Azure Storage-tűzfalak és virtuális hálózatok konfigurálása

Az Azure Storage rétegekre osztott biztonsági modellt biztosít. Ez a modell lehetővé teszi az alkalmazások és a vállalati környezetek által igényelt tárfiókokhoz való hozzáférés szintjének szabályozását a használt hálózatok vagy erőforrások típusa és részhalmaza alapján.

Hálózati szabályok konfigurálásakor csak azok az alkalmazások férhetnek hozzá a tárfiókhoz, amelyek a megadott hálózatokon vagy a megadott Azure-erőforrásokon keresztül kérnek adatokat. A tárfiókhoz való hozzáférést korlátozhatja a megadott IP-címekről, IP-tartományokból, Azure-beli virtuális hálózatok alhálózataiból vagy egyes Azure-szolgáltatások erőforráspéldányaiból érkező kérelmekre.

A tárfiókok nyilvános végpontja az interneten keresztül érhető el. Privát végpontokat is létrehozhat a tárfiókhoz. A privát végpontok létrehozása egy privát IP-címet rendel a virtuális hálózathoz a tárfiókhoz. Segít a virtuális hálózat és a tárfiók közötti forgalom biztonságossá tételében egy privát kapcsolaton keresztül.

Az Azure Storage tűzfal hozzáférés-vezérlést biztosít a tárfiók nyilvános végpontjához. A tűzfallal a nyilvános végponton keresztüli összes hozzáférést letilthatja privát végpontok használatakor. A tűzfal konfigurációja lehetővé teszi a megbízható Azure-platformszolgáltatások számára a tárfiók elérését is.

A tárfiókhoz a hálózati szabályok érvénybe lépésekor hozzáférő alkalmazásokhoz továbbra is megfelelő engedélyezésre van szükség a kéréshez. Az engedélyezést a Microsoft Entra hitelesítő adatai támogatják blobokhoz, táblákhoz, fájlmegosztásokhoz és üzenetsorokhoz, érvényes fiókhozzáférési kulccsal vagy közös hozzáférésű jogosultságkóddal (SAS) rendelkező jogkivonattal. Ha névtelen hozzáférésre konfigurál egy blobtárolót, a tárolóban lévő adatok olvasására irányuló kéréseket nem kell engedélyezni. A tűzfalszabályok érvényben maradnak, és blokkolják a névtelen forgalmat.

A tárfiók tűzfalszabályainak bekapcsolása alapértelmezés szerint blokkolja a bejövő adatkéréseket, kivéve, ha a kérések egy Azure-beli virtuális hálózaton belül működő szolgáltatásból vagy engedélyezett nyilvános IP-címekről származnak. A letiltott kérések közé tartoznak a többi Azure-szolgáltatásból, az Azure Portalról, valamint a naplózási és metrikaszolgáltatásokból érkező kérések.

A virtuális hálózaton belül működő Azure-szolgáltatásokhoz úgy adhat hozzáférést, hogy engedélyezi a szolgáltatáspéldányt üzemeltető alhálózat forgalmát. A cikk által leírt kivételek mechanizmusával korlátozott számú forgatókönyvet is engedélyezhet. A tárfiókból az Azure Portalon keresztüli adatok eléréséhez a beállított megbízható határon (IP- vagy virtuális hálózaton) belül kell lennie.

Feljegyzés

Javasoljuk, hogy az Azure Az PowerShell modult használja az Azure-ral való interakcióhoz. Az első lépésekhez tekintse meg az Azure PowerShell telepítését ismertető szakaszt. Az Az PowerShell-modulra történő migrálás részleteiről lásd: Az Azure PowerShell migrálása az AzureRM modulból az Az modulba.

Forgatókönyvek

A tárfiók biztonságossá tételéhez először konfigurálnia kell egy szabályt, amely alapértelmezés szerint megtagadja a nyilvános végponton lévő összes hálózat forgalmához való hozzáférést (beleértve az internetes forgalmat is). Ezután konfigurálnia kell azokat a szabályokat, amelyek hozzáférést biztosítanak az adott virtuális hálózatokból érkező forgalomhoz. A szabályokat úgy is konfigurálhatja, hogy hozzáférést biztosítsanak a kiválasztott nyilvános internetes IP-címtartományokból érkező forgalomhoz, lehetővé téve az adott internetről vagy helyszíni ügyfelekről érkező kapcsolatokat. Ezzel a konfigurációval biztonságos hálózati határt hozhat létre az alkalmazások számára.

Egyesítheti azokat a tűzfalszabályokat, amelyek lehetővé teszik a hozzáférést adott virtuális hálózatokról és ugyanazon tárfiók nyilvános IP-címtartományaiból. A meglévő tárfiókokra vagy új tárfiókok létrehozásakor is alkalmazhat tárolási tűzfalszabályokat.

A tárterület tűzfalszabályai a tárfiók nyilvános végpontjára vonatkoznak. Nincs szükség tűzfal-hozzáférési szabályokra a tárfiók privát végpontjainak forgalmának engedélyezéséhez. A privát végpont létrehozásának jóváhagyásának folyamata implicit hozzáférést biztosít a privát végpontot üzemeltető alhálózat forgalmához.

Fontos

Az Azure Storage tűzfalszabályai csak az adatsík-műveletekre vonatkoznak. A vezérlősík műveleteire nem vonatkoznak a tűzfalszabályokban meghatározott korlátozások.

Egyes műveletek, például a blobtároló műveletei a vezérlősíkon és az adatsíkon keresztül is végrehajthatók. Ha tehát egy olyan műveletet kísérel meg végrehajtani, mint például a tárolók listázása az Azure Portalról, a művelet sikeres lesz, hacsak egy másik mechanizmus nem blokkolja. A blobadatok egy alkalmazásból, például az Azure Storage Explorerből való elérésére tett kísérleteket a tűzfalkorlátozások szabályozzák.

Az adatsík-műveletek listáját az Azure Storage REST API-referenciájában találja. A vezérlősík-műveletek listáját az Azure Storage-erőforrás-szolgáltató REST API-referenciájában találja.

Hálózati hozzáférés konfigurálása az Azure Storage-hoz

A tárfiókban lévő adatokhoz való hozzáférést hálózati végpontokon vagy megbízható szolgáltatásokon vagy erőforrásokon keresztül szabályozhatja, beleértve a következőket:

Tudnivalók a virtuális hálózati végpontokról

A tárfiókokhoz kétféle virtuális hálózati végpont használható:

A virtuális hálózati szolgáltatásvégpontok nyilvánosak és elérhetők az interneten keresztül. Az Azure Storage tűzfal lehetővé teszi a tárfiókhoz való hozzáférés szabályozását az ilyen nyilvános végpontokon keresztül. Amikor engedélyezi a nyilvános hálózati hozzáférést a tárfiókhoz, alapértelmezés szerint minden bejövő adatkérés le lesz tiltva. Csak azok az alkalmazások férhetnek hozzá az adatokhoz, amelyek a tárfiók tűzfalbeállításaiban konfigurált engedélyezett forrásokból kérnek adatokat. A források tartalmazhatják az ügyfél forrás IP-címét vagy virtuális hálózati alhálózatát, illetve egy Azure-szolgáltatás vagy erőforráspéldány nevét, amelyen keresztül az ügyfelek vagy szolgáltatások hozzáférnek az adatokhoz. A letiltott kérések közé tartoznak a többi Azure-szolgáltatásból, az Azure Portalról, valamint a naplózási és metrikai szolgáltatásokból érkező kérések, kivéve, ha kifejezetten engedélyezi a hozzáférést a tűzfal konfigurációjában.

A privát végpontok a virtuális hálózatból származó privát IP-címet használnak egy tárfiók eléréséhez a Microsoft gerinchálózatán keresztül. Privát végpont esetén a virtuális hálózat és a tárfiók közötti forgalom privát kapcsolaton keresztül van biztosítva. A tárolási tűzfalszabályok csak a tárfiók nyilvános végpontjaira vonatkoznak, a privát végpontokra nem. A privát végpont létrehozásának jóváhagyásának folyamata implicit hozzáférést biztosít a privát végpontot üzemeltető alhálózat forgalmához. Ha pontosítani szeretné a hozzáférési szabályokat, a hálózati házirendek használatával szabályozhatja a privát végpontok forgalmát. Ha kizárólag privát végpontokat szeretne használni, a tűzfallal letilthatja a nyilvános végponton keresztüli összes hozzáférést.

A privát végpontok és szolgáltatásvégpontok összehasonlítása című témakör segít eldönteni, hogy mikor érdemes az egyes típusú végpontokat használni a környezetben.

A tárfiók hálózati biztonságának megközelítése

A tárfiók biztonságossá tételéhez és az alkalmazások biztonságos hálózati határának kiépítéséhez:

  1. Először is tiltsa le a tárfiók összes nyilvános hálózati hozzáférését a tárfiók tűzfalának nyilvános hálózati hozzáférési beállításában.

  2. Ahol lehetséges, konfigurálja a tárfiókra mutató privát hivatkozásokat olyan virtuális hálózati alhálózatok privát végpontjairól, ahol az ügyfelek az adatokhoz való hozzáférést igénylik.

  3. Ha az ügyfélalkalmazások hozzáférést igényelnek a nyilvános végpontokon, módosítsa a nyilvános hálózat hozzáférési beállítását engedélyezettre a kiválasztott virtuális hálózatokról és IP-címekről. Ezután szükség szerint:

    1. Adja meg azokat a virtuális hálózati alhálózatokat, amelyekből engedélyezni szeretné a hozzáférést.
    2. Adja meg azoknak az ügyfeleknek a nyilvános IP-címtartományait, amelyekből engedélyezni szeretné a hozzáférést, például a helyszíni hálózatokon.
    3. Hozzáférés engedélyezése a kijelölt Azure-erőforráspéldányokból.
    4. Adjon hozzá kivételeket az olyan műveletekhez szükséges megbízható szolgáltatásokból való hozzáférés engedélyezéséhez, mint például az adatok biztonsági mentése.
    5. Adjon hozzá kivételeket a naplózáshoz és a metrikákhoz.

A hálózati szabályok alkalmazása után a rendszer minden kéréshez kényszeríti őket. Az adott IP-címhez hozzáférést biztosító SAS-jogkivonatok a jogkivonat-tulajdonos hozzáférésének korlátozására szolgálnak, de a konfigurált hálózati szabályokon túl nem adnak új hozzáférést.

Korlátozások és szempontok

A tárfiókok hálózati biztonságának megvalósítása előtt tekintse át az ebben a szakaszban tárgyalt fontos korlátozásokat és szempontokat.

  • Az Azure Storage tűzfalszabályai csak az adatsík-műveletekre vonatkoznak. A vezérlősík műveleteire nem vonatkoznak a tűzfalszabályokban meghatározott korlátozások.
  • Tekintse át az IP-hálózati szabályokra vonatkozó korlátozásokat.
  • Ha olyan eszközökkel szeretne hozzáférni az adatokhoz, mint az Azure Portal, az Azure Storage Explorer és az AzCopy, a hálózati biztonsági szabályok konfigurálásakor létrehozott megbízható határon belül kell lennie.
  • A hálózati szabályok az Azure Storage összes hálózati protokolljára vonatkoznak, beleértve a REST-et és az SMB-t is.
  • A hálózati szabályok nem befolyásolják a virtuális gépek (VM) lemezforgalmát, beleértve a csatlakoztatási és leválasztási műveleteket, valamint a lemez I/O-ját, de segítenek megvédeni a lapblobok REST-hozzáférését.
  • A nem felügyelt lemezeket a tárfiókokban olyan hálózati szabályokkal használhatja, amelyeket a virtuális gépek biztonsági mentésére és visszaállítására alkalmaz egy kivétel létrehozásával. A tűzfalak kivételei nem alkalmazhatók a felügyelt lemezekre, mert az Azure már kezeli őket.
  • A klasszikus tárfiókok nem támogatják a tűzfalakat és a virtuális hálózatokat.
  • Ha töröl egy virtuális hálózati szabályban szereplő alhálózatot, az el lesz távolítva a tárfiók hálózati szabályaiból. Ha ugyanazzal a névvel hoz létre új alhálózatot, az nem fér hozzá a tárfiókhoz. A hozzáférés engedélyezéséhez explicit módon engedélyeznie kell az új alhálózatot a tárfiók hálózati szabályaiban.
  • Amikor szolgáltatásvégpontra hivatkozik egy ügyfélalkalmazásban, javasoljuk, hogy kerülje a gyorsítótárazott IP-címek függőségét. A tárfiók IP-címe változhat, és a gyorsítótárazott IP-címekre való támaszkodás váratlan viselkedést eredményezhet. Emellett ajánlott tiszteletben tartani a DNS-rekord élettartamát (TTL), és kerülnie kell a felülküldést. A DNS TTL felülbírálása váratlan viselkedést eredményezhet.
  • A tárfiókokhoz megbízható szolgáltatások általi hozzáférés szándékosan lehetséges az egyéb hálózati hozzáférési korlátozások ellenére. Ha azt követően állítja be a nyilvános hálózati hozzáférést, hogy korábban engedélyezve lett a kiválasztott virtuális hálózatokról és IP-címekről, a korábban konfigurált erőforráspéldányok és kivételek, beleértve a megbízható szolgáltatások listájában szereplő Azure-szolgáltatások hozzáférését a tárfiókhoz, érvényben maradnak. Ennek eredményeképpen előfordulhat, hogy ezek az erőforrások és szolgáltatások továbbra is hozzáférnek a tárfiókhoz.

Engedélyezés

A hálózati szabályokon keresztül hozzáférést kapó ügyfeleknek továbbra is meg kell felelniük a tárfiók engedélyezési követelményeinek az adatok eléréséhez. Az engedélyezés a Blobok és üzenetsorok Microsoft Entra-hitelesítő adataival, érvényes fiókhozzáférési kulccsal vagy közös hozzáférésű jogosultságkóddal (SAS) támogatott.

Ha blobtárolót konfigurál névtelen nyilvános hozzáféréshez, a tárolóban lévő adatok olvasására irányuló kéréseket nem kell engedélyezni, de a tűzfalszabályok érvényben maradnak, és blokkolják a névtelen forgalmat.

Az alapértelmezett hálózati hozzáférési szabály módosítása

Alapértelmezés szerint a tárfiókok bármely hálózatban lévő ügyféltől érkező kapcsolatokat elfogadnak. Korlátozhatja a kijelölt hálózatokhoz való hozzáférést, vagy megakadályozhatja az összes hálózat forgalmát, és csak privát végponton keresztül engedélyezheti a hozzáférést.

Az alapértelmezett szabályt meg kell tagadni, vagy a hálózati szabályoknak nincs hatása. A beállítás módosítása azonban befolyásolhatja, hogy az alkalmazás képes-e csatlakozni az Azure Storage-hoz. A beállítás módosítása előtt mindenképpen adjon hozzáférést az engedélyezett hálózatokhoz, vagy állítson be hozzáférést egy privát végponton keresztül.

Feljegyzés

Javasoljuk, hogy az Azure Az PowerShell modult használja az Azure-ral való interakcióhoz. Az első lépésekhez tekintse meg az Azure PowerShell telepítését ismertető szakaszt. Az Az PowerShell-modulra történő migrálás részleteiről lásd: Az Azure PowerShell migrálása az AzureRM modulból az Az modulba.

  1. Lépjen a biztonságossá tenni kívánt tárfiókra.

  2. Keresse meg a Hálózatkezelési beállításokat a Biztonság + hálózatkezelés területen.

  3. Adja meg, hogy milyen típusú nyilvános hálózati hozzáférést szeretne engedélyezni:

    • Az összes hálózat forgalmának engedélyezéséhez válassza az Engedélyezve lehetőséget az összes hálózatból.

    • Ha csak bizonyos virtuális hálózatokról szeretné engedélyezni a forgalmat, válassza az Engedélyezve lehetőséget a kiválasztott virtuális hálózatok és IP-címek közül.

    • Az összes hálózat forgalmának letiltásához válassza a Letiltva lehetőséget.

  4. Válassza a Mentés lehetőséget a módosítások alkalmazásához.

Figyelemfelhívás

A tárfiókokhoz megbízható szolgáltatások általi hozzáférés szándékosan lehetséges az egyéb hálózati hozzáférési korlátozások ellenére. Ha azt követően állítja be a nyilvános hálózati hozzáférést, hogy korábban engedélyezve lett a kiválasztott virtuális hálózatokról és IP-címekről, a korábban konfigurált erőforráspéldányok és kivételek, beleértve a megbízható szolgáltatások listájában szereplő Azure-szolgáltatások hozzáférését a tárfiókhoz, érvényben maradnak. Ennek eredményeképpen előfordulhat, hogy ezek az erőforrások és szolgáltatások továbbra is hozzáférnek a tárfiókhoz.

Hozzáférés biztosítása virtuális hálózatról

A tárfiókokat úgy konfigurálhatja, hogy csak bizonyos alhálózatokból engedélyezze a hozzáférést. Az engedélyezett alhálózatok tartozhatnak egy virtuális hálózathoz ugyanabban az előfizetésben vagy egy másik előfizetésben, beleértve azokat is, amelyek egy másik Microsoft Entra-bérlőhöz tartoznak. Régiók közötti szolgáltatásvégpontok esetén az engedélyezett alhálózatok a tárfióktól eltérő régiókban is lehetnek.

A virtuális hálózaton belül engedélyezheti az Azure Storage szolgáltatásvégpontjainak használatát. A szolgáltatásvégpont egy optimális útvonalon irányítja át a forgalmat a virtuális hálózatról az Azure Storage szolgáltatáshoz. Az egyes kérésekkel az alhálózat és a virtuális hálózat identitását is továbbítja a rendszer. Rendszergazda istratorok ezután konfigurálhatják a tárfiók hálózati szabályait, amelyek lehetővé teszik a kérések fogadását egy virtuális hálózat adott alhálózataitól. Az ezen hálózati szabályokon keresztül hozzáférést kapó ügyfeleknek továbbra is meg kell felelniük a tárfiók engedélyezési követelményeinek az adatok eléréséhez.

Minden tárfiók legfeljebb 400 virtuális hálózati szabályt támogat. Ezeket a szabályokat ip-hálózati szabályokkal kombinálhatja.

Fontos

Amikor szolgáltatásvégpontra hivatkozik egy ügyfélalkalmazásban, javasoljuk, hogy kerülje a gyorsítótárazott IP-címek függőségét. A tárfiók IP-címe változhat, és a gyorsítótárazott IP-címekre való támaszkodás váratlan viselkedést eredményezhet.

Emellett ajánlott tiszteletben tartani a DNS-rekord élettartamát (TTL), és kerülnie kell a felülküldést. A DNS TTL felülbírálása váratlan viselkedést eredményezhet.

Szükséges engedélyek

Ha virtuális hálózati szabályt szeretne alkalmazni egy tárfiókra, a felhasználónak rendelkeznie kell a hozzáadandó alhálózatok megfelelő engedélyével. A tárfiók közreműködője vagy az Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/actionAzure-erőforrás-szolgáltatói művelethez engedéllyel rendelkező felhasználó egy egyéni Azure-szerepkör használatával alkalmazhat szabályt.

A tárfiók és a hozzáférést kapó virtuális hálózatok különböző előfizetésekben lehetnek, beleértve azokat az előfizetéseket is, amelyek egy másik Microsoft Entra-bérlő részét képezik.

A más Microsoft Entra-bérlőhöz tartozó virtuális hálózatok alhálózataihoz hozzáférést biztosító szabályok konfigurációja jelenleg csak a PowerShell, az Azure CLI és a REST API-k segítségével támogatott. Ezeket a szabályokat nem konfigurálhatja az Azure Portalon keresztül, de megtekintheti őket a portálon.

Az Azure Storage régióközi szolgáltatásvégpontjai

Az Azure Storage régióközi szolgáltatásvégpontjai 2023 áprilisában általánosan elérhetővé váltak. Bármely régióban működnek a virtuális hálózatok és a tárolási szolgáltatáspéldányok között. Régiók közötti szolgáltatásvégpontok esetén az alhálózatok már nem használnak nyilvános IP-címet a tárfiókokkal való kommunikációhoz, beleértve a másik régióban lévőket is. Ehelyett az alhálózatok és tárfiókok közötti összes forgalom egy magánhálózati IP-címet használ forrás IP-címként. Ennek eredményeképpen az olyan tárfiókok, amelyek IP-hálózati szabályokat használnak az alhálózatok forgalmának engedélyezéséhez, már nem lesznek hatással.

A szolgáltatásvégpontok virtuális hálózatok és szolgáltatáspéldányok közötti konfigurálása egy párosított régióban fontos része lehet a vészhelyreállítási tervnek. A szolgáltatásvégpontok lehetővé teszik a folyamatosságot a regionális feladatátvétel során, és hozzáférést biztosítanak az írásvédett georedundáns tárolási (RA-GRS) példányokhoz. Azok a hálózati szabályok, amelyek hozzáférést biztosítanak egy virtuális hálózatról egy tárfiókhoz, bármely RA-GRS-példányhoz is hozzáférést biztosítanak.

Ha regionális kimaradás esetén vészhelyreállítást tervez, előzetesen hozza létre a virtuális hálózatokat a párosított régióban. Engedélyezze az Azure Storage szolgáltatásvégpontjait, és a hálózati szabályok hozzáférést biztosítanak ezekből az alternatív virtuális hálózatokból. Ezután alkalmazza ezeket a szabályokat a georedundáns tárfiókokra.

A helyi és a régiók közötti szolgáltatásvégpontok nem létezhetnek ugyanazon az alhálózaton. Ha a meglévő szolgáltatásvégpontokat régiók közötti végpontokra szeretné cserélni, törölje a meglévő Microsoft.Storage végpontokat, és hozza létre újra régiók közötti végpontként (Microsoft.Storage.Global).

Virtuális hálózati szabályok kezelése

A tárfiókok virtuális hálózati szabályait az Azure Portalon, a PowerShellen vagy az Azure CLI 2-es verzióján keresztül kezelheti.

Ha engedélyezni szeretné a tárfiókhoz való hozzáférést egy másik Microsoft Entra-bérlő virtuális hálózatáról vagy alhálózatáról, a PowerShellt vagy az Azure CLI-t kell használnia. Az Azure Portal nem jelenít meg alhálózatokat más Microsoft Entra-bérlőkben.

  1. Lépjen a biztonságossá tenni kívánt tárfiókra.

  2. Válassza a Hálózat lehetőséget.

  3. Ellenőrizze, hogy a kiválasztott hálózatokról való hozzáférés engedélyezését választotta-e.

  4. Ha új hálózati szabály használatával szeretne hozzáférést biztosítani egy virtuális hálózathoz, a Virtuális hálózatok területen válassza a Meglévő virtuális hálózat hozzáadása lehetőséget. Válassza ki a virtuális hálózatok és alhálózatok beállításait, majd válassza a Hozzáadás lehetőséget.

    Új virtuális hálózat létrehozásához és hozzáférésének biztosításához válassza az Új virtuális hálózat hozzáadása lehetőséget. Adja meg az új virtuális hálózat létrehozásához szükséges információkat, majd válassza a Létrehozás lehetőséget.

    Ha az Azure Storage szolgáltatásvégpontja korábban nem lett konfigurálva a kiválasztott virtuális hálózathoz és alhálózatokhoz, a művelet részeként konfigurálhatja.

    Jelenleg csak az ugyanahhoz a Microsoft Entra-bérlőhöz tartozó virtuális hálózatok jelennek meg kijelölésre a szabály létrehozásakor. Ha egy másik bérlőhöz tartozó virtuális hálózat alhálózatához szeretne hozzáférést biztosítani, használja a PowerShellt, az Azure CLI-t vagy a REST API-kat.

  5. Virtuális hálózat vagy alhálózati szabály eltávolításához válassza a három pontot (...) a virtuális hálózat vagy alhálózat helyi menüjének megnyitásához, majd válassza az Eltávolítás lehetőséget.

  6. Válassza a Mentés lehetőséget a módosítások alkalmazásához.

Fontos

Ha egy hálózati szabályban szereplő alhálózatot töröl, az el lesz távolítva a tárfiók hálózati szabályaiból. Ha ugyanazzal a névvel hoz létre új alhálózatot, az nem fér hozzá a tárfiókhoz. A hozzáférés engedélyezéséhez explicit módon engedélyeznie kell az új alhálózatot a tárfiók hálózati szabályaiban.

Hozzáférés biztosítása internetes IP-címtartományról

IP-hálózati szabályok használatával ip-hálózati szabályok létrehozásával engedélyezheti a hozzáférést adott nyilvános internetes IP-címtartományokból. Minden tárfiók legfeljebb 400 szabályt támogat. Ezek a szabályok hozzáférést biztosítanak bizonyos internetes szolgáltatásokhoz és helyszíni hálózatokhoz, és blokkolják az általános internetes forgalmat.

IP-hálózati szabályok korlátozásai

Az IP-címtartományokra a következő korlátozások vonatkoznak:

  • Az IP-hálózati szabályok csak nyilvános internetes IP-címekre engedélyezettek.

    A magánhálózatokhoz fenntartott IP-címtartományok (az RFC 1918-ban meghatározottak szerint) nem engedélyezettek az IP-szabályokban. A magánhálózatok tartalmazzák a 10, 172,16 és 172,31 és 192,168 címekkel kezdődő címeket.

  • Az engedélyezett internetes címtartományokat a 16.17.18.0/24 formátumú CIDR-jelöléssel vagy egyéni IP-címként kell megadnia, például 16.17.18.19.

  • A /31 vagy /32 előtagméretet használó kis címtartományok nem támogatottak. Ezeket a tartományokat egyéni IP-címszabályok használatával konfigurálhatja.

  • A tárolási tűzfalszabályok konfigurálása csak az IPv4-címeket támogatja.

Fontos

A következő esetekben nem használhat IP-hálózati szabályokat:

  • A tárfiókokkal azonos Azure-régióban lévő ügyfelek hozzáférésének korlátozása. Az IP-hálózati szabályok nincsenek hatással a tárfiókkal azonos Azure-régióból származó kérelmekre. Virtuális hálózati szabályokkal engedélyezheti az azonos régióra vonatkozó kéréseket.
  • A szolgáltatásvégponttal rendelkező virtuális hálózaton lévő párosított régióban lévő ügyfelek hozzáférésének korlátozása.
  • A tárfiókhoz tartozó régióban üzembe helyezett Azure-szolgáltatásokhoz való hozzáférés korlátozása. A tárfiókhoz tartozó régióban üzembe helyezett szolgáltatások privát Azure IP-címeket használnak a kommunikációhoz. Így nem korlátozhatja az egyes Azure-szolgáltatásokhoz való hozzáférést a nyilvános kimenő IP-címtartományuk alapján.

Hozzáférés konfigurálása helyszíni hálózatokból

Ha IP-hálózati szabály használatával szeretne hozzáférést biztosítani a helyszíni hálózatokról a tárfiókhoz, azonosítania kell a hálózat által használt internetes IP-címeket. Segítségért forduljon a hálózati rendszergazdához.

Ha a helyszíni Azure ExpressRoute-ot használja nyilvános társviszony-létesítéshez vagy Microsoft-társviszony-létesítéshez, azonosítania kell a használt NAT IP-címeket. Nyilvános társviszony-létesítés esetén minden ExpressRoute-kapcsolatcsoport (alapértelmezés szerint) két NAT IP-címet használ az Azure-szolgáltatás forgalmára, amikor a forgalom belép a Microsoft Azure hálózati gerinchálózatába. Microsoft-társviszony-létesítés esetén a szolgáltató vagy az ügyfél adja meg a NAT IP-címeket.

A szolgáltatás erőforrásaihoz való hozzáférés engedélyezéséhez engedélyeznie kell ezeket a nyilvános IP-címeket az erőforrás IP-címeinek tűzfalbeállításában. A nyilvános társviszony-létesítési ExpressRoute-kapcsolatcsoportok IP-címeinek megkereséséhez nyisson meg egy támogatási jegyet az ExpressRoute-tal az Azure Portalon keresztül. További információ az ExpressRoute nyilvános társviszony-létesítés és a Microsoft-társviszony-létesítés NAT-járól.

IP-hálózati szabályok kezelése

A tárfiókok IP-hálózati szabályait az Azure Portalon, a PowerShellen vagy az Azure CLI 2-es verzióján keresztül kezelheti.

  1. Lépjen a biztonságossá tenni kívánt tárfiókra.

  2. Válassza a Hálózat lehetőséget.

  3. Ellenőrizze, hogy a kiválasztott hálózatokról való hozzáférés engedélyezését választotta-e.

  4. Internetes IP-címtartományhoz való hozzáférés biztosításához adja meg az IP-címet vagy a címtartományt (CIDR formátumban) a tűzfal>címtartománya alatt.

  5. IP-hálózati szabály eltávolításához válassza a címtartomány melletti törlés ikont ( ) .

  6. Válassza a Mentés lehetőséget a módosítások alkalmazásához.

Hozzáférés engedélyezése Azure-erőforráspéldányokról

Bizonyos esetekben az alkalmazások olyan Azure-erőforrásoktól függhetnek, amelyeket nem lehet virtuális hálózaton vagy IP-címszabályon keresztül elkülöníteni. A tárfiókok hozzáférését azonban továbbra is csak az alkalmazás Azure-erőforrásaira szeretné biztosítani és korlátozni. A tárfiókokat úgy konfigurálhatja, hogy egy erőforráspéldány-szabály létrehozásával engedélyezze a hozzáférést a megbízható Azure-szolgáltatások adott erőforráspéldányaihoz.

Az erőforráspéldány Azure-szerepkör-hozzárendelései határozzák meg, hogy az erőforráspéldány milyen típusú műveleteket hajthat végre a tárfiók adatain. Az erőforráspéldányoknak ugyanabból a bérlőből kell származniuk, mint a tárfiókjuk, de a bérlő bármely előfizetéséhez tartozhatnak.

Az Azure Portalon erőforrás-hálózati szabályokat vehet fel vagy távolíthat el:

  1. Jelentkezzen be az Azure Portalra.

  2. Keresse meg a tárfiókot, és jelenítse meg a fiók áttekintését.

  3. Válassza a Hálózat lehetőséget.

  4. A Tűzfalak és virtuális hálózatok területen válassza ki a hozzáférést engedélyező lehetőséget a kiválasztott hálózatok esetében.

  5. Görgessen le az erőforráspéldányok megkereséséhez. Az Erőforrástípus legördülő listában válassza ki az erőforráspéldány erőforrástípusát.

  6. A Példánynév legördülő listában válassza ki az erőforráspéldányt. Dönthet úgy is, hogy az összes erőforráspéldányt az aktív bérlőbe, előfizetésbe vagy erőforráscsoportba foglalja.

  7. Válassza a Mentés lehetőséget a módosítások alkalmazásához. Az erőforráspéldány a lap Erőforráspéldányok szakaszában jelenik meg a hálózati beállításokhoz.

Az erőforráspéldány eltávolításához válassza a törlés ikont ( ) az erőforráspéldány mellett.

Hozzáférés biztosítása megbízható Azure-szolgáltatásokhoz

Egyes Azure-szolgáltatások olyan hálózatokból működnek, amelyeket nem lehet belefoglalni a hálózati szabályokba. Az ilyen megbízható Azure-szolgáltatások egy részhalmazának hozzáférést adhat a tárfiókhoz, miközben más alkalmazásokra vonatkozó hálózati szabályokat is fenntarthat. Ezek a megbízható szolgáltatások ezután erős hitelesítést használnak a tárfiókhoz való csatlakozáshoz.

A megbízható Azure-szolgáltatásokhoz hálózati szabálykivétel létrehozásával adhat hozzáférést. A cikk Kivételek kezelése szakasza részletes útmutatást nyújt.

Megbízható hozzáférés az előfizetésben regisztrált erőforrásokhoz

Az előfizetésben regisztrált egyes szolgáltatások erőforrásai elérhetik a tárfiókot ugyanabban az előfizetésben a kiválasztott műveletekhez, például naplók írásához vagy biztonsági másolatok futtatásához. Az alábbi táblázat az egyes szolgáltatásokat és az engedélyezett műveleteket ismerteti.

Szolgáltatás Erőforrás-szolgáltató neve Engedélyezett műveletek
Azure Backup Microsoft.RecoveryServices Futtassa a nem felügyelt lemezek biztonsági mentését és visszaállítását az infrastruktúrában szolgáltatásként (IaaS) működő virtuális gépeken (a felügyelt lemezekhez nem szükséges). További információ.
Azure Data Box Microsoft.DataBox Adatok importálása az Azure-ba. További információ.
Azure DevTest Labs Microsoft.DevTestLab Egyéni rendszerképeket hozhat létre, és összetevőket telepíthet. További információ.
Azure Event Grid Microsoft.EventGrid Engedélyezze az Azure Blob Storage-események közzétételét , és engedélyezze a közzétételt a tárolási várólistákon.
Azure-eseményközpontok Microsoft.EventHub Adatok archiválása az Event Hubs Capture használatával. További információ.
Azure File Sync Microsoft.StorageSync Alakítsa át a helyszíni fájlkiszolgálót azure-fájlmegosztások gyorsítótárává. Ez a funkció lehetővé teszi a többhelyes szinkronizálást, a gyors vészhelyreállítást és a felhőoldali biztonsági mentést. További információ.
Azure HDInsight Microsoft.HDInsight Az új HDInsight-fürt alapértelmezett fájlrendszerének kezdeti tartalmának kiépítése. További információ.
Azure Import/Export Microsoft.ImportExport Adatok importálása az Azure Storage-ba vagy adatok exportálása az Azure Storage-ból. További információ.
Azure Monitor Microsoft.Insights Monitorozási adatok írása biztonságos tárfiókba, beleértve az erőforrásnaplókat, a Microsoft Entra bejelentkezési és naplózási naplóit, valamint a Microsoft Intune-naplókat. További információ.
Azure-beli hálózatkezelési szolgáltatások Microsoft.Network Tárolja és elemezze a hálózati forgalmi naplókat, többek között az Azure Network Watcher és az Azure Traffic Manager szolgáltatáson keresztül. További információ.
Azure Site Recovery Microsoft.SiteRecovery Engedélyezze a replikációt az Azure IaaS virtuális gépek vészhelyreállításához, ha tűzfal-kompatibilis gyorsítótárat, forrás- vagy céltárolófiókokat használ. További információ.

Felügyelt identitáson alapuló megbízható hozzáférés

Az alábbi táblázat felsorolja azokat a szolgáltatásokat, amelyek hozzáférhetnek a tárfiók adataihoz, ha a szolgáltatások erőforráspéldányai rendelkeznek a megfelelő engedélyekkel.

Szolgáltatás Erőforrás-szolgáltató neve Cél
Azure FarmBeats Microsoft.AgFoodPlatform/farmBeats Engedélyezi a tárfiókok elérését.
Azure API Management Microsoft.ApiManagement/service Engedélyezi a tűzfalak mögötti tárfiókok elérését szabályzatokkal. További információ.
Microsoft Autonomous Systems Microsoft.AutonomousSystems/workspaces Engedélyezi a tárfiókok elérését.
Azure Cache for Redis Microsoft.Cache/Redis Engedélyezi a tárfiókok elérését. További információ.
Azure AI Keresés Microsoft.Search/searchServices Engedélyezi a tárfiókokhoz való hozzáférést indexeléshez, feldolgozáshoz és lekérdezéshez.
Azure AI services Microsoft.CognitiveService/accounts Engedélyezi a tárfiókok elérését. További információ.
Azure Container Registry Microsoft.ContainerRegistry/registries Az ACR Tasks szolgáltatáscsomagján keresztül tárolólemezképek készítésekor hozzáférést biztosít a tárfiókokhoz.
Microsoft Cost Management Microsoft.CostManagementExports Engedélyezi a tűzfal mögötti tárfiókokba való exportálást. További információ.
Azure Databricks Microsoft.Databricks/accessConnectors Engedélyezi a tárfiókok elérését.
Azure Data Factory Microsoft.DataFactory/factories Engedélyezi a tárfiókok elérését a Data Factory-futtatókörnyezeten keresztül.
Azure Backup-tároló Microsoft.DataProtection/BackupVaults Engedélyezi a tárfiókok elérését.
Azure Data Share Microsoft.DataShare/accounts Engedélyezi a tárfiókok elérését.
Azure Database for PostgreSQL Microsoft.DBForPostgreSQL Engedélyezi a tárfiókok elérését.
Azure IoT Hub Microsoft.Devices/IotHubs Lehetővé teszi az IoT Hub adatainak Blob Storage-ba való írását. További információ.
Azure DevTest Labs Microsoft.DevTestLab/labs Engedélyezi a tárfiókok elérését.
Azure Event Grid Microsoft.EventGrid/domains Engedélyezi a tárfiókok elérését.
Azure Event Grid Microsoft.EventGrid/partnerTopics Engedélyezi a tárfiókok elérését.
Azure Event Grid Microsoft.EventGrid/systemTopics Engedélyezi a tárfiókok elérését.
Azure Event Grid Microsoft.EventGrid/topics Engedélyezi a tárfiókok elérését.
Microsoft Fabric Microsoft.Fabric Engedélyezi a tárfiókok elérését.
Azure Egészségügyi célú API-k Microsoft.HealthcareApis/services Engedélyezi a tárfiókok elérését.
Azure Egészségügyi célú API-k Microsoft.HealthcareApis/workspaces Engedélyezi a tárfiókok elérését.
Azure IoT Central Microsoft.IoTCentral/IoTApps Engedélyezi a tárfiókok elérését.
Azure Key Vault Managed HSM Microsoft.keyvault/managedHSMs Engedélyezi a tárfiókok elérését.
Azure Logic Apps Microsoft.Logic/integrationAccounts Engedélyezi a logikai alkalmazások számára a tárfiókok elérését. További információ.
Azure Logic Apps Microsoft.Logic/workflows Engedélyezi a logikai alkalmazások számára a tárfiókok elérését. További információ.
Azure Machine Learning Studio Microsoft.MachineLearning/registries Engedélyezi az engedélyezett Azure Machine-Tanulás munkaterületek számára a kísérlet kimenetének, a modelleknek és a naplóknak a Blob Storage-ba való írását és az adatok olvasását. További információ.
Azure Machine Learning Microsoft.MachineLearningServices Engedélyezi az engedélyezett Azure Machine-Tanulás munkaterületek számára a kísérlet kimenetének, a modelleknek és a naplóknak a Blob Storage-ba való írását és az adatok olvasását. További információ.
Azure Machine Learning Microsoft.MachineLearningServices/workspaces Engedélyezi az engedélyezett Azure Machine-Tanulás munkaterületek számára a kísérlet kimenetének, a modelleknek és a naplóknak a Blob Storage-ba való írását és az adatok olvasását. További információ.
Azure Media Services Microsoft.Media/mediaservices Engedélyezi a tárfiókok elérését.
Azure Migrate Microsoft.Migrate/migrateprojects Engedélyezi a tárfiókok elérését.
Azure Spatial Anchors Microsoft.MixedReality/remoteRenderingAccounts Engedélyezi a tárfiókok elérését.
Azure ExpressRoute Microsoft.Network/expressRoutePorts Engedélyezi a tárfiókok elérését.
Microsoft Power Platform Microsoft.PowerPlatform/enterprisePolicies Engedélyezi a tárfiókok elérését.
Microsoft Project Arcadia Microsoft.ProjectArcadia/workspaces Engedélyezi a tárfiókok elérését.
Azure Data Catalog Microsoft.ProjectBabylon/accounts Engedélyezi a tárfiókok elérését.
Microsoft Purview Microsoft.Purview/accounts Engedélyezi a tárfiókok elérését.
Azure Site Recovery Microsoft.RecoveryServices/vaults Engedélyezi a tárfiókok elérését.
Security Center Microsoft.Security/dataScanners Engedélyezi a tárfiókok elérését.
Szingularitás Microsoft.Singularity/accounts Engedélyezi a tárfiókok elérését.
Azure SQL Database Microsoft.Sql Lehetővé teszi a naplózási adatok tűzfal mögötti tárfiókokba való írását.
Azure SQL-kiszolgálók Microsoft.Sql/servers Lehetővé teszi a naplózási adatok tűzfal mögötti tárfiókokba való írását.
Azure Synapse Analytics Microsoft.Sql Lehetővé teszi az adatok importálását és exportálását adott SQL-adatbázisokból az utasítás vagy a COPY PolyBase (dedikált készletben) vagy a openrowset kiszolgáló nélküli készletben lévő függvény és külső táblák használatával. További információ.
Azure Stream Analytics Microsoft.StreamAnalytics Lehetővé teszi a streamelési feladatokból származó adatok Blob Storage-ba való írását. További információ.
Azure Stream Analytics Microsoft.StreamAnalytics/streamingjobs Lehetővé teszi a streamelési feladatokból származó adatok Blob Storage-ba való írását. További információ.
Azure Synapse Analytics Microsoft.Synapse/workspaces Engedélyezi az adatokhoz való hozzáférést az Azure Storage-ban.
Azure Video Indexer Microsoft.VideoIndexer/Accounts Engedélyezi a tárfiókok elérését.

Ha a fiókja nem rendelkezik engedélyezve a hierarchikus névtér funkcióval, engedélyt adhat egy Azure-szerepkörnek az egyes erőforráspéldányok felügyelt identitásához való explicit hozzárendelésével. Ebben az esetben a példány hozzáférési hatóköre megfelel a felügyelt identitáshoz rendelt Azure-szerepkörnek.

Ugyanazt a technikát használhatja egy olyan fiókhoz, amelyen engedélyezve van a hierarchikus névtér funkció. Azonban nem kell Azure-szerepkört hozzárendelnie, ha hozzáadja a felügyelt identitást a tárfiókban található címtárak vagy blobok hozzáférés-vezérlési listájához (ACL). Ebben az esetben a példány hozzáférési hatóköre annak a könyvtárnak vagy fájlnak felel meg, amelyhez a felügyelt identitás hozzáféréssel rendelkezik.

Az Azure-szerepköröket és az ACL-eket is kombinálhatja a hozzáférés biztosításához. További információ: Hozzáférés-vezérlési modell az Azure Data Lake Storage Gen2-ben.

Javasoljuk, hogy erőforráspéldány-szabályokkal biztosítson hozzáférést adott erőforrásokhoz.

A kivételek kezelése

Bizonyos esetekben, például a tárelemzéshez, az olvasási erőforrásnaplókhoz és a metrikákhoz való hozzáférés a hálózat határain kívülről szükséges. Ha megbízható szolgáltatásokat konfigurál a tárfiók elérésére, hálózati szabálykivétel létrehozásával engedélyezheti a naplófájlok, metrikák táblázatai vagy mindkettő olvasási hozzáférését. A hálózati szabálykivételeket az Azure Portalon, a PowerShellben vagy az Azure CLI v2-ben kezelheti.

A tárolási elemzésekkel kapcsolatos további információkért lásd: Az Azure Storage-elemzés használata naplók és metrikák adatainak gyűjtéséhez.

  1. Lépjen a biztonságossá tenni kívánt tárfiókra.

  2. Válassza a Hálózat lehetőséget.

  3. Ellenőrizze, hogy a kiválasztott hálózatokról való hozzáférés engedélyezését választotta-e.

  4. A Kivételek csoportban válassza ki azokat a kivételeket, amelyeket engedélyezni szeretne.

  5. Válassza a Mentés lehetőséget a módosítások alkalmazásához.

Következő lépések

További információ az Azure hálózati szolgáltatásvégpontjairól. Mélyebben megismeri az Azure Storage biztonságát.