Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Прежде чем реализовать сетевую безопасность для учетных записей хранения, ознакомьтесь с важными ограничениями и рекомендациями в этом разделе.
Общие рекомендации и ограничения
Правила брандмауэра службы хранилища Azure применяются только к операциям плоскости данных . Операции уровня управления не применяются к ограничениям, указанным в правилах брандмауэра.
Чтобы получить доступ к данным с помощью таких средств, как портал Azure, служба хранилища Azure Explorer и AzCopy, необходимо находиться на компьютере в пределах доверенной границы, которая устанавливается при настройке правил безопасности сети.
Некоторые операции, такие как операции контейнера блоков данных, можно выполнять как через плоскость управления, так и через плоскость данных. Если вы пытаетесь выполнить операцию, например перечисление контейнеров на портале Azure, операция завершается успешно, если она не заблокирована другим механизмом. Попытки доступа к BLOB-данным из приложений, таких как Azure Storage Explorer, контролируются ограничениями брандмауэра.
Список операций с плоскостью данных см. в справочнике по REST API Azure Storage.
Для получения списка операций уровня управления см. справочник по REST API поставщика ресурсов Azure Storage.
Правила сети применяются ко всем сетевым протоколам для хранилища Azure, включая REST и SMB.
Правила сети не влияют на трафик дисков виртуальной машины (ВМ), включая операции монтирования и размонтирования и операции ввода-вывода диска, но они помогают защитить доступ к BLOB-объектам страницы через REST.
Вы можете использовать неуправляемые диски в учетных записях хранения с правилами сети, применяемыми для резервного копирования и восстановления виртуальных машин, создав исключение. Исключения брандмауэра не применяются к управляемым дискам, так как Azure уже управляет ими.
Если вы удалите подсеть, которая включена в правило виртуальной сети, то она будет удалена из сетевых правил, применяемых к учетной записи хранения. При создании новой подсети с тем же именем он не будет иметь доступа к учетной записи хранения. Чтобы разрешить ей доступ, необходимо явно авторизовать новую подсеть в правилах сети для учетной записи хранения.
При ссылке на конечную точку службы в клиентском приложении рекомендуется избегать использования зависимостей от кэшированного IP-адреса. IP-адрес учетной записи хранения может быть изменен, и использование кэшированного IP-адреса может привести к неожиданному поведению. Кроме того, рекомендуется учитывать время жизни (TTL) записи DNS и не переопределять ее. Переопределение срока жизни DNS может привести к непредвиденному поведению.
По умолчанию доступ к учетной записи хранения из доверенных служб имеет высший приоритет над другими ограничениями сетевого доступа. Если вы настроили доступ к общедоступной сети отключенным после ранее заданного значения "Включено" из выбранных виртуальных сетей и IP-адресов, все экземпляры ресурсов и исключения, настроенные ранее, включая разрешение служб Azure в списке доверенных служб для доступа к этой учетной записи хранения, останутся в силе. В результате эти ресурсы и службы могут по-прежнему иметь доступ к учетной записи хранения.
Даже если вы отключите доступ к общедоступной сети, вы можете по-прежнему получать предупреждение от Microsoft Defender для службы хранилища или от Помощника по Azure, которое рекомендует ограничить доступ с помощью правил виртуальной сети. Это может произойти в случаях, когда вы отключите общедоступный доступ с помощью шаблона. Свойство defaultAction остается равным Allow , даже если для свойства PublicNetworkAccessзадано значение Disabled. Хотя свойство PublicNetworkAccess имеет приоритет, такие средства, как Microsoft Defender, также сообщают о значении свойства defaultAction . Чтобы устранить эту проблему, используйте шаблон для задания свойства defaultActionзапрета или отключения общедоступного доступа с помощью таких средств, как портал Azure, PowerShell или Azure CLI. Эти средства автоматически изменяют свойство defaultAction на значение Deny для вас.
Ограничения для правил IP-сети
Сетевые правила для IP-адресов можно применять только для общедоступных IP-адресов в Интернете.
Диапазоны IP-адресов, зарезервированные для частных сетей (как определено в документе RFC 1918), запрещено использовать в правилах IP. Частные сети включают адреса, начинающиеся с 10, 172.16 до 172.31 и 192.168.
Необходимо предоставить допустимые диапазоны адресов Интернета с помощью нотации CIDR в форме 16.17.18.0/24 или в качестве отдельных IP-адресов, таких как 16.17.18.19.
Небольшие диапазоны адресов, использующие размеры префикса /31 или /32, не поддерживаются. Настройте эти диапазоны с помощью отдельных правил IP-адресов.
Для настройки правил брандмауэра хранилища поддерживаются только адреса IPv4.
Правила IP-сети нельзя использовать для ограничения доступа к клиентам в том же регионе Azure, что и учетная запись хранения. Правила IP-сети не влияют на запросы, исходящие из того же региона Azure, что и учетная запись хранения. Используйте правила виртуальной сети для разрешения запросов из того же региона.
Правила IP-сети нельзя использовать для ограничения доступа к клиентам в парном регионе , который находятся в виртуальной сети с конечной точкой службы.
Правила IP-сети нельзя использовать для ограничения доступа к службам Azure, развернутыми в том же регионе, что и учетная запись хранения.
Службы, развернутые в том же регионе, что и учетная запись хранения, используют для связи частные IP-адреса Azure. Поэтому вы не можете ограничить доступ к определенным службам Azure на основе диапазона общедоступных исходящих IP-адресов.
Дальнейшие шаги
- Дополнительные сведения о конечных точках службы сети Azure.
- Углубитесь в изучение рекомендаций по безопасности для хранения объектов Blob Azure.