Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Le regole del firewall di Archiviazione di Azure forniscono un controllo granulare sull'accesso di rete all'endpoint pubblico dell'account di archiviazione. Per impostazione predefinita, gli account di archiviazione consentono le connessioni da qualsiasi rete, ma è possibile limitare l'accesso configurando le regole di rete che definiscono quali origini possono connettersi all'account di archiviazione.
È possibile configurare quattro tipi di regole di rete:
- Regole di rete virtuale: consentire il traffico da subnet specifiche all'interno di reti virtuali di Azure
- Regole di rete IP: consentire il traffico da intervalli di indirizzi IP pubblici specifici
- Regole dell'istanza delle risorse: consente il traffico da istanze di risorse di Azure specifiche che non possono essere isolate tramite regole di rete virtuale o IP
- Eccezioni per servizi affidabili: Il traffico dai servizi specifici di Azure che operano al di fuori del confine della rete è consentito
Quando le regole di rete sono configurate, solo il traffico proveniente da origini consentite in modo esplicito può accedere all'account di archiviazione tramite l'endpoint pubblico. Tutto l'altro traffico viene negato.
Note
I client che effettuano richieste da origini consentite devono soddisfare anche i requisiti di autorizzazione dell'account di archiviazione. Per altre informazioni sull'autorizzazione dell'account, vedere Autorizzare l'accesso ai dati in Archiviazione di Azure.
Regole della rete virtuale
È possibile abilitare il traffico dalle subnet in qualsiasi rete virtuale di Azure. La rete virtuale può provenire da qualsiasi sottoscrizione associata a qualsiasi tenant di Microsoft Entra in qualsiasi regione di Azure. Per abilitare il traffico da una subnet, aggiungere una regola di rete virtuale. È possibile aggiungere fino a 400 regole di rete virtuale per ogni account di archiviazione.
Nelle impostazioni della rete virtuale della subnet è necessario abilitare anche un endpoint di servizio di rete virtuale. Questo endpoint è progettato per fornire connettività sicura e diretta all'account di archiviazione.
Quando si creano regole di rete usando il portale di Azure, questi endpoint di servizio vengono creati automaticamente quando si seleziona ogni subnet di destinazione. PowerShell e l'interfaccia della riga di comando di Azure forniscono comandi che è possibile usare per crearli manualmente. Per altre informazioni sugli endpoint di servizio, vedere Endpoint del servizio della rete virtuale.
La tabella seguente descrive ogni tipo di endpoint di servizio che è possibile abilitare per Archiviazione di Azure:
Endpoint servizio | Nome risorsa | Descrizione |
---|---|---|
Endpoint di Archiviazione di Azure | Microsoft.Storage | Fornisce connettività agli account di archiviazione nella stessa area della rete virtuale. |
Endpoint del servizio interregionale di Archiviazione di Azure | Microsoft.Storage.Global | Fornisce connettività agli account di archiviazione in qualsiasi area. |
Note
È possibile associare solo uno di questi tipi di endpoint a una subnet. Se uno di questi endpoint è già associato alla subnet, è necessario eliminare tale endpoint prima di aggiungere l'altro.
Per informazioni su come configurare una regola di rete virtuale e abilitare gli endpoint di servizio, vedere Creare una regola di rete virtuale per Archiviazione di Azure.
Accesso da un'area abbinata
Gli endpoint di servizio funzionano anche tra reti virtuali e istanze del servizio in un'area abbinata.
La configurazione degli endpoint di servizio tra reti virtuali e istanze del servizio in un'area abbinata può essere una parte importante del piano di ripristino di emergenza. Gli endpoint di servizio consentono la continuità durante un failover a livello di area e forniscono l'accesso alle istanze di archiviazione con ridondanza geografica di sola lettura (RA-GRS). Le regole di rete virtuale che concedono l'accesso da una rete virtuale a un account di archiviazione concedono anche l'accesso a qualsiasi istanza di RA-GRS.
Quando si pianifica il recupero di emergenza durante un'interruzione regionale, creare in anticipo le reti virtuali nella regione associata. Abilitare gli endpoint di servizio per Azure Storage con regole di rete che concedono l'accesso da reti virtuali alternative. Applicare quindi le regole agli account di archiviazione con ridondanza geografica.
Regole di rete IP
Per i client e i servizi che non si trovano in una rete virtuale, è possibile abilitare il traffico creando regole di rete IP. Ogni regola di rete IP abilita il traffico da un intervallo di indirizzi IP pubblico specifico. Ad esempio, se un client di una rete locale deve accedere ai dati di archiviazione, è possibile creare una regola che includa l'indirizzo IP pubblico di tale client. Ogni account di archiviazione supporta fino a 400 regole di rete IP.
Per informazioni su come creare regole di rete IP, vedere Creare una regola di rete IP per Archiviazione di Azure.
Se si abilita un endpoint di servizio per una subnet, il traffico proveniente da tale subnet non userà un indirizzo IP pubblico per comunicare con un account di archiviazione. Invece, tutto il traffico usa un indirizzo IP privato come INDIRIZZO IP di origine. Di conseguenza, le regole di rete IP che consentono il traffico da tali subnet non hanno più alcun effetto.
I token di firma di accesso condiviso che concedono l'accesso a un indirizzo IP specifico hanno lo scopo di limitare l'accesso del titolare del token, ma non concedono nuovi accessi oltre le regole di rete configurate.
Importante
Alcune restrizioni si applicano agli intervalli di indirizzi IP. Per un elenco delle restrizioni, vedere Restrizioni per le regole di rete IP.
Accesso da una rete locale
È possibile abilitare il traffico da una rete locale usando una regola di rete IP. In primo luogo, è necessario identificare gli indirizzi IP con connessione Internet usati dalla rete. Per assistenza, contattare l'amministratore di rete.
Se si usa Azure ExpressRoute dall'ambiente locale, è necessario identificare gli indirizzi IP NAT usati per il peering Microsoft. Il provider di servizi o il cliente fornisce gli indirizzi IP NAT.
Per consentire l'accesso alle risorse del servizio, è necessario consentire questi indirizzi IP pubblici nell'impostazione del firewall per gli INDIRIZZI IP delle risorse.
Regole dell'istanza di risorse di Azure
Alcune risorse di Azure non possono essere isolate tramite una rete virtuale o una regola di indirizzo IP. È possibile abilitare il traffico da tali risorse creando una regola di rete dell'istanza di risorsa. Le assegnazioni di ruolo di Azure dell'istanza della risorsa determinano i tipi di operazioni che l'istanza della risorsa può eseguire sui dati dell'account di archiviazione. Le istanze delle risorse devono appartenere allo stesso tenant dell'account di archiviazione, ma possono appartenere a qualsiasi sottoscrizione all'interno del tenant.
Per informazioni su come configurare una regola per istanza di risorsa, consulta Crea una regola di rete per istanza di risorsa in Archiviazione di Azure.
Eccezioni per i servizi di Azure attendibili
Se è necessario abilitare il traffico da un servizio di Azure all'esterno del limite di rete, è possibile aggiungere un'eccezione di sicurezza di rete. Ciò può essere utile quando un servizio di Azure opera da una rete che non è possibile includere nella rete virtuale o nelle regole di rete IP. Ad esempio, alcuni servizi potrebbero dover leggere i log delle risorse e le metriche nell'account. È possibile consentire l'accesso in lettura per i file di log, le tabelle delle metriche o entrambi creando un'eccezione di regola di rete. Questi servizi si connettono all'account di archiviazione usando l'autenticazione avanzata.
Per altre informazioni su come aggiungere un'eccezione di sicurezza di rete, vedere Gestire le eccezioni di sicurezza di rete.
Per un elenco completo dei servizi di Azure per cui è possibile abilitare il traffico, vedere Servizi di Azure attendibili.
Restrizioni e considerazioni
Prima di implementare la sicurezza di rete per gli account di archiviazione, assicurarsi di esaminare tutte le restrizioni e le considerazioni. Per un elenco completo, vedere Restrizioni e limitazioni per il firewall di Archiviazione di Azure e la configurazione della rete virtuale.