Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Depolama hesaplarınız için ağ güvenliğini uygulamadan önce, bu bölümdeki önemli kısıtlamaları ve dikkat edilmesi gerekenleri gözden geçirin.
Genel yönergeler ve sınırlamalar
Azure Depolama güvenlik duvarı kuralları yalnızca veri düzlemi işlemleri için geçerlidir. Denetim düzlemi işlemleri güvenlik duvarı kurallarında belirtilen kısıtlamalara tabi değildir.
Azure portalı, Azure Depolama Gezgini ve AzCopy gibi araçları kullanarak verilere erişmek için ağ güvenlik kurallarını yapılandırırken oluşturduğunuz güvenilen sınır içindeki bir makinede olmanız gerekir.
Blob kapsayıcı işlemleri gibi bazı işlemler hem denetim düzlemi hem de veri düzlemi aracılığıyla gerçekleştirilebilir. Azure portalından kapsayıcıları listeleme gibi bir işlem gerçekleştirmeye çalışırsanız, başka bir mekanizma tarafından engellenmediği sürece işlem başarılı olur. Azure Depolama Gezgini gibi bir uygulamadan blob verilerine erişme girişimleri güvenlik duvarı kısıtlamaları tarafından denetlenmektedir.
Veri düzlemi işlemlerinin listesi için bkz . Azure Depolama REST API Başvurusu.
Denetim düzlemi işlemlerinin listesi için bkz: Azure Depolama Kaynak Sağlayıcısı REST API Başvurusu.
Ağ kuralları REST ve SMB dahil olmak üzere Azure Depolama için tüm ağ protokollerinde uygulanır.
Ağ kuralları, bağlama ve çıkarma işlemleri ve disk G/Ç'si dahil olmak üzere sanal makine (VM) disk trafiğini etkilemez, ancak sayfa bloblarına REST erişimini korumaya yardımcı olur.
Özel durum oluşturarak VM'leri yedeklemek ve geri yüklemek için ağ kuralları uygulanmış depolama hesaplarında yönetilmeyen diskler kullanabilirsiniz. Yönetilen diskler Azure tarafından yönetildiği için güvenlik duvarı özel durumları geçerli değildir.
Sanal ağ kuralına dahil olan bir alt ağı silerseniz, depolama hesabının ağ kurallarından kaldırılır. Aynı ada sahip yeni bir alt ağ oluşturursanız depolama hesabına erişimi olmaz. Erişime izin vermek için, depolama hesabının ağ kurallarında yeni alt ağı açıkça yetkilendirmeniz gerekir.
İstemci uygulamasında bir hizmet uç noktasına başvururken, önbelleğe alınmış bir IP adresine bağımlılık almaktan kaçınmanızı öneririz. Depolama hesabı IP adresi değiştirilebilir ve önbelleğe alınmış bir IP adresine güvenmek beklenmeyen davranışlara neden olabilir. Buna ek olarak, DNS kaydının yaşam süresine (TTL) uygun şekilde işlem yapmanızı ve bu kaydı geçersiz kılmaktan kaçınmanızı öneririz. DNS TTL'nin geçersiz kılınması beklenmeyen davranışlara neden olabilir.
Tasarım gereği güvenilen hizmetlerden depolama hesabına erişim, diğer ağ erişimi kısıtlamaları arasında en yüksek önceliğe sahiptir. Daha önce seçili sanal ağlardan ve IP adreslerinden Etkin olarak ayarladıktan sonra Genel ağ erişiminiDevre Dışı olarak ayarlarsanız, daha önce yapılandırdığınız tüm kaynak örnekleri ve özel durumlar, güvenilen hizmetler listesindeki Azure hizmetlerinin bu depolama hesabına erişmesine izin ver de dahil olmak üzere, etkin kalır. Sonuç olarak, bu kaynaklar ve hizmetler depolama hesabına erişmeye devam edebilir.
Genel ağ erişimini devre dışı bıraksanız bile, Depolama için Microsoft Defender'dan veya Azure Danışmanı'ndan sanal ağ kurallarını kullanarak erişimi kısıtlamanızı öneren bir uyarı almaya devam edebilirsiniz. Bu durum, şablon kullanarak genel erişimi devre dışı bırakmanız halinde gerçekleşebilir. PublicNetworkAccess özelliğini Devre Dışı olarak ayarlamış olsanız bile defaultAction özelliği İzin Ver olarak kalır. PublicNetworkAccess özelliği öncelikli olsa da, Microsoft Defender gibi araçlar defaultAction özelliğinin değerini de bildirir. Bu sorunu çözmek için, bir şablon kullanarak defaultAction özelliğini Reddet olarak ayarlayın veya Azure portalı, PowerShell veya Azure CLI gibi bir araç kullanarak genel erişimi devre dışı bırakın. Bu araçlar defaultAction özelliğini sizin için Deny değerine otomatik olarak değiştirir.
IP ağ kuralları için kısıtlamalar
IP ağ kurallarına yalnızca genel İnternet IP adresleri için izin verilir.
IP kurallarında özel ağlar için ayrılmış IP adresi aralıklarına (RFC 1918'de tanımlandığı gibi) izin verilmez. Özel ağlar 10, 172.16 ile 172.31 ve 192.168 arasında başlayan adresleri içerir.
İzin verilen internet adresi aralıklarını, 16.17.18.0/24 biçiminde CIDR gösterimini kullanarak veya 16.17.18.19 gibi tek tek IP adresleri olarak sağlamanız gerekir.
/31 veya /32 ön ek boyutlarını kullanan küçük adres aralıkları desteklenmez. Bu aralıkları tek tek IP adresi kurallarını kullanarak yapılandırın.
Depolama güvenlik duvarı kurallarının yapılandırılması için yalnızca IPv4 adresleri desteklenir.
Depolama hesabıyla aynı Azure bölgesindeki istemcilere erişimi kısıtlamak için IP ağ kurallarını kullanamazsınız. IP ağ kurallarının, depolama hesabıyla aynı Azure bölgesinden gelen istekler üzerinde hiçbir etkisi yoktur. Aynı bölge isteklerine izin vermek için Sanal ağ kurallarını kullanın.
Ip ağ kurallarını, hizmet uç noktası olan bir sanal ağda bulunan eşleştirilmiş bir bölgedeki istemcilere erişimi kısıtlamak için kullanamazsınız.
Depolama hesabıyla aynı bölgede dağıtılan Azure hizmetlerine erişimi kısıtlamak için IP ağ kurallarını kullanamazsınız.
Depolama hesabıyla aynı bölgede dağıtılan servisler iletişim için özel Azure IP adreslerini kullanır. Bu nedenle, belirli Azure hizmetlerine erişimi genel giden IP adresi aralığına göre kısıtlayamazsınız.
Sonraki Adımlar
- Azure ağ hizmeti uç noktaları hakkında daha fazla bilgi edinin.
- Azure Blob depolama için güvenlik önerilerini daha ayrıntılı olarak inceler.