Use pontos finais privados para a Azure Armazenamento

Pode utilizar pontos finais privados para as suas contas Azure Armazenamento para permitir que os clientes de uma rede virtual (VNet) acedam de forma segura a dados ao longo de um Private Link. O ponto final privado utiliza um endereço IP separado do espaço de endereço VNet para cada serviço de conta de armazenamento. O tráfego de rede entre os clientes no VNet e a conta de armazenamento atravessa o VNet e uma ligação privada na rede de espinha dorsal da Microsoft, eliminando a exposição da internet pública.

Nota

Os pontos finais privados não estão disponíveis para contas de armazenamento V1 para fins gerais.

A utilização de pontos finais privados para a sua conta de armazenamento permite-lhe:

  • Proteja a sua conta de armazenamento configurando a firewall de armazenamento para bloquear todas as ligações no ponto final público para o serviço de armazenamento.
  • Aumentar a segurança para a rede virtual (VNet), permitindo-lhe bloquear a exfiltração de dados a partir do VNet.
  • Conectar-se de forma segura às contas de armazenamento de redes no local que se ligam ao VNet utilizando VPN ou ExpressRoutes com observação privada.

Descrição geral conceptual

Overview of private endpoints for Azure Storage

Um ponto final privado é uma interface de rede especial para um serviço Azure na sua Rede Virtual (VNet). Quando cria um ponto final privado para a sua conta de armazenamento, ele fornece uma conectividade segura entre os clientes no seu VNet e o seu armazenamento. O ponto final privado é atribuído um endereço IP a partir do intervalo de endereço IP do seu VNet. A ligação entre o ponto final privado e o serviço de armazenamento utiliza uma ligação privada segura.

As aplicações no VNet podem ligar-se ao serviço de armazenamento através do ponto final privado sem problemas, utilizando as mesmas cordas de ligação e mecanismos de autorização que utilizariam de outra forma. Os pontos finais privados podem ser utilizados com todos os protocolos suportados pela conta de armazenamento, incluindo REST e SMB.

Os pontos finais privados podem ser criados em sub-redes que utilizam pontos finais de serviço. Os clientes numa sub-rede podem assim ligar-se a uma conta de armazenamento utilizando o ponto final privado, enquanto utilizam pontos finais de serviço para aceder a outros.

Quando cria um ponto final privado para um serviço de armazenamento na VNet, é enviado um pedido de consentimento para aprovação ao proprietário da conta de armazenamento. Se o utilizador que está a pedir a criação do ponto final privado for também um proprietário da conta de armazenamento, este pedido de consentimento é aprovado automaticamente.

Armazenamento os proprietários de conta podem gerir os pedidos de consentimento e os pontos finais privados através do separador "Pontos finais privados" para a conta de armazenamento no portal do Azure.

Dica

Se pretender restringir o acesso à sua conta de armazenamento apenas através do ponto final privado, configunja a firewall de armazenamento para negar ou controlar o acesso através do ponto final público.

Pode proteger a sua conta de armazenamento para apenas aceitar ligações do seu VNet configurando a firewall de armazenamento para negar o acesso através do seu ponto final público por padrão. Não é necessária uma regra de firewall para permitir o tráfego a partir de um VNet que tem um ponto final privado, uma vez que a firewall de armazenamento apenas controla o acesso através do ponto final público. Em vez disso, os pontos finais privados dependem do fluxo de consentimento para a concessão de acesso às sub-redes ao serviço de armazenamento.

Nota

Ao copiar bolhas entre contas de armazenamento, o seu cliente deve ter acesso à rede a ambas as contas. Por isso, se optar por utilizar um link privado para apenas uma conta (seja a fonte ou o destino), certifique-se de que o seu cliente tem acesso à rede à outra conta. Para saber mais sobre outras formas de configurar o acesso à rede, consulte o Configure Azure Armazenamento firewalls e redes virtuais.

Criação de um ponto final privado

Para criar um ponto final privado utilizando o Portal Azure, consulte Ligação em privado numa conta de armazenamento da experiência Armazenamento Conta na portal do Azure.

Para criar um ponto final privado utilizando o PowerShell ou o Azure CLI, consulte qualquer um destes artigos. Ambos possuem uma aplicação web Azure como o serviço alvo, mas os passos para criar uma ligação privada são os mesmos para uma conta Armazenamento Azure.

Quando criar um ponto final privado, deve especificar a conta de armazenamento e o serviço de armazenamento a que se liga.

Você precisa de um ponto final privado separado para cada recurso de armazenamento que você precisa para aceder, nomeadamente Blobs, Data Lake Storage Gen2, Arquivos, Filas, Tabelas ou Websites Estáticos. No ponto final privado, estes serviços de armazenamento são definidos como o sub-recurso-alvo da conta de armazenamento associada.

Se criar um ponto final privado para o Data Lake Storage Gen2 recurso de armazenamento, então também deve criar um para o recurso de armazenamento Blob. Isso porque as operações que visam o ponto final Data Lake Storage Gen2 podem ser redirecionadas para o ponto final blob. Ao criar um ponto final privado para ambos os recursos, você garante que as operações podem completar com sucesso.

Dica

Crie um ponto final privado separado para a instância secundária do serviço de armazenamento para um melhor desempenho nas contas RA-GRS. Certifique-se de criar uma conta de armazenamento v2 (Standard ou Premium).

Para ler o acesso à região secundária com uma conta de armazenamento configurada para armazenamento geo-redundante, precisa de pontos finais privados separados para as instâncias primárias e secundárias do serviço. Não é preciso criar um ponto final privado para a segunda instância para o fracasso. O ponto final privado liga-se automaticamente à nova instância primária após a falha. Para obter mais informações sobre as opções de despedimento de armazenamento, consulte a Azure Armazenamento redundância.

Ligação a um ponto final privado

Os clientes de um VNet que utilizem o ponto final privado devem utilizar a mesma cadeia de ligação para a conta de armazenamento que os clientes que se ligam ao ponto final público. Contamos com a resolução do DNS para encaminhar automaticamente as ligações do VNet para a conta de armazenamento por um link privado.

Importante

Utilize o mesmo fio de ligação para ligar à conta de armazenamento utilizando pontos finais privados como utilizaria de outra forma. Por favor, não se conecte à conta de armazenamento usando o seu privatelink URL de subdomínio.

Por predefinição, criamos uma zona de DNS privada anexada ao VNet com as atualizações necessárias para os pontos finais privados. No entanto, se estiver a utilizar o seu próprio servidor DNS, poderá ter de es para fazer alterações adicionais na sua configuração DNS. A secção sobre DNS altera as alterações abaixo descreve as atualizações necessárias para os pontos finais privados.

DNS alterações para pontos finais privados

Quando se cria um ponto final privado, o registo de recursos DNS CNAME para a conta de armazenamento é atualizado para um pseudónimo num subdomínio com o prefixo privatelink. Por padrão, também criamos uma zona privada de DNS, correspondente ao privatelink subdomínio, com os registos de recursos DNS A para os pontos finais privados.

Quando resolve o URL do ponto final de armazenamento de fora do VNet com o ponto final privado, ele resolve para o ponto final público do serviço de armazenamento. Quando resolvido a partir do VNet que hospeda o ponto final privado, o URL do ponto final de armazenamento resolve-se para o endereço IP do ponto final privado.

Para o exemplo ilustrado acima, os registos de recursos DNS para a conta de armazenamento 'StorageAccountA', quando resolvidos fora do VNet que alberga o ponto final privado, serão:

Nome Tipo Valor
StorageAccountA.blob.core.windows.net CNAME StorageAccountA.privatelink.blob.core.windows.net
StorageAccountA.privatelink.blob.core.windows.net CNAME <serviço de armazenamento ponto final público>
<serviço de armazenamento ponto final público> A <endereço IP público do serviço de armazenamento>

Como mencionado anteriormente, pode negar ou controlar o acesso a clientes fora do VNet através do ponto final público utilizando a firewall de armazenamento.

Os registos de recursos DNS para StorageAccountA, quando resolvidos por um cliente no VNet que hospeda o ponto final privado, serão:

Nome Tipo Valor
StorageAccountA.blob.core.windows.net CNAME StorageAccountA.privatelink.blob.core.windows.net
StorageAccountA.privatelink.blob.core.windows.net A 10.1.1.5

Esta abordagem permite o acesso à conta de armazenamento utilizando a mesma cadeia de ligação para clientes no VNet que hospeda os pontos finais privados, bem como clientes fora do VNet.

Se estiver a utilizar um servidor DNS personalizado na sua rede, os clientes devem ser capazes de resolver o FQDN para o ponto final da conta de armazenamento para o endereço IP do ponto final privado. Deverá configurar o seu servidor DNS para delegar o seu subdomínio de ligação privada para a zona privada de DNS para o VNet, ou configurar os registos A para StorageAccountA.privatelink.blob.core.windows.net com o endereço IP do ponto final privado.

Dica

Ao utilizar um servidor DNS personalizado ou no local, deverá configurar o seu servidor DNS para resolver o nome da conta de armazenamento no privatelink subdomínio para o endereço IP do ponto final privado. Pode fazê-lo delegando o privatelink subdomínio para a zona privada de DNS do VNet ou configurando a zona DNS no seu servidor DNS e adicionando os registos DNS A.

Os nomes recomendados para os pontos finais privados para serviços de armazenamento e os sub-recursos-alvo de ponto final associados são:

serviço Armazenamento Recurso secundário de destino Nome da zona
Serviço Blob blob privatelink.blob.core.windows.net
Data Lake Storage Gen2 dfs privatelink.dfs.core.windows.net
Serviço de arquivo file privatelink.file.core.windows.net
Serviço de fila fila privatelink.queue.core.windows.net
Serviço de mesa table privatelink.table.core.windows.net
Websites estáticos web privatelink.web.core.windows.net

Para obter mais informações sobre a configuração do seu próprio servidor DNS para suportar pontos finais privados, consulte os seguintes artigos:

Preços

Para mais detalhes sobre os preços, consulte Azure Private Link preços.

Problemas Conhecidos

Tenha em mente as seguintes questões conhecidas sobre pontos finais privados para a Azure Armazenamento.

Armazenamento restrições de acesso para clientes em VNets com pontos finais privados

Os clientes em VNets com pontos finais privados existentes enfrentam constrangimentos ao aceder a outras contas de armazenamento que tenham pontos finais privados. Por exemplo, suponha que um VNet N1 tenha um ponto final privado para uma conta de armazenamento A1 para armazenamento Blob. Se a conta de armazenamento A2 tiver um ponto final privado num VNet N2 para armazenamento Blob, então os clientes em VNet N1 também devem aceder ao armazenamento blob na conta A2 usando um ponto final privado. Se a conta de armazenamento A2 não tiver quaisquer pontos finais privados para armazenamento Blob, então os clientes no VNet N1 podem aceder ao armazenamento blob nessa conta sem um ponto final privado.

Este constrangimento resulta das alterações ao DNS escamuado quando a conta A2 cria um ponto final privado.

Network Security Group rules for subnets with private endpoints (Regras do Grupo de Segurança de Rede para sub-redes com pontos de extremidade privados)

Atualmente, não é possível configurar as regras do Grupo de Segurança da Rede (NSG) e as rotas definidas pelo utilizador para pontos finais privados. As regras NSG aplicadas à sub-rede que hospeda o ponto final privado não são aplicadas ao ponto final privado. São aplicados apenas a outros pontos finais (por exemplo: controladores de interface de rede). Uma solução limitada para esta questão é implementar as suas regras de acesso a pontos finais privados nas sub-redes de origem, embora esta abordagem possa exigir uma maior sobrecarga de gestão.

Cópia de bolhas entre contas de armazenamento

Só pode copiar bolhas entre contas de armazenamento utilizando pontos finais privados se utilizar a API Azure REST ou ferramentas que utilizem a API REST REST. Estas ferramentas incluem AzCopy, Explorador de Armazenamento, Azure PowerShell, Azure CLI, e os Armazenamento de Blobs do Azure SDKs.

Apenas os pontos finais privados que visam o recurso blob são suportados. Os pontos finais privados que visam o Data Lake Storage Gen2 ou o recurso File ainda não estão suportados. Além disso, a cópia entre contas de armazenamento utilizando o protocolo Sistema de Ficheiros de Rede (NFS) ainda não está suportada.

Passos seguintes