket a szabályokat ip-hálózati szabályokkal kombinálhatja.
Fontos
Amikor szolgáltatásvégpontra hivatkozik egy ügyfélalkalmazásban, javasoljuk, hogy kerülje a gyorsítótárazott IP-címek függőségét. A tárfiók IP-címe változhat, és a gyorsítótárazott IP-címekre való támaszkodás váratlan viselkedést eredményezhet.
Emellett ajánlott tiszteletben tartani a DNS-rekord élettartamát (TTL), és kerülnie kell a felülküldést. A DNS TTL felülbírálása váratlan viselkedést eredményezhet.
Szükséges engedélyek
Ha virtuális hálózati szabályt szeretne alkalmazni egy tárfiókra, a felhasználónak rendelkeznie kell a hozzáadandó alhálózatok megfelelő engedélyével. A tárfiók közreműködője vagy az Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action
Azure-erőforrás-szolgáltatói művelethez engedéllyel rendelkező felhasználó egy egyéni Azure-szerepkör használatával alkalmazhat szabályt.
A tárfiók és a hozzáférést kapó virtuális hálózatok különböző előfizetésekben lehetnek, beleértve azokat az előfizetéseket is, amelyek egy másik Microsoft Entra-bérlő részét képezik.
A más Microsoft Entra-bérlőhöz tartozó virtuális hálózatok alhálózataihoz hozzáférést biztosító szabályok konfigurációja jelenleg csak a PowerShell, az Azure CLI és a REST API-k segítségével támogatott. Ezeket a szabályokat nem konfigurálhatja az Azure Portalon keresztül, de megtekintheti őket a portálon.
Az Azure Storage régióközi szolgáltatásvégpontjai
Az Azure Storage régióközi szolgáltatásvégpontjai 2023 áprilisában általánosan elérhetővé váltak. Bármely régióban működnek a virtuális hálózatok és a tárolási szolgáltatáspéldányok között. Régiók közötti szolgáltatásvégpontok esetén az alhálózatok már nem használnak nyilvános IP-címet a tárfiókokkal való kommunikációhoz, beleértve a másik régióban lévőket is. Ehelyett az alhálózatok és tárfiókok közötti összes forgalom egy magánhálózati IP-címet használ forrás IP-címként. Ennek eredményeképpen az olyan tárfiókok, amelyek IP-hálózati szabályokat használnak az alhálózatok forgalmának engedélyezéséhez, már nem lesznek hatással.
A szolgáltatásvégpontok virtuális hálózatok és szolgáltatáspéldányok közötti konfigurálása egy párosított régióban fontos része lehet a vészhelyreállítási tervnek. A szolgáltatásvégpontok lehetővé teszik a folyamatosságot a regionális feladatátvétel során, és hozzáférést biztosítanak az írásvédett georedundáns tárolási (RA-GRS) példányokhoz. Azok a hálózati szabályok, amelyek hozzáférést biztosítanak egy virtuális hálózatról egy tárfiókhoz, bármely RA-GRS-példányhoz is hozzáférést biztosítanak.
Ha regionális kimaradás esetén vészhelyreállítást tervez, előzetesen hozza létre a virtuális hálózatokat a párosított régióban. Engedélyezze az Azure Storage szolgáltatásvégpontjait, és a hálózati szabályok hozzáférést biztosítanak ezekből az alternatív virtuális hálózatokból. Ezután alkalmazza ezeket a szabályokat a georedundáns tárfiókokra.
A helyi és a régiók közötti szolgáltatásvégpontok nem létezhetnek ugyanazon az alhálózaton. Ha a meglévő szolgáltatásvégpontokat régiók közötti végpontokra szeretné cserélni, törölje a meglévő Microsoft.Storage
végpontokat, és hozza létre újra régiók közötti végpontként (Microsoft.Storage.Global
).
Virtuális hálózati szabályok kezelése
A tárfiókok virtuális hálózati szabályait az Azure Portalon, a PowerShellen vagy az Azure CLI 2-es verzióján keresztül kezelheti.
Ha engedélyezni szeretné a tárfiókhoz való hozzáférést egy másik Microsoft Entra-bérlő virtuális hálózatáról vagy alhálózatáról, a PowerShellt vagy az Azure CLI-t kell használnia. Az Azure Portal nem jelenít meg alhálózatokat más Microsoft Entra-bérlőkben.
Lépjen a megvédeni kívánt tárfiókra.
Válassza a Hálózat lehetőséget.
Ellenőrizze, hogy a kiválasztott hálózatokról való hozzáférés engedélyezését választotta-e.
Ha új hálózati szabály használatával szeretne hozzáférést biztosítani egy virtuális hálózathoz, a Virtuális hálózatok területen válassza a Meglévő virtuális hálózat hozzáadása lehetőséget. Válassza ki a virtuális hálózatok és alhálózatok beállításait, majd válassza a Hozzáadás lehetőséget.
Új virtuális hálózat létrehozásához és hozzáférésének biztosításához válassza az Új virtuális hálózat hozzáadása lehetőséget. Adja meg az új virtuális hálózat létrehozásához szükséges információkat, majd válassza a Létrehozás lehetőséget.
Ha az Azure Storage szolgáltatásvégpontja korábban nem lett konfigurálva a kiválasztott virtuális hálózathoz és alhálózatokhoz, a művelet részeként konfigurálhatja.
Jelenleg csak az ugyanahhoz a Microsoft Entra-bérlőhöz tartozó virtuális hálózatok jelennek meg kijelölésre a szabály létrehozásakor. Ha egy másik bérlőhöz tartozó virtuális hálózat alhálózatához szeretne hozzáférést biztosítani, használja a PowerShellt, az Azure CLI-t vagy a REST API-kat.
Virtuális hálózat vagy alhálózati szabály eltávolításához válassza a három pontot (...) a virtuális hálózat vagy alhálózat helyi menüjének megnyitásához, majd válassza az Eltávolítás lehetőséget.
Válassza a Mentés lehetőséget a módosítások alkalmazásához.
Fontos
Ha egy hálózati szabályban szereplő alhálózatot töröl, az el lesz távolítva a tárfiók hálózati szabályaiból. Ha ugyanazzal a névvel hoz létre új alhálózatot, az nem fér hozzá a tárfiókhoz. A hozzáférés engedélyezéséhez explicit módon engedélyeznie kell az új alhálózatot a tárfiók hálózati szabályaiban.
Hozzáférés biztosítása internetes IP-címtartományról
IP-hálózati szabályok használatával ip-hálózati szabályok létrehozásával engedélyezheti a hozzáférést adott nyilvános internetes IP-címtartományokból. Minden tárfiók legfeljebb 400 szabályt támogat. Ezek a szabályok hozzáférést biztosítanak bizonyos internetes szolgáltatásokhoz és helyszíni hálózatokhoz, és blokkolják az általános internetes forgalmat.
IP-hálózati szabályok korlátozásai
Az IP-címtartományokra a következő korlátozások vonatkoznak:
Az IP-hálózati szabályok csak nyilvános internetes IP-címekre engedélyezettek.
A magánhálózatokhoz fenntartott IP-címtartományok (az RFC 1918-ban meghatározottak szerint) nem engedélyezettek az IP-szabályokban. A magánhálózatok tartalmazzák a 10, 172,16 és 172,31 és 192,168 címekkel kezdődő címeket.
Az engedélyezett internetes címtartományokat a 16.17.18.0/24 formátumú CIDR-jelöléssel vagy egyéni IP-címként kell megadnia, például 16.17.18.19.
A /31 vagy /32 előtagméretet használó kis címtartományok nem támogatottak. Ezeket a tartományokat egyéni IP-címszabályok használatával konfigurálhatja.
A tárolási tűzfalszabályok konfigurálása csak az IPv4-címeket támogatja.
Fontos
A következő esetekben nem használhat IP-hálózati szabályokat:
- A tárfiókokkal azonos Azure-régióban lévő ügyfelek hozzáférésének korlátozása. Az IP-hálózati szabályok nincsenek hatással a tárfiókkal azonos Azure-régióból származó kérelmekre. Virtuális hálózati szabályokkal engedélyezheti az azonos régióra vonatkozó kéréseket.
- A szolgáltatásvégponttal rendelkező virtuális hálózaton lévő párosított régióban lévő ügyfelek hozzáférésének korlátozása.
- A tárfiókhoz tartozó régióban üzembe helyezett Azure-szolgáltatásokhoz való hozzáférés korlátozása. A tárfiókhoz tartozó régióban üzembe helyezett szolgáltatások privát Azure IP-címeket használnak a kommunikációhoz. Így nem korlátozhatja az egyes Azure-szolgáltatásokhoz való hozzáférést a nyilvános kimenő IP-címtartományuk alapján.
Hozzáférés konfigurálása helyszíni hálózatokból
Ha IP-hálózati szabály használatával szeretne hozzáférést biztosítani a helyszíni hálózatokról a tárfiókhoz, azonosítania kell a hálózat által használt internetes IP-címeket. Segítségért forduljon a hálózati rendszergazdához.
Ha a helyszínről használja az Azure ExpressRoute-ot , azonosítania kell a Microsoft társviszony-létesítéshez használt NAT IP-címeket. A nat IP-címeket a szolgáltató vagy az ügyfél adja meg.
A szolgáltatás erőforrásaihoz való hozzáférés engedélyezéséhez engedélyeznie kell ezeket a nyilvános IP-címeket az erőforrás IP-címeinek tűzfalbeállításában.
IP-hálózati szabályok kezelése
A tárfiókok IP-hálózati szabályait az Azure Portalon, a PowerShellen vagy az Azure CLI 2-es verzióján keresztül kezelheti.
Lépjen a megvédeni kívánt tárfiókra.
Válassza a Hálózat lehetőséget.
Ellenőrizze, hogy a kiválasztott hálózatokról való hozzáférés engedélyezését választotta-e.
Internetes IP-címtartományhoz való hozzáférés biztosításához adja meg az IP-címet vagy a címtartományt (CIDR formátumban) a tűzfal>címtartománya alatt.
IP-hálózati szabály eltávolításához válassza a címtartomány melletti törlés ikont ( ) .
Válassza a Mentés lehetőséget a módosítások alkalmazásához.
Hozzáférés engedélyezése Azure-erőforráspéldányokról
Bizonyos esetekben az alkalmazások olyan Azure-erőforrásoktól függhetnek, amelyeket nem lehet virtuális hálózaton vagy IP-címszabályon keresztül elkülöníteni. A tárfiókok hozzáférését azonban továbbra is csak az alkalmazás Azure-erőforrásaira szeretné biztosítani és korlátozni. A tárfiókokat úgy konfigurálhatja, hogy egy erőforráspéldány-szabály létrehozásával engedélyezze a hozzáférést a megbízható Azure-szolgáltatások adott erőforráspéldányaihoz.
Az erőforráspéldány Azure-szerepkör-hozzárendelései határozzák meg, hogy az erőforráspéldány milyen típusú műveleteket hajthat végre a tárfiók adatain. Az erőforráspéldányoknak ugyanabból a bérlőből kell származniuk, mint a tárfiókjuk, de a bérlő bármely előfizetéséhez tartozhatnak.
Az Azure Portalon erőforrás-hálózati szabályokat vehet fel vagy távolíthat el:
Jelentkezzen be az Azure Portalra.
Keresse meg a tárfiókot, és jelenítse meg a fiók áttekintését.
Válassza a Hálózat lehetőséget.
A Tűzfalak és virtuális hálózatok területen válassza ki a hozzáférést engedélyező lehetőséget a kiválasztott hálózatok esetében.
Görgessen le az erőforráspéldányok megkereséséhez. Az Erőforrástípus legördülő listában válassza ki az erőforráspéldány erőforrástípusát.
A Példánynév legördülő listában válassza ki az erőforráspéldányt. Dönthet úgy is, hogy az összes erőforráspéldányt az aktív bérlőbe, előfizetésbe vagy erőforráscsoportba foglalja.
Válassza a Mentés lehetőséget a módosítások alkalmazásához. Az erőforráspéldány a lap Erőforráspéldányok szakaszában jelenik meg a hálózati beállításokhoz.
Az erőforráspéldány eltávolításához válassza a törlés ikont ( ) az erőforráspéldány mellett.
Hozzáférés biztosítása megbízható Azure-szolgáltatásokhoz
Egyes Azure-szolgáltatások olyan hálózatokból működnek, amelyeket nem lehet belefoglalni a hálózati szabályokba. Az ilyen megbízható Azure-szolgáltatások egy részhalmazának hozzáférést adhat a tárfiókhoz, miközben más alkalmazásokra vonatkozó hálózati szabályokat is fenntarthat. Ezek a megbízható szolgáltatások ezután erős hitelesítést használnak a tárfiókhoz való csatlakozáshoz.
A megbízható Azure-szolgáltatásokhoz hálózati szabálykivétel létrehozásával adhat hozzáférést. A cikk Kivételek kezelése szakasza részletes útmutatást nyújt.
Megbízható hozzáférés a Microsoft Entra-bérlőben regisztrált erőforrásokhoz
Egyes szolgáltatások erőforrásai hozzáférhetnek a tárfiókhoz a kiválasztott műveletekhez, például naplók írásához vagy biztonsági másolatok futtatásához. Ezeket a szolgáltatásokat egy olyan előfizetésben kell regisztrálni, amely ugyanabban a Microsoft Entra-bérlőben található, mint a tárfiókja. Az alábbi táblázat az egyes szolgáltatásokat és az engedélyezett műveleteket ismerteti.
Szolgáltatás | Erőforrás-szolgáltató neve | Engedélyezett műveletek |
---|---|---|
Azure Backup | Microsoft.RecoveryServices |
Futtassa a nem felügyelt lemezek biztonsági mentését és visszaállítását az infrastruktúrában szolgáltatásként (IaaS) működő virtuális gépeken (a felügyelt lemezekhez nem szükséges). További információ. |
Azure Data Box | Microsoft.DataBox |
Adatok importálása az Azure-ba. További információ. |
Azure DevTest Labs | Microsoft.DevTestLab |
Egyéni rendszerképeket hozhat létre, és összetevőket telepíthet. További információ. |
Azure Event Grid | Microsoft.EventGrid |
Engedélyezze az Azure Blob Storage-események közzétételét , és engedélyezze a közzétételt a tárolási várólistákon. |
Azure-eseményközpontok | Microsoft.EventHub |
Adatok archiválása az Event Hubs Capture használatával. További információ. |
Azure File Sync | Microsoft.StorageSync |
Alakítsa át a helyszíni fájlkiszolgálót azure-fájlmegosztások gyorsítótárává. Ez a funkció lehetővé teszi a többhelyes szinkronizálást, a gyors vészhelyreállítást és a felhőoldali biztonsági mentést. További információ. |
Azure HDInsight | Microsoft.HDInsight |
Az új HDInsight-fürt alapértelmezett fájlrendszerének kezdeti tartalmának kiépítése. További információ. |
Azure Import/Export | Microsoft.ImportExport |
Adatok importálása az Azure Storage-ba vagy adatok exportálása az Azure Storage-ból. További információ. |
Azure Monitor | Microsoft.Insights |
Monitorozási adatok írása biztonságos tárfiókba, beleértve az erőforrásnaplókat, Végponthoz készült Microsoft Defender adatokat, a Microsoft Entra bejelentkezési és naplózási naplóit, valamint a Microsoft Intune-naplókat. További információ. |
Azure-beli hálózatkezelési szolgáltatások | Microsoft.Network |
Tárolja és elemezze a hálózati forgalmi naplókat, többek között az Azure Network Watcher és az Azure Traffic Manager szolgáltatáson keresztül. További információ. |
Azure Site Recovery | Microsoft.SiteRecovery |
Engedélyezze a replikációt az Azure IaaS virtuális gépek vészhelyreállításához, ha tűzfal-kompatibilis gyorsítótárat, forrás- vagy céltárolófiókokat használ. További információ. |
Felügyelt identitáson alapuló megbízható hozzáférés
Az alábbi táblázat felsorolja azokat a szolgáltatásokat, amelyek hozzáférhetnek a tárfiók adataihoz, ha a szolgáltatások erőforráspéldányai rendelkeznek a megfelelő engedélyekkel.
Szolgáltatás | Erőforrás-szolgáltató neve | Cél |
---|---|---|
Azure FarmBeats | Microsoft.AgFoodPlatform/farmBeats |
Engedélyezi a tárfiókok elérését. |
Azure API Management | Microsoft.ApiManagement/service |
Engedélyezi a tűzfalak mögötti tárfiókok elérését szabályzatokkal. További információ. |
Microsoft Autonomous Systems | Microsoft.AutonomousSystems/workspaces |
Engedélyezi a tárfiókok elérését. |
Azure Cache for Redis | Microsoft.Cache/Redis |
Engedélyezi a tárfiókok elérését. További információ. |
Azure AI Keresés | Microsoft.Search/searchServices |
Engedélyezi a tárfiókokhoz való hozzáférést indexeléshez, feldolgozáshoz és lekérdezéshez. |
Azure AI services | Microsoft.CognitiveService/accounts |
Engedélyezi a tárfiókok elérését. További információ. |
Azure Container Registry | Microsoft.ContainerRegistry/registries |
Az ACR Tasks szolgáltatáscsomagján keresztül tárolólemezképek készítésekor hozzáférést biztosít a tárfiókokhoz. |
Microsoft Cost Management | Microsoft.CostManagementExports |
Engedélyezi a tűzfal mögötti tárfiókokba való exportálást. További információ. |
Azure Databricks | Microsoft.Databricks/accessConnectors |
Engedélyezi a tárfiókok elérését. |
Azure Data Factory | Microsoft.DataFactory/factories |
Engedélyezi a tárfiókok elérését a Data Factory-futtatókörnyezeten keresztül. |
Azure Backup-tároló | Microsoft.DataProtection/BackupVaults |
Engedélyezi a tárfiókok elérését. |
Azure Data Share | Microsoft.DataShare/accounts |
Engedélyezi a tárfiókok elérését. |
Azure Database for PostgreSQL | Microsoft.DBForPostgreSQL |
Engedélyezi a tárfiókok elérését. |
Azure IoT Hub | Microsoft.Devices/IotHubs |
Lehetővé teszi az IoT Hub adatainak Blob Storage-ba való írását. További információ. |
Azure DevTest Labs | Microsoft.DevTestLab/labs |
Engedélyezi a tárfiókok elérését. |
Azure Event Grid | Microsoft.EventGrid/domains |
Engedélyezi a tárfiókok elérését. |
Azure Event Grid | Microsoft.EventGrid/partnerTopics |
Engedélyezi a tárfiókok elérését. |
Azure Event Grid | Microsoft.EventGrid/systemTopics |
Engedélyezi a tárfiókok elérését. |
Azure Event Grid | Microsoft.EventGrid/topics |
Engedélyezi a tárfiókok elérését. |
Microsoft Fabric | Microsoft.Fabric |
Engedélyezi a tárfiókok elérését. |
Azure Egészségügyi célú API-k | Microsoft.HealthcareApis/services |
Engedélyezi a tárfiókok elérését. |
Azure Egészségügyi célú API-k | Microsoft.HealthcareApis/workspaces |
Engedélyezi a tárfiókok elérését. |
Azure IoT Central | Microsoft.IoTCentral/IoTApps |
Engedélyezi a tárfiókok elérését. |
Azure Key Vault Managed HSM | Microsoft.keyvault/managedHSMs |
Engedélyezi a tárfiókok elérését. |
Azure Logic Apps | Microsoft.Logic/integrationAccounts |
Engedélyezi a logikai alkalmazások számára a tárfiókok elérését. További információ. |
Azure Logic Apps | Microsoft.Logic/workflows |
Engedélyezi a logikai alkalmazások számára a tárfiókok elérését. További információ. |
Azure Machine Learning Studio | Microsoft.MachineLearning/registries |
Lehetővé teszi az engedélyezett Azure Machine Learning-munkaterületek számára, hogy kísérleti kimeneteket, modelleket és naplókat írjanak a Blob Storage-ba, és beolvassák az adatokat. További információ. |
Azure Machine Learning | Microsoft.MachineLearningServices |
Lehetővé teszi az engedélyezett Azure Machine Learning-munkaterületek számára, hogy kísérleti kimeneteket, modelleket és naplókat írjanak a Blob Storage-ba, és beolvassák az adatokat. További információ. |
Azure Machine Learning | Microsoft.MachineLearningServices/workspaces |
Lehetővé teszi az engedélyezett Azure Machine Learning-munkaterületek számára, hogy kísérleti kimeneteket, modelleket és naplókat írjanak a Blob Storage-ba, és beolvassák az adatokat. További információ. |
Azure Media Services | Microsoft.Media/mediaservices |
Engedélyezi a tárfiókok elérését. |
Azure Migrate | Microsoft.Migrate/migrateprojects |
Engedélyezi a tárfiókok elérését. |
Azure Spatial Anchors | Microsoft.MixedReality/remoteRenderingAccounts |
Engedélyezi a tárfiókok elérését. |
Azure ExpressRoute | Microsoft.Network/expressRoutePorts |
Engedélyezi a tárfiókok elérését. |
Microsoft Power Platform | Microsoft.PowerPlatform/enterprisePolicies |
Engedélyezi a tárfiókok elérését. |
Microsoft Project Arcadia | Microsoft.ProjectArcadia/workspaces |
Engedélyezi a tárfiókok elérését. |
Azure Data Catalog | Microsoft.ProjectBabylon/accounts |
Engedélyezi a tárfiókok elérését. |
Microsoft Purview | Microsoft.Purview/accounts |
Engedélyezi a tárfiókok elérését. |
Azure Site Recovery | Microsoft.RecoveryServices/vaults |
Engedélyezi a tárfiókok elérését. |
Security Center | Microsoft.Security/dataScanners |
Engedélyezi a tárfiókok elérését. |
Szingularitás | Microsoft.Singularity/accounts |
Engedélyezi a tárfiókok elérését. |
Azure SQL Database | Microsoft.Sql |
Lehetővé teszi a naplózási adatok tűzfal mögötti tárfiókokba való írását. |
Azure SQL-kiszolgálók | Microsoft.Sql/servers |
Lehetővé teszi a naplózási adatok tűzfal mögötti tárfiókokba való írását. |
Azure Synapse Analytics | Microsoft.Sql |
Lehetővé teszi az adatok importálását és exportálását adott SQL-adatbázisokból az utasítás vagy a COPY PolyBase (dedikált készletben) vagy a openrowset kiszolgáló nélküli készletben lévő függvény és külső táblák használatával. További információ. |
Azure Stream Analytics | Microsoft.StreamAnalytics |
Lehetővé teszi a streamelési feladatokból származó adatok Blob Storage-ba való írását. További információ. |
Azure Stream Analytics | Microsoft.StreamAnalytics/streamingjobs |
Lehetővé teszi a streamelési feladatokból származó adatok Blob Storage-ba való írását. További információ. |
Azure Synapse Analytics | Microsoft.Synapse/workspaces |
Engedélyezi az adatokhoz való hozzáférést az Azure Storage-ban. |
Azure Video Indexer | Microsoft.VideoIndexer/Accounts |
Engedélyezi a tárfiókok elérését. |
Ha a fiókja nem rendelkezik engedélyezve a hierarchikus névtér funkcióval, engedélyt adhat egy Azure-szerepkörnek az egyes erőforráspéldányok felügyelt identitásához való explicit hozzárendelésével. Ebben az esetben a példány hozzáférési hatóköre megfelel a felügyelt identitáshoz rendelt Azure-szerepkörnek.
Ugyanazt a technikát használhatja egy olyan fiókhoz, amelyen engedélyezve van a hierarchikus névtér funkció. Azonban nem kell Azure-szerepkört hozzárendelnie, ha hozzáadja a felügyelt identitást a tárfiókban található címtárak vagy blobok hozzáférés-vezérlési listájához (ACL). Ebben az esetben a példány hozzáférési hatóköre annak a könyvtárnak vagy fájlnak felel meg, amelyhez a felügyelt identitás hozzáféréssel rendelkezik.
Az Azure-szerepköröket és az ACL-eket is kombinálhatja a hozzáférés biztosításához. További információ: Hozzáférés-vezérlési modell az Azure Data Lake Storage-ban.
Javasoljuk, hogy erőforráspéldány-szabályokkal biztosítson hozzáférést adott erőforrásokhoz.
A kivételek kezelése
Bizonyos esetekben, például a tárelemzéshez, az olvasási erőforrásnaplókhoz és a metrikákhoz való hozzáférés a hálózat határain kívülről szükséges. Ha megbízható szolgáltatásokat konfigurál a tárfiók elérésére, hálózati szabálykivétel létrehozásával engedélyezheti a naplófájlok, metrikák táblázatai vagy mindkettő olvasási hozzáférését. A hálózati szabálykivételeket az Azure Portalon, a PowerShellben vagy az Azure CLI v2-ben kezelheti.
A tárolási elemzésekkel kapcsolatos további információkért lásd: Az Azure Storage-elemzés használata naplók és metrikák adatainak gyűjtéséhez.
Lépjen a megvédeni kívánt tárfiókra.
Válassza a Hálózat lehetőséget.
Ellenőrizze, hogy a kiválasztott hálózatokról való hozzáférés engedélyezését választotta-e.
A Kivételek csoportban válassza ki azokat a kivételeket, amelyeket engedélyezni szeretne.
Válassza a Mentés lehetőséget a módosítások alkalmazásához.
Következő lépések
További információ az Azure hálózati szolgáltatásvégpontjairól. Mélyebben megismeri az Azure Storage biztonságát.