Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Служба хранилища Azure предоставляет несколько уровней сетевой безопасности для защиты данных и управления доступом к учетным записям хранения. В этой статье представлен обзор ключевых функций сетевой безопасности и параметров конфигурации, доступных для учетных записей хранения Azure. Вы можете защитить учетную запись хранения, требуя httpS-подключений, реализации частных конечных точек для максимальной изоляции или настройки доступа к общедоступной конечной точке с помощью правил брандмауэра и периметров безопасности сети. Каждый подход предлагает различные уровни безопасности и сложности, позволяя выбрать правильное сочетание на основе конкретных требований, сетевой архитектуры и политик безопасности.
Замечание
Клиенты, выполняющие запросы из разрешенных источников, также должны соответствовать требованиям авторизации учетной записи хранения. Дополнительные сведения об авторизации учетной записи см. в статье "Авторизация доступа к данным в службе хранилища Azure".
Безопасные подключения (HTTPS)
По умолчанию учетные записи хранения принимают только запросы по протоколу HTTPS. Любые запросы, выполненные по протоколу HTTP, отклоняются. Рекомендуется обеспечить безопасную передачу для всех учетных записей хранения, за исключением случаев, когда общие папки Azure NFS используются с безопасностью на уровне сети. Чтобы убедиться, что ваша учетная запись принимает запросы только из безопасных подключений, убедитесь, что необходимое свойство безопасной передачи учетной записи хранения включено. Дополнительные сведения см. в статье "Требовать безопасную передачу" для обеспечения безопасных подключений.
Частные конечные точки
По возможности создайте частные ссылки на учетную запись хранения для защиты доступа через частную конечную точку. Частная конечная точка назначает частный IP-адрес из вашей виртуальной сети для учетной записи хранения. Клиенты подключаются к учетной записи хранения с помощью приватного канала. Трафик направляется по магистральной сети Майкрософт, гарантируя, что он не перемещается по общедоступному Интернету. Правила доступа можно настроить с помощью политик сети для частных конечных точек. Чтобы разрешить трафик только из частных ссылок, можно заблокировать весь доступ через общедоступную конечную точку. Частные конечные точки несут дополнительные затраты, но обеспечивают максимальную сетевую изоляцию. Дополнительные сведения см. в статье "Использование частных конечных точек для службы хранилища Azure".
Общедоступные конечные точки
Доступ к общедоступной конечной точке учетной записи хранения осуществляется через общедоступный IP-адрес. Вы можете защитить общедоступную конечную точку учетной записи хранения с помощью правил брандмауэра или добавив учетную запись хранения в периметр безопасности сети.
Правила брандмауэра
Правила брандмауэра позволяют ограничить трафик общедоступной конечной точкой. Они не влияют на трафик к частной конечной точке.
Перед настройкой правил брандмауэра необходимо их включить. Включение правил брандмауэра блокирует все входящие запросы по умолчанию. Запросы разрешены только в том случае, если они исходят от клиента или службы, которые работают в источнике, который вы указываете. Правила брандмауэра можно включить, задав правило доступа к общедоступной сети по умолчанию учетной записи хранения. Сведения о том, как это сделать, см. в разделе "Настройка правила доступа к общедоступной сети" учетной записи хранения Azure по умолчанию.
Используйте правила брандмауэра, чтобы разрешить трафик из любого из следующих источников:
- Определенные подсети в одной или нескольких виртуальных сетях Azure
- Диапазоны IP-адресов
- Экземпляры ресурсов
- Доверенные службы Azure
Дополнительные сведения см. в разделе "Правила брандмауэра службы хранилища Azure".
Параметры брандмауэра относятся к учетной записи хранения. Если вы хотите управлять единым набором правил входящих и исходящих подключений для группы учетных записей хранения и других ресурсов, рассмотрите возможность настройки сетевого периметра безопасности.
Периметр безопасности сети
Другой способ ограничить трафик к вашей общедоступной конечной точке сети — включить вашу учетную запись хранилища в периметр безопасности сети. Периметр безопасности сети также защищает от кражи данных, позволяя определять правила исходящего трафика. Периметр безопасности сети может быть особенно полезен, если вы хотите установить границу безопасности вокруг коллекции ресурсов. Это может включать несколько учетных записей хранения и других ресурсов платформы как услуги (PaaS). Периметр безопасности сети предоставляет более полный набор входящих, исходящих и PaaS-к-PaaS элементов управления, которые можно применять ко всему периметру, а не настраивать по отдельности для каждого ресурса. Это также может снизить сложность аудита трафика.
Дополнительные сведения см. в разделе периметра безопасности сети для службы хранилища Azure.
Области операций копирования (предварительная версия)
Можно использовать функцию предварительного просмотра разрешенной области для операций копирования, чтобы ограничить копирование данных на учетные записи хранения, ограничив источники тем же клиентом Microsoft Entra или виртуальной сетью с частными ссылками. Это может помочь предотвратить нежелательное проникновение данных из ненадежных сред. Дополнительные сведения см. в статье "Ограничить источник операций копирования учетной записью хранения".