Schützen von Speicherendpunkten

  • 4 Minuten

Im Azure-Portal erfordert jeder Azure Dienst bestimmte Schritte zum Konfigurieren der Dienstendpunkte und zum Einschränken des Netzwerkzugriffs.

Um auf diese Einstellungen für Ihr Speicherkonto zuzugreifen, verwenden Sie die Einstellungen Firewalls und virtuelle Netzwerke. Sie fügen die virtuellen Netzwerke hinzu, die Zugriff auf den Dienst für das Konto haben sollten. – Diese Einstellung schränkt den Zugriff auf Ihr Speicherkonto von bestimmten Subnetzen in virtuellen Netzwerken oder öffentlichen IP-Adressen ein.

Screenshot der Einstellungen für Speicherkontofirewalls und virtuelle Netzwerke im Azure portal.

Die Dienstendpunkte für ein Speicherkonto stellen die Basis-URL für jedes Blob-, Warteschlangen-, Tabellen- oder Dateiobjekt in Azure Storage bereit. Verwenden Sie diese Basis-URL zum Erstellen der Adresse für eine beliebige Ressource.

Screenshot der Dienstendpunkt-URLs im Azure portal.

Wissenswerte Aspekte beim Konfigurieren von Dienstendpunkten

Nachfolgend finden Sie einige Aspekte, die beim Konfigurieren von Dienstzugriffseinstellungen zu berücksichtigen sind:

  • Sie können den Dienst so konfigurieren, dass der Zugriff auf einen oder mehrere öffentliche IP-Adressbereiche zulässig ist.

  • Subnetze und virtuelle Netzwerke müssen in demselben Azure Region oder Region-Paar wie Ihr Speicherkonto vorhanden sein.

Wichtig

Testen Sie den Dienstendpunkt, und überprüfen Sie, ob der Endpunkt den Zugriff wie erwartet einschränkt.

Wichtige Informationen zum Konfigurieren privater Endpunkte

Neben Dienstendpunkten unterstützt Azure Storage private Endpunkte für erhöhte Sicherheit und Netzwerkisolation. Private Endpunkte sind der empfohlene Ansatz für Produktionsworkloads, die einen sicheren Zugriff erfordern.

Ein privater Endpunkt verwendet eine private IP-Adresse aus Ihrem virtuellen Netzwerk, um den Azure Storage Dienst in Ihr VNet zu übertragen. Der gesamte Datenverkehr zwischen Ihrem VNet und dem Speicherdienst läuft über das Microsoft-Backbone-Netzwerk, wodurch eine Exposition gegenüber dem öffentlichen Internet vermieden wird.

Wichtige Unterschiede von Dienstendpunkten

  • Private Endpunkte weisen dem Speicherkonto eine private IP von Ihrem VNet zu, wobei der gesamte Datenverkehr im Microsoft Backbone beibehalten wird. Verwenden privater Endpunkte für Produktionsworkloads, die vollständige Netzwerkisolation und Complianceanforderungen erfordern

  • Dienstendpunkte behalten das Speicherkonto auf seinem öffentlichen Endpunkt bei, beschränken jedoch den Zugriff auf bestimmte VNets und Subnetze. Verwenden von Dienstendpunkten für Entwicklungsszenarien oder wenn Sie eine einfachere Konfiguration mit einem öffentlichen Internetzugriff benötigen

Tipp

Erfahren Sie mehr über das Sichern und Isolierung des Zugriffs auf Azure-Ressourcen mithilfe von Netzwerksicherheitsgruppen und Dienstendpunkten Schulungsmodul. Dieses Modul verfügt über eine Sandbox, in der Sie den Zugriff auf Azure Storage mithilfe von Dienstendpunkten einschränken können.