Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Ağ güvenlik çevresi , kuruluşların sanal ağlarının dışına dağıtılan Azure Dosyalar gibi PaaS kaynakları için bir mantıksal ağ yalıtım sınırı tanımlamasına olanak tanır. Bu özellik, çevre dışındaki PaaS kaynaklarına genel ağ erişimini kısıtlar. Ancak, genel gelen ve giden trafik için açık erişim kurallarını kullanarak erişimi muaf tutabilirsiniz. Bu, depolama kaynaklarınızdan istenmeyen verilerin sızmasını önlemeye yardımcı olur. Bir ağ güvenlik çevresi içinde üye kaynaklar birbirleriyle serbestçe iletişim kurabilir. Ağ güvenlik çevre kuralları, depolama hesabının kendi güvenlik duvarı ayarlarını geçersiz kılar. Çevreden erişim, diğer ağ kısıtlamalarına göre en yüksek önceliği alır.
Ağ güvenlik çevresine eklenen hizmetlerin listesini burada bulabilirsiniz. Bir hizmet listelenmiyorsa, henüz eklenmez. Eklenmemiş bir hizmetten belirli bir kaynağa erişime izin vermek için, ağ güvenlik çevresi için abonelik tabanlı bir kural oluşturabilirsiniz. Abonelik tabanlı bir kural, bu abonelik içindeki tüm kaynaklara erişim verir. Abonelik tabanlı erişim kuralı ekleme hakkında ayrıntılı bilgi için bu belgelere bakın.
Erişim modları
Depolama hesaplarını bir ağ güvenlik çevresine eklerken , Geçiş modundan (eski adıyla Öğrenme modu) başlayabilir veya doğrudan Zorunlu mod'a gidebilirsiniz. Geçiş modu (varsayılan erişim modu), bir çevre kuralı henüz bağlantıya izin vermiyorsa depolama hesabının mevcut güvenlik duvarı kurallarına veya güvenilen hizmetler ayarlarına geri dönmesine olanak tanır. Zorunlu mod, bir ağ güvenlik çevre kuralı tarafından açıkça izin verilmediği sürece tüm genel gelen ve giden trafiği kesin olarak engeller ve depolama hesabınız için en yüksek korumayı sağlar. Zorunlu modda, Azure'ın güvenilen hizmet istisnaları dikkate alınmaz. çevre kuralları aracılığıyla ilgili Azure kaynaklarına veya belirli aboneliklere açıkça izin verilmelidir. Daha fazla bilgi için bkz . Azure'da ağ güvenlik çevresine geçiş.
Önemli
Geçiş modundaki işletim depolama hesapları yalnızca geçiş adımı görevi görür. Kötü amaçlı aktörler, güvenli olmayan kaynaklardan yararlanarak verileri dışarı aktarabilir. Bu nedenle, erişim modu Zorlandı olarak ayarlandığında tam olarak güvenli bir yapılandırmaya en kısa sürede geçiş yapmak çok önemlidir.
Ağ önceliği
Depolama hesabı bir ağ güvenlik çevresinin parçası olduğunda, ilgili profilin erişim kuralları hesabın kendi güvenlik duvarı ayarlarını geçersiz kılar ve üst düzey ağ ağ geçidi denetleyicisi olur. Çevre tarafından izin verilen veya reddedilen erişim önceliklidir ve depolama hesabı zorunlu modda ilişkilendirildiğinde depolama hesabının İzin verilen ağlar ayarları atlanır. Depolama hesabının ağ güvenlik çevresinden kaldırılması denetimi normal güvenlik duvarına geri döndürüyor. Ağ güvenlik çevreleri özel uç nokta trafiğini etkilemez. Özel bağlantı üzerinden yapılan bağlantılar her zaman başarılı olur. Azure'un dahili hizmetleri (güvenilir hizmetler) için, yalnızca açıkça ağ güvenlik çevresine dahil edilen hizmetlere çevre erişim kuralları aracılığıyla izin verilir. Aksi takdirde, depolama hesabı güvenlik duvarı kuralları tarafından izin verilse bile trafiği otomatik olarak engellenir. Henüz eklenmemiş hizmetler için alternatifler arasında, giden erişimde Tam Etki Alanı Adları (FQDN) veya özel bağlantılar, gelen erişimde ise abonelik düzeyi kuralları yer alır.
Önemli
Özel uç nokta trafiği son derece güvenli olarak kabul edilir ve bu nedenle ağ güvenlik çevre kurallarına tabi değildir. Depolama hesabı bir çevreyle ilişkilendirilmişse, güvenilen hizmetler de dahil olmak üzere diğer tüm trafik ağ güvenlik çevre kurallarına tabidir.
Ağ güvenlik bölgesi altında özelliklerin kapsamı
Depolama hesabı bir ağ güvenlik çevresiyle ilişkilendirildiğinde, bilinen sınırlamalar altında belirtilmediği sürece bloblar, dosyalar, tablolar ve kuyruklar için tüm standart veri düzlemi işlemleri desteklenir. Ağ güvenlik çevresini kullanarak Azure Dosyalar, Azure Blob Depolama, Azure Data Lake Storage 2. Nesil, Azure Tablo Depolama ve Azure Kuyruk Depolama için HTTPS tabanlı işlemleri kısıtlayabilirsiniz.
Aşağıdaki tablolarda yalnızca Azure Dosyalar için ağ güvenlik çevresi ve protokol desteği açıklanmaktadır. Azure Blob Depolama ve diğer Azure depolama hizmetleri için özellik kapsamı arıyorsanız bu makaleye bakın.
Aşağıdaki tabloda, Azure Dosyalar için gelen ağ güvenliği çevresel sınır uygulaması desteği açıklanmaktadır.
| Feature | Destek durumu | Öneri |
|---|---|---|
| Özel Bağlantı | Tüm protokollerde (REST, SMB, NFS) desteklenir | Özel Bağlantı kuralları, ağ güvenlik çevresine göre önceliklidir. Gelen Özel Bağlantı trafiği, ağ güvenlik çevre yapılandırmasından bağımsız olarak her zaman kabul edilir. |
| OAuth ile Azure Dosyalar REST | Destekleniyor | Tam destek |
| Paylaşılan Anahtar veya SAS kimlik doğrulaması ile Azure Dosyalar REST | Yalnızca gelen IP kurallarını destekler | Paylaşılan Anahtar ve SAS, OAuth tabanlı protokoller olmadığından kaynak çevre veya abonelik hakkında bilgi taşıyamaz. Bu nedenle, gelen çevre ve abonelik kurallarına uyulmayacak. IP kuralları desteklenir (en fazla 200 kural). |
| NTLM veya Kerberos ile Azure Dosyalar SMB | Yalnızca gelen IP kurallarını destekler | NTLM veya Kerberos, OAuth tabanlı protokoller olmadığından kaynak çevre veya abonelik hakkında bilgi taşıyamaz. Bu nedenle, gelen çevre ve abonelik kurallarına uyulmayacak. IP kuralları desteklenir (en fazla 200 kural). |
| Azure Files NFS | Tüm gelen trafik reddedildi | Depolama hesabınızı Zorunlu modda bir ağ güvenlik çevresine yerleştirirseniz, Özel Bağlantı dışındaki tüm gelen trafik reddedilir. Müşteri tarafından yönetilen anahtarlar (CMK) için giden trafik desteklenir. |
Aşağıdaki tabloda Azure Dosyalar için ağ güvenlik çevresi için tümleştirme desteği açıklanmaktadır.
| Feature | Destek durumu | Öneri |
|---|---|---|
| Müşteri Tarafından Yönetilen Anahtarlar | Tüm protokollerde (REST, SMB, NFS) desteklenir | CMK'yi barındıran Key Vault'ı bir ağ güvenlik çevresine yerleştirirseniz, depolama hesabını aynı çevre alanına yerleştirmeniz veya depolama hesabının kendisiyle iletişim kurmasına izin vermek için Key Vault'un ağ güvenlik çevre profilini başka bir şekilde yapılandırmanız gerekir. |
| Azure Backup | Desteklenmiyor. Azure Backup henüz ağ güvenlik çevresine eklenmemiş | Ekleme tamamlanana kadar Azure Backup kullanan depolama hesapları için ağ güvenlik çevresini kullanmaktan kaçının. |
| Azure Dosya Eşitleme | Tam olarak desteklenmiyor. Azure Dosya Eşitleme'nin ağ güvenlik çevreleriyle ilgili bilinen bir sınırlaması vardır. | Bir Depolama Eşitleme Hizmeti kaynağını depolama hesabınıza bağlamak için önce Depolama Eşitleme Hizmeti'ni Yönetilen Kimlikleri kullanacak şekilde yapılandırmanız gerekir. Ardından, Depolama Eşitleme Hizmeti aboneliğine izin verecek şekilde bir ağ güvenlik çevresi gelen profil kuralı yapılandırın. Depolama Eşitleme Hizmetleri çevrelerle ilişkilendirilemiyor. |
Uyarı
Bir ağ güvenlik çevresiyle ilişkili depolama hesapları için, müşteri tarafından yönetilen anahtarlar (CMK) senaryolarının çalışması için Azure Key Vault'a depolama hesabının ilişkilendirildiği çevrenin içinden erişilebilir olduğundan emin olun.
Ağ güvenlik çevresini depolama hesabıyla ilişkilendirme
Bir ağ güvenlik çevresini bir depolama hesabıyla ilişkilendirmek için, tüm PaaS kaynakları için bu yaygın yönergeleri izleyin.
Sonraki Adımlar
- Azure ağ hizmeti uç noktaları hakkında daha fazla bilgi edinin.
- Ağ güvenlik çevresi için Tanılama Günlüklerini aktif hale getirin.