Configurar redes virtuais e firewalls do Armazenamento do Microsoft Azure

O Armazenamento do Microsoft Azure fornece um modelo de segurança em camadas. Esse modelo permite que você proteja e controle o nível de acesso às suas contas de armazenamento que seus aplicativos e ambientes corporativos exigem, com base no tipo e no subconjunto de redes usadas. Quando as regras de rede são configuradas, somente aplicativos que solicitam dados do conjunto especificado de redes ou por meio do conjunto especificado de recursos do Azure podem acessar uma conta de armazenamento. Você pode limitar o acesso à sua conta de armazenamento a solicitações originadas de endereços IP especificados, intervalos de IP, sub-redes em uma Rede Virtual do Azure (VNet), ou instâncias de recursos de alguns serviços do Azure.

As contas de armazenamento têm um ponto de extremidade público que pode ser acessado pela Internet. Você também pode criar pontos de extremidade privados para sua conta de armazenamento, que atribui um endereço IP privado de sua VNet à conta de armazenamento e protege todo o tráfego entre a VNet e a conta de armazenamento por meio de um link privado. O firewall do Armazenamento do Azure fornece acesso de controle de acesso para o ponto de extremidade público da sua conta de armazenamento. Você também pode usar o firewall para bloquear todo o acesso por meio do ponto de extremidade público ao usar pontos de extremidades privados. A configuração do firewall de armazenamento também permite selecionar serviços confiáveis da plataforma Azure para acessar a conta de armazenamento com segurança.

Um aplicativo que acessa uma conta de armazenamento quando as regras de rede estão em vigor ainda requer autorização adequada para a solicitação. A autorização é compatível com as credenciais do Azure AD (Azure Active Directory) para blobs e filas, com uma chave de acesso de conta válida ou um token SAS.

Importante

Ativar regras de firewall para sua conta de armazenamento bloqueia solicitações de entrada para os dados por padrão, a menos que as solicitações sejam provenientes de um serviço que está operando em uma VNet (Rede Virtual) do Azure ou de endereços IP públicos permitidos. Solicitações que estão bloqueadas incluem as de outros serviços do Azure, do portal do Azure, de registro em log e serviços de métricas e assim por diante.

Você pode permitir acesso aos serviços do Azure que operam de dentro de uma rede virtual, permitindo tráfego da sub-rede hospedando a instância do serviço. Você também pode habilitar um número limitado de cenários por meio do mecanismo de exceções descrito abaixo. O acesso a dados da conta de armazenamento por meio do portal do Azure precisa ser feito de um computador dentro do limite confiável (IP ou VNet) que você configurou.

Observação

Este artigo foi atualizado para usar o módulo Az PowerShell do Azure. O módulo Az PowerShell é o módulo do PowerShell recomendado para interagir com o Azure. Para começar a usar o módulo do Az PowerShell, confira Instalar o Azure PowerShell. Para saber como migrar para o módulo Az PowerShell, confira Migrar o Azure PowerShell do AzureRM para o Az.

Cenários

Para proteger sua conta de armazenamento, primeiro você deve configurar uma regra para negar o acesso ao tráfego de todas as redes (incluindo o tráfego da Internet) no ponto de extremidade público, por padrão. Em seguida, você deve configurar regras que permitem acesso ao tráfego de VNets específicas. Você também pode configurar regras para permitir acesso ao tráfego de intervalos de endereços IP públicos da Internet selecionados, permitindo conexões de clientes locais ou da Internet específicos. Essa configuração permite que você crie um limite de rede seguro para seus aplicativos.

Você pode combinar regras de firewall que permitem o acesso de redes virtuais específicas e de intervalos de endereços IP públicos na mesma conta de armazenamento. As regras de firewall de armazenamento podem ser aplicadas a contas de armazenamento existentes ou durante a criação de contas de armazenamento.

As regras de firewall de armazenamento se aplicam ao ponto de extremidade público de uma conta de armazenamento. Você não precisa de nenhuma regra de acesso de firewall para permitir o tráfego para pontos de extremidade privados de uma conta de armazenamento. O processo de aprovar a criação de um ponto de extremidade privado concede acesso implícito ao tráfego da sub-rede que hospeda o ponto de extremidade privado.

As regras de rede são aplicadas em todos os protocolos de rede para o armazenamento do Azure, incluindo REST e SMB. Para acessar os dados usando ferramentas como o portal do Azure, o Gerenciador de Armazenamento e o AZCopy, é necessário configurar regras de rede explícitas.

Depois que as regras de rede são aplicadas, elas são impostas para todas as solicitações. Os tokens SAS que concedem acesso a um serviço de endereço IP específico limitam o acesso do proprietário do token, mas não concedem um novo acesso além das regras de rede configuradas.

O tráfego de disco da máquina virtual (incluindo as operações de montagem e desmontagem e E/S de disco) não é afetado pelas regras de rede. O acesso REST a blobs de página é protegido pelas regras de rede.

As contas de armazenamento clássicas não dão suporte a firewalls e redes virtuais.

Você pode usar discos não gerenciados nas contas de armazenamento com regras de rede aplicadas para fazer backup e restaurar VMs criando uma exceção. Esse processo está documentado na seção Gerenciar exceções deste artigo. Exceções de firewall não são aplicáveis com discos gerenciados, pois eles já são gerenciados pelo Azure.

Alterar a regra de acesso de rede padrão

Por padrão, as contas de armazenamento aceitam conexões de clientes em qualquer rede. Para limitar o acesso a redes selecionadas, primeiro você deve alterar a ação padrão.

Aviso

Fazer alterações em regras de rede pode afetar a capacidade de seus aplicativos se conectarem ao Armazenamento do Azure. Definir a regra de rede padrão como negar bloqueia todo o acesso aos dados, a menos que regras específicas de rede que concedam o acesso também sejam aplicadas. Certifique-se de conceder acesso a qualquer uma das redes permitidas usando regras de rede antes de alterar a regra padrão para negar o acesso.

Como alterar as regras de acesso de rede padrão

Você pode gerar as regras de acesso à rede padrão para contas de armazenamento através do portal do Azure, PowerShell ou CLIv2.

  1. Acesse a conta de armazenamento que você deseja proteger.

  2. Selecione Rede no menu configurações.

  3. Para negar o acesso por padrão, opte por permitir o acesso de Redes selecionadas. Para permitir o tráfego de todas as redes, opte por permitir o acesso de Todas as redes.

  4. Selecione Salvar para salvar suas alterações.

Conceder acesso de uma rede virtual

Você pode configurar as contas de armazenamento para permitir o acesso somente de sub-redes específicas. As sub-redes permitidas podem pertencer a uma VNet na mesma assinatura ou àquelas em uma assinatura diferente, incluindo assinaturas que pertençam a um locatário diferente do Azure Active Directory.

Habilitar um Ponto de extremidade de serviço do Armazenamento do Microsoft Azure dentro da VNet. O ponto de extremidade de serviço roteia o tráfego da VNet por meio de um caminho ideal para o serviço de Armazenamento do Azure. As identidades da rede virtual e da sub-rede também são transmitidas com cada solicitação. Em seguida, os administradores podem configurar as regras de rede para a conta de armazenamento que as solicitações sejam recebidas de sub-redes específicas em uma VNet. Os clientes com o acesso concedido por meio dessas regras de rede devem continuar a atender aos requisitos de autorização da conta de armazenamento para acessar os dados.

Cada conta de armazenamento dá suporte a até 200 regras de rede virtual que podem ser combinadas com regras de rede IP.

Regiões de rede virtual disponíveis

Em geral, os pontos de extremidade de serviço funcionam entre redes virtuais e instâncias de serviço na mesma região do Azure. Ao usar pontos de extremidade de serviço com o Armazenamento do Microsoft Azure, este escopo cresce para incluir a região emparelhada. Pontos de extremidade de serviço permitem continuidade durante um failover regional e acesso a instâncias de armazenamento com redundância geográfica somente leitura (RA-GRS). As regras de rede que concedem acesso de uma rede virtual para uma conta de armazenamento também concedem acesso a qualquer instância de RA-GRS.

Ao planejar a recuperação de desastre durante uma interrupção regional, você deve criar as VNets na região emparelhada com antecedência. Habilite pontos de extremidade de serviço para o Armazenamento do Microsoft Azure, com as regras de rede concedendo acesso dessas redes virtuais alternativas. Em seguida, aplica essas regras às contas de armazenamento com redundância geográfica.

Observação

Os Pontos de Extremidade de Serviço não se aplicam ao tráfego de fora da região da rede virtual e ao par da região designada. Você pode aplicar as regras de rede concedendo acesso das redes virtuais para as conta de armazenamento na região primária de uma conta de armazenamento ou na região emparelhada designada.

Permissões necessárias

Para aplicar uma regra da rede virtual a uma conta de armazenamento, o usuário deve ter permissão para as sub-redes sendo adicionadas. A aplicação de uma regra pode ser executada por um Colaborador da conta de armazenamento ou um usuário que tenha recebido permissão para a Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action operação do provedor de recursos do Azure por meio de uma função personalizada do Azure.

A conta de armazenamento e o acesso concedido às redes virtuais podem estar em assinaturas diferentes, incluindo assinaturas que são parte do mesmo locatário do Azure AD.

Observação

A configuração de regras que permitem acesso a sub-redes em redes virtuais que fazem parte de um locatário diferente do Azure Active Directory atualmente só é compatível por meio do PowerShell, da CLI e de APIs REST. Essas regras não podem ser configuradas por meio do portal do Azure, embora ele possa exibi-las.

Gerenciando regras da rede virtual

Você pode gerenciar as regras da rede virtual para contas de armazenamento através do portal do Azure, PowerShell ou CIv2.

  1. Acesse a conta de armazenamento que você deseja proteger.

  2. Selecione Rede no menu configurações.

  3. Certifique-se de que você optou por permitir o acesso de Redes selecionadas.

  4. Para conceder acesso a uma rede virtual com uma nova regra de rede, em Redes virtuais, selecione Adicionar rede virtual existente, selecione Redes virtuais e as opções Sub-redes e, em seguida, selecione Adicionar. Para criar uma nova rede virtual e conceder acesso, clique em Adicionar nova rede virtual. Forneça as informações necessárias para criar a nova rede virtual e, em seguida, clique em Criar.

    Observação

    Se um ponto de extremidade de Armazenamento do Microsoft Azure não foi configurado anteriormente para a rede virtual selecionada e as sub-redes, você pode configurá-lo como parte dessa operação.

    Atualmente, somente as redes virtuais que pertencem ao mesmo locatário do Azure Active Directory são mostradas para seleção durante a criação de regras. Para permitir acesso a uma sub-rede em uma rede virtual que pertence a outro locatário, use o PowerShell, a CLI ou as APIs REST.

  5. Para remover uma regra de rede virtual ou sub-rede, clique em ... para abrir o menu de contexto para a rede virtual ou sub-rede e clique em Remover.

  6. Selecione Salvar para aplicar suas alterações.

Conceder acesso de um intervalo de IP de Internet

Você pode usar regras de rede IP para permitir o acesso de intervalos de endereços IP públicos da Internet específicos criando regras de rede IP. Cada conta de armazenamento suporta até 200 regras. Essas regras concedem acesso a serviços específicos baseados na Internet e redes locais e bloqueia o tráfego geral da Internet.

As restrições a seguir se aplicam a intervalos de endereços IP.

  • As regras de rede IP são permitidas apenas para endereços IP públicos da internet.

    Intervalos de endereços IP reservados para redes privadas (conforme definido em RFC 1918) não são permitidos nas regras de IP. Redes privadas incluem endereços que começam com 10.* , 172.16.* - 172.31.* , e 192.168.* .

  • Forneça intervalos de endereços de Internet permitidos usando a notação CIDR no formulário 16.17.18.0/24 ou como endereços IP individuas como 16.17.18.19.

  • Os intervalos de endereços pequenos usando o prefixo "/31" ou "/32" não têm suporte. Esses intervalos devem ser configurados usando regras de endereço IP individuais.

  • Somente endereços IPV4 são compatíveis com a configuração de regras de firewall de armazenamento.

As regras de rede IP não podem ser usadas nos seguintes casos:

  • Para restringir o acesso a clientes na mesma região do Azure que a conta de armazenamento.

    As regras de rede IP não terão efeito sobre solicitações originadas da mesma região do Azure que a conta de armazenamento. Use as regras de rede Virtual para permitir solicitações da mesma região.

  • Para restringir o acesso a clientes em uma região emparelhada que está em uma VNet que tem um ponto de extremidade de serviço.

  • Para restringir o acesso aos serviços do Azure implantados na mesma região que a conta de armazenamento.

    Os serviços implantados na mesma região que a conta de armazenamento usam endereços IP privados do Azure para comunicação. Portanto, você não pode restringir o acesso a serviços específicos do Azure com base nos respectivos intervalos de endereços IP de saída públicos.

Configurando o acesso de redes locais

Para conceder acesso de suas redes locais para sua conta de armazenamento com uma regra de rede IP, você deve identificar os endereços IP voltados para Internet usados por sua rede. Entre em contato com o administrador de rede para obter ajuda.

Se você estiver usando ExpressRoute de suas instalações, para emparelhamento público ou emparelhamento da Microsoft, será necessário identificar os endereços IP NAT usados. Para emparelhamento público, cada circuito do ExpressRoute usará dois endereços IP de NAT, que serão aplicados ao tráfego do serviço do Azure quando o tráfego entrar no backbone da rede do Microsoft Azure. Para emparelhamento da Microsoft, os endereços IP de NAT usados são fornecidos pelo cliente ou são fornecidos pelo provedor de serviço. Para permitir o acesso aos recursos do serviço, você deve permitir estes endereços IP públicos na configuração do firewall de IP do recurso. Para localizar os endereços IP do circuito do ExpressRoute de emparelhamento público, abra um tíquete de suporte com o ExpressRoute por meio do Portal do Azure. Saiba mais sobre NAT para emparelhamento público de ExpressRoute e emparelhamento da Microsoft.

Gerenciando regras de rede IP

Você pode gerenciar as regras de rede IP para contas de armazenamento através do portal do Azure, PowerShell ou CIv2.

  1. Acesse a conta de armazenamento que você deseja proteger.

  2. Selecione Rede no menu configurações.

  3. Certifique-se de que você optou por permitir o acesso de Redes selecionadas.

  4. Para conceder acesso a um intervalo de IP de Internet, insira o endereço IP ou o intervalo de endereços (no formato CIDR) em Firewall > Intervalos de Endereços.

  5. Para remover uma regra de rede IP, clique no ícone de lixeira próximo do intervalo de endereço.

  6. Selecione Salvar para salvar suas alterações.

Conceder acesso de instâncias de recursos do Azure (versão prévia)

Em alguns casos, um aplicativo pode depender de recursos do Azure que não podem ser isolados por meio de uma rede virtual ou de uma regra de endereço IP. No entanto, você ainda gostaria de proteger e restringir o acesso à conta de armazenamento somente aos recursos do Azure de seu aplicativo. Você pode configurar contas de armazenamento para permitir o acesso a instâncias de recursos específicas de alguns serviços do Azure criando uma regra de instância de recurso.

Os tipos de operações que uma instância de recurso pode executar nos dados da conta de armazenamento são determinados pelas atribuições de função do Azure da instância de recurso. As instâncias de recurso devem ser do mesmo locatário como sua conta de armazenamento, mas podem pertencer a qualquer assinatura no locatário.

Observação

Esse recurso está em visualização prévia pública e está disponível em todas as regiões de nuvem pública.

Observação

Atualmente, há suporte para regras de instância de recurso apenas para Synapse do Azure. O suporte para outros serviços do Azure listados na seção Acesso confiável baseado em identidade gerenciada atribuída pelo sistema deste artigo estará disponível nas próximas semanas.

Você pode adicionar ou remover regras de rede de recursos no portal do Azure.

  1. Entre no portal do Azure para começar.

  2. Localize sua conta de armazenamento e exiba a visão geral dela.

  3. Selecione Rede para exibir a página de configuração para rede.

  4. Na lista suspensa Tipo de recurso, escolha o tipo de recurso de sua instância de recurso.

  5. Na lista suspensa Nome da instância, escolha a instância de recurso. Você também pode optar por incluir todas as instâncias de recurso no locatário ativo, na assinatura ou no grupo de recursos.

  6. Selecione Salvar para salvar suas alterações. A instância de recurso aparece na seção Instâncias de recurso da página de configurações de rede.

Para remover a instância de recurso, selecione o ícone excluir ( ) ao lado da instância de recurso.

Conceder acesso a serviços confiáveis do Azure

Alguns serviços do Azure operam a partir de redes que não podem ser incluídas em suas regras de rede. Você pode conceder, a um subconjunto desses serviços confiáveis do Azure, acesso à conta de armazenamento, mantendo as regras de rede para outros aplicativos. Esses serviços confiáveis usarão a autenticação forte para se conectar à sua conta de armazenamento com segurança.

Você pode conceder acesso a serviços confiáveis do Azure criando uma exceção de regra de rede. Para obter diretrizes passo a passo, consulte a seção Gerenciar exceções deste artigo.

Ao conceder acesso a serviços confiáveis do Azure, você concede os seguintes tipos de acesso:

  • Acesso confiável para operações select para recursos que são registrados em sua assinatura.
  • Acesso confiável a recursos com base na identidade gerenciada atribuída pelo sistema.

Acesso confiável para recursos registrados em sua assinatura

Os recursos de alguns serviços, quando registrados em sua assinatura, podem acessar sua conta de armazenamento na mesma assinatura para um conjunto limitado de operações, como gravar logs ou fazer backup. A tabela a seguir descreve cada serviço e as operações permitidas.

Serviço Nome do provedor de recursos Operações permitidas
Serviço de Backup do Azure Microsoft.RecoveryServices Execute backups e restaurações de discos não gerenciados em máquinas virtuais IAAS. (não é necessário para discos gerenciados). Saiba mais.
Azure Data Box Microsoft.DataBox Permite a importação de dados para o Azure usando o Data Box. Saiba mais.
Azure DevTest Labs Microsoft.DevTestLab Criação de imagem personalizada e instalação de artefato. Saiba mais.
Grade de Eventos do Azure Microsoft.EventGrid Habilite a publicação de eventos do Armazenamento de Blobs e permita que a Grade de Eventos publique em filas de armazenamento. Saiba mais sobre eventos de Armazenamento de Blobs e publicação em filas.
Hubs de eventos do Azure Microsoft.EventHub Arquivar dados com a Captura de Hubs de Evento. Saiba mais.
Sincronização de Arquivos do Azure Microsoft.StorageSync Permite transformar seu servidor de arquivos local em um cache para compartilhamentos de Arquivos do Azure. Isso permite a sincronização de vários sites, recuperação rápida de desastre e backup no lado da nuvem. Saiba mais
Azure HDInsight Microsoft.HDInsight Provisione o conteúdo inicial do sistema de arquivos padrão para um novo cluster HDInsight. Saiba mais.
Importação/Exportação do Azure Microsoft.ImportExport Permite a importação de dados para o Armazenamento do Azure e a exportação de dados do Armazenamento do Azure usando o serviço de Importação/Exportação do Armazenamento do Azure. Saiba mais.
Azure Monitor Microsoft.insights Permite gravar dados de monitoramento em uma conta de armazenamento protegida, incluindo logs de recursos, logs de entrada e de auditoria do Azure Active Directory e logs do Microsoft Intune. Saiba mais.
Rede do Azure Microsoft.Network Armazene e analise logs de tráfego de rede, incluindo por meio do observador de rede e serviços de Análise de Tráfego. Saiba mais.
Azure Site Recovery Microsoft.SiteRecovery Habilite a replicação para recuperação de desastre de máquinas virtuais de IaaS do Azure ao usar as contas de armazenamento de cache, origem ou destino habilitadas para firewall. Saiba mais.

Acesso confiável a recursos com base na identidade gerenciada atribuída pelo sistema

A tabela a seguir lista os serviços que podem ter acesso aos dados da sua conta de armazenamento se as instâncias de recurso desses serviços receberem a permissão apropriada. Para conceder permissão, você deve atribuir explicitamente uma função do Azure à identidade gerenciada atribuída pelo sistema para cada instância de recurso. Nesse caso, o escopo de acesso para a instância corresponde à função do Azure atribuída à identidade gerenciada.

Dica

A maneira recomendada para conceder acesso a recursos específicos é usar regras de instância de recurso. Para conceder acesso a instâncias de recurso específicas, consulte a seção Conceder acesso de instâncias de recursos do Azure (versão prévia) deste artigo.

Serviço Nome do provedor de recursos Finalidade
Gerenciamento de API do Azure Microsoft.ApiManagement/service Habilita o acesso do serviço de gerenciamento de API a contas de armazenamento por trás do firewall usando políticas. Saiba mais.
Pesquisa Cognitiva do Azure Microsoft.Search/searchServices Permite que os serviços do Cognitive Search acessem contas de armazenamento para indexação, processamento e consulta.
Serviços Cognitivos do Azure Microsoft.CognitiveService/accounts Permite que serviços cognitivos acessem contas de armazenamento.
Tarefas do Registro de Contêiner do Azure Microsoft.ContainerRegistry/registries As Tarefas do ACR podem acessar contas de armazenamento ao criar imagens de contêiner.
Fábrica de dados do Azure Microsoft.DataFactory/factories Permite o acesso a contas de armazenamento por meio do runtime do ADF.
Azure Data Share Microsoft.DataShare/accounts Permite o acesso a contas de armazenamento por meio do Data Share.
Azure DevTest Labs Microsoft.DevTestLab/labs Permite o acesso a contas de armazenamento por meio do DevTest Labs.
Hub IoT do Azure Microsoft.Devices/IotHubs Permite que os dados de um hub IoT sejam gravados no Armazenamento de Blobs. Saiba mais
Aplicativos Lógicos do Azure Microsoft.Logic/workflows Permite que os aplicativos lógicos acessem contas de armazenamento. Saiba mais.
Serviço do Azure Machine Learning Microsoft.MachineLearningServices Os workspaces autorizados do Azure Machine Learning gravam a saída, os modelos e os logs do experimento no Armazenamento de Blobs e leem os dados. Saiba mais.
Serviços de Mídia do Azure Microsoft.Media/mediaservices Permite o acesso a contas de armazenamento por meio dos Serviços de Mídia.
Migrações para Azure Microsoft.Migrate/migrateprojects Permite o acesso a contas de armazenamento por meio de Migrações para Azure.
Azure Purview Microsoft.Purview/accounts Permite que o Purview acesse contas de armazenamento.
Azure Remote Rendering Microsoft.MixedReality/remoteRenderingAccounts Permite o acesso a contas de armazenamento por meio de Remote Rendering.
Azure Site Recovery Microsoft.RecoveryServices/vaults Permite o acesso a contas de armazenamento por meio do Site Recovery.
Banco de Dados SQL do Azure Microsoft.Sql Permite gravar dados de auditoria em contas de armazenamento por trás do firewall.
Azure Synapse Analytics Microsoft.Sql Permite a importação e a exportação de dados de bancos de dado SQL específicos usando a instrução de cópia ou o PolyBase (no pool dedicado) ou a openrowset função e tabelas externas no pool sem servidor. Saiba mais.
Stream Analytics do Azure Microsoft.StreamAnalytics Permite que os dados de um trabalho de streaming sejam gravados no Armazenamento de Blobs. Saiba mais.
Azure Synapse Analytics Microsoft.Synapse/workspaces Habilita o acesso a dados no Armazenamento do Azure do Azure Synapse Analytics.

Conceder acesso à análise de armazenamento

Em alguns casos, o acesso para ler as métricas e logs de recurso é necessário de fora do limite de rede. Ao configurar o acesso de serviços confiáveis à conta de armazenamento, você pode permitir o acesso de leitura aos arquivos de log, às tabelas de métricas ou a ambos criando uma exceção de regra de rede. Para obter diretrizes passo a passo, consulte a seção Gerenciar exceções deste artigo. Para saber mais sobre como trabalhar com a análise de armazenamento, consulte Usar a análise de armazenamento do Azure para coletar dados de logs e métricas.

Gerenciar exceções

Você pode gerenciar as exceções de regra da rede através do portal do Azure, PowerShell ou CLI do Azure v2.

  1. Acesse a conta de armazenamento que você deseja proteger.

  2. Selecione Rede no menu configurações.

  3. Certifique-se de que você optou por permitir o acesso de Redes selecionadas.

  4. Em Exceções, selecione as exceções que deseja conceder.

  5. Selecione Salvar para salvar suas alterações.

Próximas etapas

Saiba mais sobre os Pontos de Extremidade do Serviço de Rede do Azure em Pontos de Extremidade de Serviço.

Aprofunde-se na segurança do Armazenamento do Microsoft Azure no Guia de segurança do Armazenamento do Azure.