Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Ağ güvenlik çevresi , kuruluşların sanal ağlarının dışına dağıtılan PaaS kaynakları (örneğin Azure Blob Depolama ve SQL Veritabanı) için bir mantıksal ağ yalıtım sınırı tanımlamasına olanak tanır. Bu özellik, çevre dışındaki PaaS kaynaklarına genel ağ erişimini kısıtlar. Ancak, genel gelen ve giden trafik için açık erişim kurallarını kullanarak erişimi muaf tutabilirsiniz. Bu, depolama kaynaklarınızdan istenmeyen verilerin sızmasını önlemeye yardımcı olur. Bir ağ güvenlik çevresi içinde üye kaynaklar birbirleriyle serbestçe iletişim kurabilir. Ağ güvenlik çevre kuralları, depolama hesabının kendi güvenlik duvarı ayarlarını geçersiz kılar. Çevreden erişim, diğer ağ kısıtlamalarına göre en yüksek önceliği alır.
Ağ güvenlik çevresine eklenen hizmetlerin listesini burada bulabilirsiniz. Bir hizmet listelenmiyorsa, henüz eklenmez. Eklenmemiş bir hizmetten belirli bir kaynağa erişime izin vermek için, ağ güvenlik çevresi için abonelik tabanlı bir kural oluşturabilirsiniz. Abonelik tabanlı bir kural, bu abonelik içindeki tüm kaynaklara erişim verir. Abonelik tabanlı erişim kuralı ekleme hakkında ayrıntılı bilgi için bu belgelere bakın.
Erişim Modları
Depolama hesaplarını bir ağ güvenlik çevresine eklerken Geçiş modundan (eski adıyla Öğrenme modu) başlayabilir veya doğrudan Zorunlu mod'a gidebilirsiniz. Geçiş modu (varsayılan), bir çevre kuralı henüz bağlantıya izin vermiyorsa depolama hesabının mevcut güvenlik duvarı kurallarına veya "güvenilen hizmetler" ayarlarına geri dönmesine olanak tanır. Zorunlu mod, bir ağ güvenlik çevre kuralı tarafından açıkça izin verilmediği sürece tüm genel gelen ve giden trafiği kesin olarak engeller ve depolama hesabınız için en yüksek korumayı sağlar. Zorunlu modda, Azure'ın "güvenilen hizmet" özel durumları bile kabul edilmez. Gerekirse ilgili Azure kaynaklarına veya belirli aboneliklere çevre kuralları aracılığıyla açıkça izin verilmelidir.
Important
Geçiş (eski adı Öğrenme) modundaki Depolama hesaplarının çalıştırılması yalnızca geçiş adımı görevi görür. Kötü amaçlı aktörler, güvenli olmayan kaynaklardan yararlanarak verileri dışarı aktarabilir. Bu nedenle, erişim modu Zorlandı olarak ayarlandığında tam olarak güvenli bir yapılandırmaya en kısa sürede geçiş yapmak çok önemlidir.
Ağ önceliği
Depolama hesabı bir ağ güvenlik çevresinin parçası olduğunda, ilgili profilin erişim kuralları hesabın kendi güvenlik duvarı ayarlarını geçersiz kılar ve üst düzey ağ ağ geçidi denetleyicisi olur. Çevre tarafından izin verilen veya reddedilen erişim önceliklidir ve depolama hesabı zorunlu modda ilişkilendirildiğinde hesabın "İzin verilen ağlar" ayarları atlanır. Depolama hesabının ağ güvenlik çevresinden kaldırılması denetimi normal güvenlik duvarına geri döndürüyor. Ağ güvenlik çevreleri özel uç nokta trafiğini etkilemez. Özel bağlantı üzerinden yapılan bağlantılar her zaman başarılı olur. İç Azure hizmetleri ("güvenilen hizmetler") için çevre erişim kuralları aracılığıyla yalnızca açıkça ağ güvenlik çevresine eklenen hizmetlere izin verilebiliyor. Aksi takdirde, depolama hesabı güvenlik duvarı kuralları tarafından izin verilse bile trafiği otomatik olarak engellenir. Henüz eklenmemiş hizmetler için alternatifler arasında, giden erişimde Tam Etki Alanı Adları (FQDN) veya özel bağlantılar, gelen erişimde ise abonelik düzeyi kuralları yer alır.
Important
Özel uç nokta trafiği son derece güvenli olarak kabul edilir ve bu nedenle ağ güvenlik çevre kurallarına tabi değildir. Depolama hesabı bir çevreyle ilişkilendirilmişse, güvenilen hizmetler de dahil olmak üzere diğer tüm trafik ağ güvenlik çevre kurallarına tabidir.
Ağ güvenlik bölgesi altında özelliklerin kapsamı
Depolama hesabı bir ağ güvenlik çevresiyle ilişkilendirildiğinde, bilinen sınırlamalar altında belirtilmediği sürece bloblar, dosyalar, tablolar ve kuyruklar için tüm standart veri düzlemi işlemleri desteklenir. Azure Blob Depolama, Azure Data Lake Storage 2. Nesil, Azure Dosyalar, Azure Tablo Depolama ve Azure Kuyruk Depolama için tüm HTTPS tabanlı işlemler ağ güvenlik çevresi kullanılarak kısıtlanabilir.
Limitations
| Feature | Destek durumu | Recommendations |
|---|---|---|
| Azure Blob Depolama için nesne çoğaltma | Desteklenmiyor. Kaynak veya hedef hesap bir ağ güvenlik çevresiyle ilişkiliyse depolama hesapları arasında Nesne Çoğaltma başarısız oluyor | Nesne çoğaltması gerektiren depolama hesaplarında ağ güvenlik çevresini yapılandırmayın. Benzer şekilde, destek sağlanana kadar ağ güvenlik çevresiyle ilişkili hesaplarda nesne çoğaltmayı etkinleştirmeyin. Nesne replikasyonu zaten etkinse, bir ağ güvenlik çevresini ilişkilendiremezsiniz. Benzer şekilde, bir ağ güvenlik çevresi zaten ilişkiliyse nesne çoğaltmayı etkinleştiremezsiniz. Bu kısıtlama desteklenmeyen bir senaryo yapılandırmanızı engeller. |
| Azure Blobları ve Azure Dosyalar üzerinden ağ dosya sistemi (NFS) erişimi, Azure Dosyalar üzerinden Sunucu ileti bloğu (SMB) erişimi ve Azure Blobları üzerinden SSH Dosya aktarım protokolü (SFTP) | Depolama hesabı bir ağ güvenlik çevresiyle ilişkilendirildiğinde HTTPS tabanlı erişim dışındaki tüm protokoller engellenir | Depolama hesabınıza erişmek için bu protokollerden herhangi birini kullanmanız gerekiyorsa hesabı bir ağ güvenlik çevresiyle ilişkilendirmeyin |
| Azure Backup | Desteklenmiyor. Hizmet olarak Azure Backup henüz ağ güvenlik çevresine eklenmemiştir. | Yedeklemeler etkinleştirildiyse veya Azure Backup kullanmayı planlıyorsanız bir hesabı ağ güvenlik çevresiyle ilişkilendirmemenizi öneririz. Azure Backup, ağ güvenlik çevresine eklendikten sonra bu özellikleri birlikte kullanmaya başlayabilirsiniz |
| Yönetilmeyen diskler | Yönetilmeyen diskler ağ güvenlik çevresi kurallarına uymaz. | Ağ güvenlik çevresi tarafından korunan depolama hesaplarında yönetilmeyen diskleri kullanmaktan kaçının |
| Statik Web Sitesi | Desteklenmez | Statik web sitesi, doğası gereği açık olan ağ güvenlik çevresi ile kullanılamaz. Statik web sitesi zaten etkinse, ağ güvenlik çevresini ilişkilendiremezsiniz. Benzer şekilde, bir ağ güvenlik çevresi zaten ilişkiliyse statik web sitesini etkinleştiremezsiniz. Bu kısıtlama desteklenmeyen bir senaryo yapılandırmanızı engeller. |
Warning
Bir ağ güvenlik çevresiyle ilişkili depolama hesapları için, müşteri tarafından yönetilen anahtarlar (CMK) senaryolarının çalışması için Azure Key Vault'a depolama hesabının ilişkilendirildiği çevrenin içinden erişilebilir olduğundan emin olun.
Ağ güvenlik çevresini depolama hesabıyla ilişkilendirme
Bir ağ güvenlik çevresini bir depolama hesabıyla ilişkilendirmek için, tüm PaaS kaynakları için bu yaygın yönergeleri izleyin.
Sonraki Adımlar
- Azure ağ hizmeti uç noktaları hakkında daha fazla bilgi edinin.
- Azure Blob depolama için güvenlik önerilerini daha ayrıntılı olarak inceler.
- Ağ Güvenlik Çevresi için Tanılama günlüklerini etkinleştirin.