Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Azure Storage biedt meerdere netwerkbeveiligingslagen om uw gegevens te beveiligen en de toegang tot uw opslagaccounts te beheren. Dit artikel bevat een overzicht van de belangrijkste netwerkbeveiligingsfuncties en configuratieopties die beschikbaar zijn voor Azure Storage-accounts. U kunt uw opslagaccount beveiligen door HTTPS-verbindingen te vereisen, privé-eindpunten te implementeren voor maximale isolatie of openbare eindpunttoegang te configureren via firewallregels en netwerkbeveiligingsperimeters. Elke benadering biedt verschillende beveiligings- en complexiteitsniveaus, zodat u de juiste combinatie kunt kiezen op basis van uw specifieke vereisten, netwerkarchitectuur en beveiligingsbeleid.
Opmerking
Clients die aanvragen van toegestane bronnen indienen, moeten ook voldoen aan de autorisatievereisten van het opslagaccount. Zie Toegang tot gegevens in Azure Storage autoriseren voor meer informatie over accountautorisatie.
Beveiligde verbindingen (HTTPS)
Standaard accepteren opslagaccounts alleen aanvragen via HTTPS. Alle aanvragen die via HTTP worden gedaan, worden geweigerd. Het is raadzaam om veilige overdracht te vereisen voor al uw opslagaccounts, behalve wanneer NFS Azure-bestandsshares worden gebruikt met beveiliging op netwerkniveau. Als u wilt controleren of uw account alleen aanvragen van beveiligde verbindingen accepteert, moet u ervoor zorgen dat de vereiste eigenschap Veilige overdracht van het opslagaccount is ingeschakeld. Zie Veilige overdracht vereisen om beveiligde verbindingen te garanderen voor meer informatie.
Privé-eindpunten
Maak waar mogelijk privékoppelingen naar uw opslagaccount om toegang te beveiligen via een privé-eindpunt. Een privé-eindpunt wijst een privé-IP-adres van uw virtuele netwerk toe aan uw opslagaccount. Clients maken verbinding met uw opslagaccount via de privékoppeling. Verkeer wordt gerouteerd via het Microsoft-backbonenetwerk, zodat het niet over het openbare internet reist. U kunt toegangsregels verfijnen met behulp van netwerkbeleid voor privé-eindpunten. Als u alleen verkeer vanaf privékoppelingen wilt toestaan, kunt u alle toegang via het openbare eindpunt blokkeren. Privé-eindpunten brengen extra kosten in rekening, maar bieden maximale netwerkisolatie. Zie Privé-eindpunten gebruiken voor Azure Storage voor meer informatie.
Openbare eindpunten
Het openbare eindpunt van uw opslagaccount wordt geopend via een openbaar IP-adres. U kunt het openbare eindpunt van uw opslagaccount beveiligen met behulp van firewallregels of door uw opslagaccount toe te voegen aan een netwerkbeveiligingsperimeter.
Firewallregels
Met firewallregels kunt u verkeer beperken tot uw openbare eindpunt. Ze hebben geen invloed op verkeer naar een privé-eindpunt.
U moet firewallregels inschakelen voordat u ze kunt configureren. Als u firewallregels inschakelt, worden standaard alle binnenkomende aanvragen geblokkeerd. Aanvragen zijn alleen toegestaan als ze afkomstig zijn van een client of service die werkt binnen een bron die u opgeeft. U schakelt firewallregels in door de standaardregel voor openbare netwerktoegang van het opslagaccount in te stellen. Zie De standaardregel voor openbare netwerktoegang van een Azure Storage-account instellen voor meer informatie hierover.
Gebruik firewallregels om verkeer van een van de volgende bronnen toe te staan:
- Specifieke subnetten in een of meer virtuele Azure-netwerken
- IP-adresbereiken
- Resource-exemplaren
- Vertrouwde Azure-services
Zie Azure Storage-firewallregels voor meer informatie.
Firewallinstellingen zijn specifiek voor een opslagaccount. Als u één set regels voor inkomend en uitgaand verkeer wilt beheren rond een groep opslagaccounts en andere resources, kunt u een netwerkbeveiligingsperimeter instellen.
Netwerkbeveiligingsperimeter
Een andere manier om verkeer naar uw openbare eindpunt te beperken, is door uw opslagaccount op te nemen in een netwerkbeveiligingsperimeter. Een netwerkbeveiligingsperimeter beschermt ook tegen gegevensexfiltratie door u in staat te stellen uitgaande regels te definiëren. Een netwerkbeveiligingsperimeter kan met name handig zijn als u een beveiligingsgrens wilt vaststellen rond een verzameling resources. Dit kan meerdere opslagaccounts en andere PaaS-resources (Platform as a Service) omvatten. Een netwerkbeveiligingsperimeter biedt een completere set binnenkomende, uitgaande en PaaS-naar-PaaS-besturingselementen die kunnen worden toegepast op de hele perimeter, in plaats van afzonderlijk te worden geconfigureerd voor elke resource. Het kan ook een deel van de complexiteit in het controleren van verkeer verminderen.
Zie Netwerkbeveiligingsperimeter voor Azure Storage voor meer informatie.
Bewerkingsbereiken kopiëren (preview)
U kunt het toegestane bereik voor de preview-functie voor kopieerbewerkingen gebruiken om het kopiëren van gegevens naar opslagaccounts te beperken door bronnen te beperken tot dezelfde Microsoft Entra-tenant of hetzelfde virtuele netwerk met privékoppelingen. Dit kan helpen bij het voorkomen van ongewenste infiltratie van gegevens uit niet-vertrouwde omgevingen. Zie De bron van kopieerbewerkingen beperken tot een opslagaccount voor meer informatie.