Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Sebelum Anda menerapkan keamanan jaringan untuk akun penyimpanan Anda, tinjau pembatasan dan pertimbangan penting di bagian ini.
Pedoman dan batasan umum
Aturan firewall Azure Storage hanya berlaku untuk operasi sarana data . Operasi sarana kontrol tidak tunduk pada batasan yang ditentukan dalam aturan firewall.
Untuk mengakses data dengan menggunakan alat seperti portal Azure, Azure Storage Explorer, dan AzCopy, Anda harus berada di komputer dalam batas tepercaya yang Anda tetapkan saat mengonfigurasi aturan keamanan jaringan.
Beberapa operasi, seperti operasi kontainer blob, dapat dilakukan melalui sarana kontrol dan sarana data. Jika Anda mencoba melakukan operasi seperti mencantumkan kontainer dari portal Microsoft Azure, operasi berhasil kecuali diblokir oleh mekanisme lain. Upaya untuk mengakses data blob dari aplikasi seperti Azure Storage Explorer dikontrol oleh pembatasan firewall.
Untuk daftar operasi data plane, lihat Referensi REST API Azure Storage.
Untuk daftar operasi bidang kontrol, lihat Referensi API REST Penyedia Sumber Daya Azure Storage.
Aturan jaringan diberlakukan pada semua protokol jaringan untuk Azure Storage, termasuk REST dan SMB.
Aturan jaringan tidak memengaruhi lalu lintas disk komputer virtual (VM), termasuk operasi pemasangan dan pelepasan serta I/O disk, tetapi mereka membantu melindungi akses REST ke page blob.
Anda dapat menggunakan disk yang tidak dikelola di akun penyimpanan yang memiliki aturan jaringan diterapkan untuk mencadangkan dan memulihkan VM dengan membuat pengecualian. Pengecualian firewall tidak berlaku untuk disk terkelola karena Azure sudah mengelolanya.
Jika Anda menghapus subnet yang disertakan dalam aturan jaringan virtual, subnet tersebut akan dihapus dari aturan jaringan untuk akun penyimpanan. Jika Anda membuat subnet baru dengan nama yang sama, subnet tersebut tidak akan memiliki akses ke akun penyimpanan. Untuk mengizinkan akses, Anda harus secara eksplisit mengotorisasi subnet baru ini di aturan jaringan untuk akun penyimpanan.
Saat mereferensikan titik akhir layanan dalam aplikasi klien, kami sarankan Anda menghindari mengambil dependensi pada alamat IP yang di-cache. Alamat IP akun penyimpanan dapat berubah, dan mengandalkan alamat IP yang di-cache dapat mengakibatkan perilaku yang tidak terduga. Selain itu, kami sarankan Anda mematuhi TTL (time-to-live) dari catatan DNS dan menghindari penggantian. Mengesampingkan TTL DNS mungkin mengakibatkan perilaku yang tidak terduga.
Secara desain, akses ke akun penyimpanan dari layanan tepercaya lebih diutamakan daripada pembatasan akses jaringan lainnya. Jika Anda mengatur Akses jaringan publik ke Dinonaktifkan setelah sebelumnya mengaturnya ke Diaktifkan dari jaringan virtual dan alamat IP yang dipilih, instans sumber daya dan pengecualian apa pun yang sebelumnya Anda konfigurasi, termasuk Izinkan layanan Azure pada daftar layanan tepercaya untuk mengakses akun penyimpanan ini, akan tetap berlaku. Akibatnya, sumber daya dan layanan tersebut mungkin masih memiliki akses ke akun penyimpanan.
Bahkan jika Anda menonaktifkan akses jaringan publik, Anda mungkin masih menerima peringatan dari Pertahanan Microsoft untuk Penyimpanan atau dari Azure Advisor yang merekomendasikan agar Anda membatasi akses dengan menggunakan aturan jaringan virtual. Ini dapat terjadi dalam kasus di mana Anda menonaktifkan akses publik dengan menggunakan templat. Properti defaultAction tetap diatur ke Izinkan meskipun Anda mengatur properti PublicNetworkAccess ke Dinonaktifkan. Meskipun properti PublicNetworkAccess lebih diutamakan, alat seperti Pertahanan Microsoft juga melaporkan nilai properti defaultAction . Untuk mengatasi masalah ini, gunakan templat untuk mengatur properti defaultActionTolak atau nonaktifkan akses publik dengan menggunakan alat seperti portal Microsoft Azure, PowerShell, atau Azure CLI. Alat-alat ini secara otomatis mengubah properti defaultAction menjadi nilai Tolak untuk Anda.
Pembatasan untuk aturan jaringan IP
Aturan jaringan IP hanya diizinkan untuk alamat IP internet publik.
Rentang alamat IP yang dicadangkan untuk jaringan pribadi (sebagaimana didefinisikan dalam RFC 1918) tidak diizinkan dalam aturan IP. Jaringan privat mencakup alamat yang dimulai dengan 10, 172,16 hingga 172,31, dan 192.168.
Anda harus menyediakan rentang alamat internet yang diizinkan dengan menggunakan notasi CIDR dalam formulir 16.17.18.0/24 atau sebagai alamat IP individual seperti 16.17.18.19.
Rentang alamat kecil yang menggunakan ukuran awalan /31 atau /32 tidak didukung. Konfigurasikan rentang ini menggunakan aturan alamat IP individual.
Hanya alamat IPv4 yang didukung untuk konfigurasi aturan firewall penyimpanan.
Anda tidak dapat menggunakan aturan jaringan IP untuk membatasi akses ke klien di wilayah Azure yang sama dengan akun penyimpanan. Aturan jaringan IP tidak berpengaruh pada permintaan yang berasal dari wilayah Azure yang sama dengan akun penyimpanan. Gunakan Aturan jaringan virtual untuk mengizinkan permintaan wilayah yang sama.
Anda tidak dapat menggunakan aturan jaringan IP untuk membatasi akses ke klien di wilayah berpasangan yang berada di jaringan virtual dengan titik akhir layanan.
Anda tidak dapat menggunakan aturan jaringan IP untuk membatasi akses ke layanan Azure yang disebarkan di wilayah yang sama dengan akun penyimpanan.
Layanan yang diterapkan di wilayah yang sama dengan akun penyimpanan menggunakan alamat IP Azure privat untuk komunikasi. Oleh karena itu, Anda tidak dapat membatasi akses ke layanan Azure tertentu berdasarkan rentang alamat IP keluar publik mereka.
Langkah selanjutnya
- Pelajari selengkapnya tentang titik akhir layanan jaringan Azure.
- Mendalami lebih lanjut rekomendasi keamanan untuk penyimpanan Azure Blob.