Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Azure Storage menyediakan beberapa lapisan keamanan jaringan untuk melindungi data Anda dan mengontrol akses ke akun penyimpanan Anda. Artikel ini memberikan gambaran umum tentang fitur keamanan jaringan utama dan opsi konfigurasi yang tersedia untuk akun Azure Storage. Anda dapat mengamankan akun penyimpanan Dengan memerlukan koneksi HTTPS, menerapkan titik akhir privat untuk isolasi maksimum, atau mengonfigurasi akses titik akhir publik melalui aturan firewall dan perimeter keamanan jaringan. Setiap pendekatan menawarkan tingkat keamanan dan kompleksitas yang berbeda, memungkinkan Anda memilih kombinasi yang tepat berdasarkan persyaratan, arsitektur jaringan, dan kebijakan keamanan spesifik Anda.
Nota
Klien yang membuat permintaan dari sumber yang diizinkan juga harus memenuhi persyaratan otorisasi akun penyimpanan. Untuk mempelajari selengkapnya tentang otorisasi akun, lihat Mengotorisasi akses ke data di Azure Storage.
Koneksi aman (HTTPS)
Secara default, akun penyimpanan hanya menerima permintaan melalui HTTPS. Setiap permintaan yang dibuat melalui HTTP ditolak. Sebaiknya Anda memerlukan transfer aman untuk semua akun penyimpanan Anda, kecuali saat berbagi file NFS Azure digunakan dengan keamanan tingkat jaringan. Untuk memverifikasi bahwa akun Anda hanya menerima permintaan dari koneksi aman, pastikan bahwa properti Transfer aman yang diperlukan dari akun penyimpanan diaktifkan. Untuk mempelajari selengkapnya, lihat Memerlukan transfer aman untuk memastikan koneksi yang aman.
Titik akhir pribadi
Jika memungkinkan, buat tautan privat ke akun penyimpanan Anda untuk mengamankan akses melalui titik akhir privat. Titik akhir privat menetapkan alamat IP privat dari jaringan virtual Anda ke akun penyimpanan Anda. Klien terhubung ke akun penyimpanan Anda menggunakan tautan privat. Trafik dirutekan melalui jaringan backbone Microsoft, untuk memastikan bahwa tidak melewati internet publik. Anda dapat menyempurnakan aturan akses menggunakan Kebijakan jaringan untuk titik akhir privat. Untuk mengizinkan lalu lintas hanya dari tautan privat, Anda dapat memblokir semua akses melalui titik akhir publik. Titik akhir privat dikenakan biaya tambahan tetapi menyediakan isolasi jaringan maksimum. Untuk mempelajari selengkapnya, lihat Menggunakan titik akhir privat untuk Azure Storage.
Titik akhir publik
Titik akhir publik akun penyimpanan Anda diakses melalui alamat IP publik. Anda dapat mengamankan titik akhir publik akun penyimpanan Anda dengan menggunakan aturan firewall atau dengan menambahkan akun penyimpanan Anda ke perimeter keamanan jaringan.
Peraturan firewall
Aturan firewall memungkinkan Anda membatasi lalu lintas ke titik akhir publik Anda. Mereka tidak memengaruhi lalu lintas ke titik akhir privat.
Anda harus mengaktifkan aturan firewall sebelum dapat mengonfigurasinya. Mengaktifkan aturan firewall memblokir semua permintaan masuk secara default. Permintaan diizinkan hanya jika berasal dari klien atau layanan yang beroperasi dalam sumber yang Anda tentukan. Anda mengaktifkan aturan firewall dengan mengatur aturan akses jaringan publik default akun penyimpanan. Untuk mempelajari cara melakukannya, lihat Mengatur aturan akses jaringan publik default akun Azure Storage.
Gunakan aturan firewall untuk mengizinkan lalu lintas dari salah satu sumber berikut:
- Subnet tertentu dalam satu atau beberapa jaringan Virtual Azure
- Rentang alamat IP
- Instans sumber daya
- Layanan Azure tepercaya
Untuk mempelajari selengkapnya, lihat Aturan firewall Azure Storage.
Pengaturan firewall khusus untuk akun penyimpanan. Jika Anda ingin mengelola satu set aturan masuk dan keluar di sekitar sekelompok akun penyimpanan dan sumber daya lainnya, pertimbangkan untuk menyiapkan perimeter keamanan jaringan.
Perimeter keamanan jaringan
Cara lain untuk membatasi lalu lintas ke titik akhir publik Anda adalah dengan menyertakan akun penyimpanan Anda dalam perimeter keamanan jaringan. Perimeter keamanan jaringan juga melindungi dari eksfiltrasi data dengan memungkinkan Anda menentukan aturan keluar. Perimeter keamanan jaringan dapat sangat berguna ketika Anda ingin menetapkan batas keamanan di sekitar kumpulan sumber daya. Ini dapat mencakup beberapa akun penyimpanan dan sumber daya platform as a service (PaaS) lainnya. Perimeter keamanan jaringan menyediakan serangkaian kontrol masuk, keluar, dan PaaS-ke-PaaS yang lebih lengkap yang dapat diterapkan ke seluruh perimeter, daripada dikonfigurasi satu per satu pada setiap sumber daya. Ini juga dapat mengurangi beberapa kompleksitas dalam mengaudit lalu lintas.
Untuk mempelajari selengkapnya, lihat Perimeter keamanan jaringan untuk Azure Storage.
Salin cakupan operasi (pratinjau)
Anda dapat menggunakan fitur pratinjau Cakupan yang Diizinkan untuk Operasi Penyalinan untuk membatasi penyalinan data ke akun penyimpanan dengan membatasi sumber ke penyewa Microsoft Entra yang sama atau jaringan virtual dengan tautan privat. Ini dapat membantu mencegah infiltrasi data yang tidak diinginkan dari lingkungan yang tidak tepercaya. Untuk mempelajari selengkapnya, lihat Membatasi sumber operasi salin ke akun penyimpanan.