Compartilhamentos de arquivo nos Arquivos do Azure
Artigo
Os Arquivos do Azure oferecem dois protocolos padrão do setor para montar o compartilhamento de arquivo do Azure: o protocolo SMB e o protocolo NFS (Network File System). O serviço Arquivos do Azure permite que você escolha o protocolo do sistema de arquivos mais adequado à sua carga de trabalho. Os compartilhamentos de arquivos do Azure não são compatíveis para acessar um compartilhamento de arquivos individual do Azure com os protocolos SMB e NFS, embora você possa criar compartilhamentos de arquivos SMB e NFS dentro da mesma conta de armazenamento. Para todos os compartilhamentos de arquivo, os Arquivos do Azure oferecem compartilhamentos de arquivo de nível empresarial que podem ser escalados verticalmente para atender às suas necessidades de armazenamento e podem ser acessados simultaneamente por milhares de clientes.
Os compartilhamentos de arquivo SMB são usados para uma variedade de aplicativos, incluindo compartilhamentos de arquivo do usuário final e compartilhamentos de arquivo que fazem o backup de bancos de dados e aplicativos. Os compartilhamentos de arquivo SMB geralmente são usados nos seguintes cenários:
Compartilhamentos de arquivo do usuário final, como compartilhamentos de equipe, diretórios principais etc.
Armazenamento de backup para aplicativos baseados no Windows, como bancos de dados SQL Server ou aplicativos de linha de negócios escritos para APIs de sistema de arquivos local Win32 ou .NET.
Desenvolvimento de novos aplicativos e serviços, principalmente se esse aplicativo ou serviço tiver um requisito de E/S aleatória e armazenamento hierárquico.
Recursos
O Arquivos do Azure é compatível com os principais recursos de SMB e do Azure necessários para implantações de produção de compartilhamentos de arquivo SMB:
Ingresso no domínio do AD e DACLs (listas de controle de acesso) discricionárias.
Backup integrado sem servidor com Backup do Azure.
Isolamento de rede com pontos de extremidade privados do Azure.
Alta taxa de transferência de rede usando o SMB Multichannel (somente compartilhamentos de arquivo premium).
Criptografia de canal SMB, incluindo AES-256-GCM, AES-128-GCM e AES-128-CCM.
Compatibilidade com a versão anterior por meio de instantâneos de compartilhamento integrados do VSS.
Exclusão temporária automática em compartilhamentos de arquivo do Azure para evitar exclusões acidentais.
Opcionalmente, compartilhamentos de arquivo acessíveis pela Internet com SMB 3.0+ seguro para a Internet.
Todos os dados armazenados nos Arquivos do Azure são criptografados em repouso usando a SSE (Criptografia do Serviço de Armazenamento) do Azure. A criptografia do serviço de armazenamento funciona de maneira semelhante ao BitLocker no Windows: os dados são criptografados abaixo do nível do sistema de arquivos. Como os dados são criptografados abaixo do sistema de arquivos do compartilhamento de arquivo do Azure, pois eles são codificados no disco, você não precisa ter acesso à chave subjacente no cliente para fazer a leitura ou gravação no compartilhamento de arquivo do Azure. A criptografia em repouso aplica-se aos protocolos SMB e NFS.
Por padrão, todas as contas de armazenamento do Azure têm criptografia em trânsito habilitada. Isso significa que quando você montar um compartilhamento de arquivo via SMB ou acessá-lo por meio do protocolo FileREST, o Arquivos do Azure só permitirá a conexão se for feita com o SMB 3.x e com criptografia ou HTTPS. Os clientes que não são compatíveis com SMB 3 com a criptografia SMB não poderão montar o compartilhamento de arquivo do Azure se a criptografia em trânsito estiver habilitada.
Os arquivos do Azure dão suporte ao AES-256-GCM com SMB 3.1.1 quando usados com o Windows Server 2022 ou Windows 11. O SMB 3.1.1 também oferece compatibilidade com o AES-128-GCM, e o SMB 3.0 oferece compatibilidade com o AES-128-CCM. O AES-128-GCM é negociado por padrão no Windows 10 versão 21H1 por motivos de desempenho.
Você pode desabilitar a criptografia em trânsito para uma conta de armazenamento do Azure. Quando a criptografia estiver desabilitada, o Arquivos do Azure também permitirá o SMB 2.1, o SMB 3.x sem criptografia. O principal motivo para desabilitar a criptografia em trânsito é dar suporte a um aplicativo herdado que deve ser executado em um sistema operacional mais antigo, como o Windows Server 2008 R2 ou a distribuição mais antiga do Linux. Os Arquivos do Azure só permitem conexões SMB 2.1 na mesma região do Azure que o compartilhamento de arquivo do Azure. Um cliente SMB 2.1 fora da região do Azure do compartilhamento de arquivo do Azure, como local ou em uma região diferente do Azure, não será capaz de acessar o compartilhamento de arquivo.
Configurações de protocolo SMB
Os Arquivos do Azure oferecem várias configurações que afetam o comportamento, o desempenho e a segurança do protocolo SMB. Eles são configurados para todos os compartilhamentos de arquivos do Azure em uma conta de armazenamento.
SMB Multichannel
O SMB Multichannel habilita que um cliente SMB 3.x estabeleça múltiplas conexões de rede para um compartilhamento de arquivo SMB. Os Arquivos do Azure dão suporte ao SMB Multichannel em compartilhamentos de arquivos Premium (compartilhamentos de arquivos no tipo de conta de armazenamento FileStorage). Não há nenhum custo adicional para habilitar o SMB Multichannel em Arquivos do Azure. O SMB Multichannel é desabilitado por padrão.
Para exibir o status do SMB Multichannel, navegue até a conta de armazenamento que contém os compartilhamentos de arquivos Premium e selecione Compartilhamentos de arquivos no cabeçalho Armazenamento de dados no Sumário da conta de armazenamento. O status do SMB Multichannel pode ser visto na seção Configurações de compartilhamento de arquivos.
Para habilitar ou desabilitar o SMB Multichannel, selecione o status atual (Habilitado ou Desabilitado, dependendo do status). A caixa de diálogo resultante fornece uma alternância para habilitar ou desabilitar o SMB Multichannel. Escolha o valor desejado e selecione Salvar.
Para obter o status do SMB Multichannel, use o cmdlet Get-AzStorageFileServiceProperty. Lembre-se de substituir <resource-group> e <storage-account> pelos valores adequados para o seu ambiente antes de executar esses comandos do PowerShell.
$resourceGroupName = "<resource-group>"
$storageAccountName = "<storage-account>"
# Get reference to storage account
$storageAccount = Get-AzStorageAccount `
-ResourceGroupName $resourceGroupName `
-StorageAccountName $storageAccountName
# If you've never enabled or disabled SMB Multichannel, the value for the SMB Multichannel
# property returned by Azure Files will be null. Null returned values should be interpreted
# as "default settings are in effect". To make this more user-friendly, the following
# PowerShell commands replace null values with the human-readable default values.
$defaultSmbMultichannelEnabled = $false
# Get the current value for SMB Multichannel
Get-AzStorageFileServiceProperty -StorageAccount $storageAccount | `
Select-Object -Property `
ResourceGroupName, `
StorageAccountName, `
@{
Name = "SmbMultichannelEnabled";
Expression = {
if ($null -eq $_.ProtocolSettings.Smb.Multichannel.Enabled) {
$defaultSmbMultichannelEnabled
} else {
$_.ProtocolSettings.Smb.Multichannel.Enabled
}
}
}
Para habilitar/desabilitar o status do SMB Multichannel, use o cmdlet Update-AzStorageFileServiceProperty.
Para obter o status do SMB Multichannel, use o comando az storage account file-service-properties show. Lembre-se de substituir <resource-group> e <storage-account> pelos valores adequados para o seu ambiente antes de executar os comandos do Bash.
RESOURCE_GROUP_NAME="<resource-group>"
STORAGE_ACCOUNT_NAME="<storage-account>"
# If you've never enabled or disabled SMB Multichannel, the value for the SMB Multichannel
# property returned by Azure Files will be null. Null returned values should be interpreted
# as "default settings are in effect". To make this more user-friendly, the following
# PowerShell commands replace null values with the human-readable default values.
## Search strings
REPLACESMBMULTICHANNEL="\"smbMultichannelEnabled\": null"
# Replacement values for null parameters.
DEFAULTSMBMULTICHANNELENABLED="\"smbMultichannelEnabled\": false"
# Build JMESPath query string
QUERY="{"
QUERY="${QUERY}smbMultichannelEnabled: protocolSettings.smb.multichannel.enabled"
QUERY="${QUERY}}"
# Get protocol settings from the Azure Files FileService object
protocolSettings=$(az storage account file-service-properties show \
--resource-group $RESOURCE_GROUP_NAME \
--account-name $STORAGE_ACCOUNT_NAME \
--query "${QUERY}")
# Replace returned values if null with default values
PROTOCOL_SETTINGS="${protocolSettings/$REPLACESMBMULTICHANNEL/$DEFAULTSMBMULTICHANNELENABLED}"
# Print returned settings
echo $PROTOCOL_SETTINGS
Para habilitar/desabilitar o status do SMB Multichannel, use o comando az storage account file-service-properties update.
Os Arquivos do Azure expõem configurações que permitem alternar o protocolo SMB para ser mais compatível ou mais seguro, dependendo dos requisitos da sua organização. Por padrão, os Arquivos do Azure são configurados para serem compatíveis ao máximo, portanto, tenha em mente que restringir essas configurações pode fazer com que alguns clientes não consigam se conectar.
Os Arquivos do Azure expõem as seguintes configurações:
Versões SMB: quais versões do SMB são permitidas. As versões de protocolo compatíveis são SMB 3.1.1, SMB 3.0 e SMB 2.1. Por padrão, todas as versões do SMB são permitidas, embora o SMB 2.1 não seja permitido se "exigir trânsito seguro" estiver habilitado, pois ele não permite criptografia em trânsito.
Métodos de autenticação: quais métodos de autenticação SMB são permitidos. Os métodos de autenticação com suporte são NTLMv2 (somente chave de conta de armazenamento) e Kerberos. Por padrão, todos os métodos de autenticação são permitidos. A remoção do NTLMv2 não permite o uso da chave de conta de armazenamento para montar o compartilhamento de arquivo do Azure. O Arquivos do Azure não dá suporte ao uso da autenticação NTLM para credenciais de domínio.
Criptografia de tíquete Kerberos: quais algoritmos de criptografia são permitidos. Os algoritmos de criptografia compatíveis são AES-256 (recomendado) e RC4-HMAC.
Criptografia de canal SMB: quais algoritmos de criptografia de canal SMB são permitidos. Os algoritmos de criptografia compatíveis são AES-256-GCM, AES-128-GCM e AES-128-CCM. Se você selecionar apenas o AES-256-GCM, precisará instruir os clientes que se conectam a usá-lo abrindo um terminal do PowerShell como administrador em cada cliente e executando Set-SmbClientConfiguration -EncryptionCiphers "AES_256_GCM" -Confirm:$false. Não há suporte para o uso do AES-256-GCM em clientes Windows anteriores ao Windows 11/Windows Server 2022.
Você pode visualizar e alterar as configurações de segurança de SMB usando o portal do Azure, o PowerShell ou a CLI. Escolha a guia desejada para ver as etapas sobre como obter e definir as configurações de segurança do SMB.
Para exibir ou alterar as configurações de segurança do SMB usando o portal do Azure, siga estas etapas:
Pesquise por Contas de armazenamento e selecione a conta de armazenamento cujas configurações de segurança deseja exibir.
Selecione Armazenamento de dados>Compartilhamentos de dados.
Nas Configurações de compartilhamento de arquivos, selecione o valor associado a Segurança. Se você ainda não modificou as configurações de segurança, o padrão para esse valor é Compatibilidade máxima.
Em Perfil, selecione Compatibilidade máxima, Segurança máxima ou Personalizado. Selecionar Personalizado permite que você crie um perfil personalizado para versões do protocolo SMB, criptografia de canal do SMB, mecanismos de autenticação e criptografia de tíquete Kerberos.
Depois de inserir as configurações de segurança desejadas, selecione Salvar.
Para obter as configurações de protocolo SMB, use o cmdlet Get-AzStorageFileServiceProperty. Não deixe de substituir <resource-group> e <storage-account> pelos valores adequados para seu ambiente. Se você definiu deliberadamente qualquer uma das configurações de segurança do SMB como nula, por exemplo, desabilitando a criptografia de canal do SMB, confira as instruções no script sobre como comentar determinadas linhas.
$resourceGroupName = "<resource-group>"
$storageAccountName = "<storage-account>"
# Get reference to storage account
$storageAccount = Get-AzStorageAccount `
-ResourceGroupName $resourceGroupName `
-StorageAccountName $storageAccountName
# If you've never changed any SMB security settings, the values for the SMB security
# settings returned by Azure Files will be null. Null returned values should be interpreted
# as "default settings are in effect". To make this more user-friendly, the following
# PowerShell commands replace null values with the human-readable default values.
# If you've deliberately set any of your SMB security settings to null, for example by
# disabling SMB channel encryption, comment out the following four lines to avoid
# changing the security settings back to defaults.
$smbProtocolVersions = "SMB2.1", "SMB3.0", "SMB3.1.1"
$smbAuthenticationMethods = "NTLMv2", "Kerberos"
$smbKerberosTicketEncryption = "RC4-HMAC", "AES-256"
$smbChannelEncryption = "AES-128-CCM", "AES-128-GCM", "AES-256-GCM"
# Gets the current values of the SMB security settings
Get-AzStorageFileServiceProperty -StorageAccount $storageAccount | `
Select-Object -Property `
ResourceGroupName, `
StorageAccountName, `
@{
Name = "SmbProtocolVersions";
Expression = {
if ($null -eq $_.ProtocolSettings.Smb.Versions) {
[String]::Join(", ", $smbProtocolVersions)
} else {
[String]::Join(", ", $_.ProtocolSettings.Smb.Versions)
}
}
},
@{
Name = "SmbChannelEncryption";
Expression = {
if ($null -eq $_.ProtocolSettings.Smb.ChannelEncryption) {
[String]::Join(", ", $smbChannelEncryption)
} else {
[String]::Join(", ", $_.ProtocolSettings.Smb.ChannelEncryption)
}
}
},
@{
Name = "SmbAuthenticationMethods";
Expression = {
if ($null -eq $_.ProtocolSettings.Smb.AuthenticationMethods) {
[String]::Join(", ", $smbAuthenticationMethods)
} else {
[String]::Join(", ", $_.ProtocolSettings.Smb.AuthenticationMethods)
}
}
},
@{
Name = "SmbKerberosTicketEncryption";
Expression = {
if ($null -eq $_.ProtocolSettings.Smb.KerberosTicketEncryption) {
[String]::Join(", ", $smbKerberosTicketEncryption)
} else {
[String]::Join(", ", $_.ProtocolSettings.Smb.KerberosTicketEncryption)
}
}
}
Dependendo dos requisitos de segurança, desempenho e compatibilidade da sua organização, o ideal é modificar as configurações do protocolo SMB. O comando do PowerShell a seguir restringe seus compartilhamentos de arquivo SMB apenas às opções mais seguras.
Importante
Restringir os compartilhamentos de arquivo SMB do Azure apenas às opções mais seguras pode fazer com que alguns clientes não consigam se conectar. Por exemplo, o AES-256-GCM foi introduzido como uma opção para criptografia de canal SMB a partir do Windows Server 2022 e Windows 11. Isso significa que clientes mais antigos que não são compatíveis com AES-256-GCM não poderão se conectar. Se você selecionar apenas o AES-256-GCM, precisará instruir os clientes do Windows Server 2022 e do Windows 11 a só usar o AES-256-GCM abrindo um terminal do PowerShell como administrador em cada cliente e executando Set-SmbClientConfiguration -EncryptionCiphers "AES_256_GCM" -Confirm:$false.
Para obter o status das configurações de segurança do SMB, use o comando az storage account file-service-properties show. Lembre-se de substituir <resource-group> e <storage-account> pelos valores adequados para o seu ambiente antes de executar os comandos do Bash. Se você definiu deliberadamente qualquer uma das configurações de segurança do SMB como nula, por exemplo, desabilitando a criptografia de canal do SMB, confira as instruções no script sobre como comentar determinadas linhas.
RESOURCE_GROUP_NAME="<resource-group>"
STORAGE_ACCOUNT_NAME="<storage-account>"
# If you've never changed any SMB security settings, the values for the SMB security
# settings returned by Azure Files will be null. Null returned values should be interpreted
# as "default settings are in effect". To make this more user-friendly, the commands in the
# following two sections replace null values with the human-readable default values.
# If you've deliberately set any of your SMB security settings to null, for example by
# disabling SMB channel encryption, comment out the following two sections before
# running the script to avoid changing the security settings back to defaults.
# Values to be replaced
REPLACESMBPROTOCOLVERSION="\"smbProtocolVersions\": null"
REPLACESMBCHANNELENCRYPTION="\"smbChannelEncryption\": null"
REPLACESMBAUTHENTICATIONMETHODS="\"smbAuthenticationMethods\": null"
REPLACESMBKERBEROSTICKETENCRYPTION="\"smbKerberosTicketEncryption\": null"
# Replacement values for null parameters. If you copy this into your own
# scripts, you will need to ensure that you keep these variables up-to-date with any new
# options we may add to these parameters in the future.
DEFAULTSMBPROTOCOLVERSIONS="\"smbProtocolVersions\": \"SMB2.1;SMB3.0;SMB3.1.1\""
DEFAULTSMBCHANNELENCRYPTION="\"smbChannelEncryption\": \"AES-128-CCM;AES-128-GCM;AES-256-GCM\""
DEFAULTSMBAUTHENTICATIONMETHODS="\"smbAuthenticationMethods\": \"NTLMv2;Kerberos\""
DEFAULTSMBKERBEROSTICKETENCRYPTION="\"smbKerberosTicketEncryption\": \"RC4-HMAC;AES-256\""
# Build JMESPath query string
QUERY="{"
QUERY="${QUERY}smbProtocolVersions: protocolSettings.smb.versions,"
QUERY="${QUERY}smbChannelEncryption: protocolSettings.smb.channelEncryption,"
QUERY="${QUERY}smbAuthenticationMethods: protocolSettings.smb.authenticationMethods,"
QUERY="${QUERY}smbKerberosTicketEncryption: protocolSettings.smb.kerberosTicketEncryption"
QUERY="${QUERY}}"
# Get protocol settings from the Azure Files FileService object
PROTOCOLSETTINGS=$(az storage account file-service-properties show \
--resource-group $RESOURCE_GROUP_NAME \
--account-name $STORAGE_ACCOUNT_NAME \
--query "${QUERY}")
# Replace returned values if null with default values
PROTOCOLSETTINGS="${protocolSettings/$REPLACESMBPROTOCOLVERSION/$DEFAULTSMBPROTOCOLVERSIONS}"
PROTOCOLSETTINGS="${protocolSettings/$REPLACESMBCHANNELENCRYPTION/$DEFAULTSMBCHANNELENCRYPTION}"
PROTOCOLSETTINGS="${protocolSettings/$REPLACESMBAUTHENTICATIONMETHODS/$DEFAULTSMBAUTHENTICATIONMETHODS}"
PROTOCOLSETTINGS="${protocolSettings/$REPLACESMBKERBEROSTICKETENCRYPTION/$DEFAULTSMBKERBEROSTICKETENCRYPTION}"
# Print returned settings
echo $PROTOCOLSETTINGS
Dependendo dos requisitos de segurança, desempenho e compatibilidade da sua organização, talvez você queira mudar as configurações do protocolo SMB. O comando da CLI do Azure a seguir restringe seus compartilhamentos de arquivo SMB apenas às opções mais seguras.
Importante
Restringir os compartilhamentos de arquivo SMB do Azure apenas às opções mais seguras pode fazer com que alguns clientes não consigam se conectar. Por exemplo, o AES-256-GCM foi introduzido como uma opção para criptografia de canal SMB a partir do Windows Server 2022 e Windows 11. Isso significa que clientes mais antigos que não são compatíveis com AES-256-GCM não poderão se conectar. Se você selecionar apenas o AES-256-GCM, precisará instruir os clientes do Windows Server 2022 e do Windows 11 a só usar o AES-256-GCM abrindo um terminal do PowerShell como administrador em cada cliente e executando Set-SmbClientConfiguration -EncryptionCiphers "AES_256_GCM" -Confirm:$false.
Os compartilhamentos de arquivo SMB no Arquivos do Azure são compatíveis com um subconjunto de recursos compatível com o protocolo SMB e com o sistema de arquivos NTFS. Embora a maioria dos casos de uso e aplicativos não exijam esses recursos, alguns aplicativos podem não funcionar corretamente com o Arquivos do Azure se dependerem de recursos incompatíveis. Não há suporte aos seguintes recursos:
VSS para compartilhamentos de arquivo SMB (isso permite que os provedores de VSS liberem seus dados para o compartilhamento de arquivo SMB antes que um instantâneo seja obtido)
Os compartilhamentos de arquivo SMB do Azure estão disponíveis em cada região do Azure, incluindo todas as regiões públicas e soberanas. Os compartilhamentos de arquivo SMB premium estão disponíveis em um subconjunto de regiões.
