Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Prima di implementare la sicurezza di rete per gli account di archiviazione, esaminare le importanti restrizioni e considerazioni in questa sezione.
Linee guida e limitazioni generali
Le regole del firewall di Archiviazione di Azure si applicano solo alle operazioni del piano dati . Le operazioni del piano di controllo non sono soggette alle restrizioni specificate nelle regole del firewall.
Per accedere ai dati usando strumenti come il portale di Azure, Azure Storage Explorer e AzCopy, è necessario trovarsi in un computer entro il limite attendibile stabilito durante la configurazione delle regole di sicurezza di rete.
Alcune operazioni, ad esempio le operazioni del contenitore BLOB, possono essere eseguite tramite il piano di controllo e il piano dati. Se si tenta di eseguire un'operazione, ad esempio l'elenco di contenitori dal portale di Azure, l'operazione ha esito positivo, a meno che non sia bloccata da un altro meccanismo. I tentativi di accesso ai dati BLOB da un'applicazione, ad esempio Azure Storage Explorer, sono controllati dalle restrizioni del firewall.
Per un elenco delle operazioni del piano dati, vedere Informazioni di riferimento sull'API REST di Archiviazione di Azure.
Per un elenco delle operazioni del piano di controllo, vedere Azure Storage Resource Provider REST API Reference (Informazioni di riferimento sull'API REST del provider di risorse di Archiviazione di Azure).
Le regole di rete vengono applicate a tutti i protocolli di rete per Archiviazione di Azure, inclusi REST e SMB.
Le regole di rete non influiscono sul traffico su disco delle macchine virtuali, incluse le operazioni di montaggio e smontaggio e I/O del disco, ma consentono di proteggere l'accesso REST ai BLOB di pagine.
È possibile usare dischi non gestiti negli account di archiviazione con regole di rete applicate per eseguire il backup e il ripristino di macchine virtuali creando un'eccezione. Le eccezioni del firewall non si applicano ai dischi gestiti perché Azure li gestisce già.
Se si elimina una subnet inclusa in una regola di rete virtuale, viene rimossa dalle regole di rete per l'account di archiviazione. Se si crea una nuova subnet con lo stesso nome, non avrà accesso all'account di archiviazione. Per consentire l'accesso, è necessario autorizzare in modo esplicito la nuova subnet nelle regole di rete per l'account di archiviazione.
Quando si fa riferimento a un endpoint di servizio in un'applicazione client, è consigliabile evitare di assumere una dipendenza da un indirizzo IP memorizzato nella cache. L'indirizzo IP dell'account di archiviazione è soggetto a modifiche e l'utilizzo di un indirizzo IP memorizzato nella cache potrebbe comportare un comportamento imprevisto. È inoltre consigliabile rispettare la durata (TTL) del record DNS ed evitare di eseguirne l'override. L'override del TTL DNS potrebbe comportare un comportamento imprevisto.
Per progettazione, l'accesso a un account di archiviazione da servizi attendibili ha una precedenza più alta rispetto ad altre restrizioni di accesso alla rete. Se si imposta Accesso alla rete pubblica su Disabilitato dopo l'impostazione precedente su Abilitato da reti virtuali e indirizzi IP selezionati, tutte le istanze di risorse e le eccezioni configurate in precedenza, incluso Consenti ai servizi di Azure nell'elenco dei servizi attendibili di accedere a questo account di archiviazione, rimarranno effettive. Di conseguenza, tali risorse e servizi potrebbero avere ancora accesso all'account di archiviazione.
Anche se si disabilita l'accesso alla rete pubblica, è comunque possibile che venga visualizzato un avviso da Microsoft Defender per Archiviazione o da Azure Advisor che consiglia di limitare l'accesso usando le regole di rete virtuale. Ciò può verificarsi nei casi in cui si disabilita l'accesso pubblico usando un modello. La proprietà defaultAction rimane impostata su Allow anche se si imposta la proprietà PublicNetworkAccess su Disabled. Mentre la proprietà PublicNetworkAccess ha la precedenza, anche gli strumenti come Microsoft Defender segnalano il valore della proprietà defaultAction . Per risolvere questo problema, usare un modello per impostare la proprietà defaultActionDeny o disabilitare l'accesso pubblico usando strumenti come il portale di Azure, PowerShell o l'interfaccia della riga di comando di Azure. Questi strumenti modificano automaticamente la proprietà defaultAction impostandola su un valore di Deny.
Restrizioni per le regole di rete IP
Le regole di rete IP sono consentite solo per gli indirizzi IP Internet pubblici .
Gli intervalli di indirizzi IP riservati per le reti private (come definito in RFC 1918) non sono consentiti nelle regole IP. Le reti private includono indirizzi che iniziano con 10, 172.16 a 172.31 e 192.168.
È necessario specificare gli intervalli di indirizzi Internet consentiti usando la notazione CIDR nel formato 16.17.18.0/24 o come singoli indirizzi IP come 16.17.18.19.
Gli intervalli di indirizzi di piccole dimensioni che usano le dimensioni dei prefissi /31 o /32 non sono supportati. Configurare questi intervalli usando singole regole di indirizzo IP.
Per la configurazione delle regole del firewall di archiviazione sono supportati solo gli indirizzi IPv4.
Non è possibile usare le regole di rete IP per limitare l'accesso ai client nella stessa area di Azure dell'account di archiviazione. Le regole di rete IP non hanno alcun effetto sulle richieste provenienti dalla stessa area di Azure dell'account di archiviazione. Usare le regole di rete virtuale per consentire le richieste della stessa area.
Non è possibile usare le regole di rete IP per limitare l'accesso ai client in un'area abbinata che si trovano in una rete virtuale con un endpoint di servizio.
Non è possibile usare le regole di rete IP per limitare l'accesso ai servizi di Azure distribuiti nella stessa area dell'account di archiviazione.
I servizi distribuiti nella stessa area dell'account di archiviazione usano indirizzi IP privati di Azure per la comunicazione. Pertanto, non è possibile limitare l'accesso a servizi di Azure specifici in base al relativo intervallo di indirizzi IP in uscita pubblico.
Passaggi successivi
- Altre informazioni sugli endpoint del servizio di rete di Azure.
- Approfondisci le raccomandazioni sulla sicurezza per l'archiviazione Blob di Azure.