Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Il perimetro di sicurezza di rete consente alle organizzazioni di definire un limite di isolamento della rete logica per le risorse PaaS, ad esempio File di Azure distribuiti all'esterno delle reti virtuali. Questa funzionalità limita l'accesso alla rete pubblica alle risorse PaaS all'esterno del perimetro. È tuttavia possibile esentare l'accesso usando regole di accesso esplicite per il traffico pubblico in ingresso e in uscita. Ciò consente di evitare l'esfiltrazione di dati indesiderata dalle risorse di archiviazione. All'interno di un perimetro di sicurezza di rete, le risorse membro possono comunicare liberamente tra loro. Le regole del perimetro di sicurezza di rete sostituiscono le impostazioni del firewall dell'account di archiviazione. L'accesso dall'interno del perimetro ha la precedenza più alta rispetto ad altre restrizioni di rete.
L'elenco dei servizi di cui è stato eseguito l'onboarding nel perimetro di sicurezza di rete è disponibile qui. Se un servizio non è elencato, non è ancora stato eseguito l'onboarding. Per consentire l'accesso a una risorsa specifica da un servizio non di cui è stato eseguito l'onboarding, è possibile creare una regola basata su sottoscrizione per il perimetro di sicurezza di rete. Una regola basata su sottoscrizione concede l'accesso a tutte le risorse all'interno di tale sottoscrizione. Per informazioni dettagliate su come aggiungere una regola di accesso basata su sottoscrizione, vedere questa documentazione.
Modalità di accesso
Quando si esegue l'onboarding degli account di archiviazione in un perimetro di sicurezza di rete, è possibile iniziare in modalità Transizione (in precedenza modalità di apprendimento) o passare direttamente alla modalità Forzata. La modalità di transizione (modalità di accesso predefinita) consente all'account di archiviazione di eseguire il fallback alle regole del firewall esistenti o alle impostazioni dei servizi attendibili se una regola perimetrale non consente ancora una connessione. La modalità applicata blocca rigorosamente tutto il traffico pubblico in ingresso e in uscita, a meno che non sia esplicitamente consentito da una regola perimetrale di sicurezza di rete, garantendo la massima protezione per l'account di archiviazione. In modalità imposta le eccezioni del servizio attendibile di Azure non vengono considerate. Le risorse di Azure pertinenti o le sottoscrizioni specifiche devono essere consentite in modo esplicito tramite regole perimetrali. Per altre informazioni, vedere Transizione a un perimetro di sicurezza della rete in Azure.
Importante
Gli account di archiviazione operativi in modalità transizione devono essere usati solo come passaggio transitorio. Gli attori malintenzionati potrebbero sfruttare risorse non protette per esfiltrare i dati. Pertanto, è fondamentale passare a una configurazione completamente sicura il prima possibile con la modalità di accesso impostata su Forzata.
Priorità Rete
Quando un account di archiviazione fa parte di un perimetro di sicurezza di rete, le regole di accesso del profilo pertinenti sostituiscono le impostazioni del firewall dell'account, diventando il gatekeeper di rete di primo livello. L'accesso consentito o negato dal perimetro ha la precedenza e le impostazioni delle reti consentite dell'account di archiviazione vengono ignorate quando l'account di archiviazione è associato in modalità imposta. La rimozione dell'account di archiviazione da un perimetro di sicurezza della rete ripristina il controllo al firewall normale. I perimetri di sicurezza di rete non influiscono sul traffico degli endpoint privati. Le connessioni tramite collegamento privato hanno sempre esito positivo. Per i servizi interni di Azure (servizi attendibili), solo i servizi di cui è stato eseguito l'onboarding esplicito nel perimetro di sicurezza di rete sono consentiti tramite regole di accesso perimetrale. In caso contrario, il traffico viene bloccato per impostazione predefinita, anche se attendibile nelle regole del firewall dell'account di archiviazione. Per i servizi non ancora integrati, le alternative includono regole a livello di sottoscrizione per l'accesso in ingresso e nomi di dominio completamente qualificati (FQDN) per l'accesso in uscita o tramite collegamenti privati.
Importante
Il traffico degli endpoint privati è considerato altamente sicuro, pertanto non è soggetto a regole del perimetro di sicurezza di rete. Tutto l'altro traffico, inclusi i servizi attendibili, è soggetto a regole perimetrali di sicurezza di rete se l'account di archiviazione è associato a un perimetro.
Copertura delle funzionalità nel perimetro di sicurezza di rete
Quando un account di archiviazione è associato a un perimetro di sicurezza della rete, tutte le operazioni standard del piano dati per BLOB, file, tabelle e code sono supportate, a meno che non siano specificate in base alle limitazioni note. È possibile limitare le operazioni basate su HTTPS per File di Azure, Archiviazione BLOB di Azure, Azure Data Lake Storage Gen2, Archiviazione tabelle di Azure e Archiviazione code di Azure usando il perimetro di sicurezza di rete.
Le tabelle seguenti descrivono solo il supporto del perimetro e del protocollo di sicurezza di rete solo per File di Azure. Se stai cercando la copertura delle funzionalità per Azure Blob Storage e altri servizi di archiviazione di Azure, consulta questo articolo.
La tabella seguente descrive il supporto per l'implementazione delle misure di sicurezza perimetrali per la rete in ingresso per Azure Files.
| Feature | Stato del supporto | Raccomandazioni |
|---|---|---|
| Link Privato | Supportato in tutti i protocolli (REST, SMB, NFS) | Le regole di collegamento privato hanno la precedenza sul perimetro di sicurezza di rete. Il traffico collegamento privato in ingresso verrà sempre accettato, indipendentemente dalla configurazione del perimetro di sicurezza di rete. |
| REST di File di Azure con OAuth | Sostenuto | Supporto completo |
| Azure Files REST con autenticazione con chiave condivisa o SAS | Supporta solo le regole IP in ingresso | La chiave condivisa e la firma di accesso condiviso non sono protocolli basati su OAuth, quindi non possono contenere informazioni sul perimetro o sulla sottoscrizione di origine. Di conseguenza, le regole di perimetro e sottoscrizione in ingresso non verranno rispettate. Le regole IP sono supportate (fino a 200 regole). |
| SMB di File di Azure con NTLM o Kerberos | Supporta solo le regole IP in ingresso | NTLM o Kerberos non sono protocolli basati su OAuth, quindi non possono contenere informazioni sul perimetro o sulla sottoscrizione di origine. Di conseguenza, le regole di perimetro e sottoscrizione in ingresso non verranno rispettate. Le regole IP sono supportate (fino a 200 regole). |
| File di Azure - NFS | Tutto il traffico in ingresso è stato bloccato | Tutto il traffico in ingresso, ad eccezione di Private Link, verrà negato se si inserisce l'account di archiviazione in un perimetro di sicurezza di rete in Modalità Applicata. Il traffico in uscita per le chiavi gestite dal cliente (CMK) è supportato. |
La tabella seguente descrive il supporto per l'integrazione del perimetro di sicurezza di rete per Azure Files.
| Feature | Stato del supporto | Raccomandazioni |
|---|---|---|
| Chiavi gestite dal cliente | Supportato in tutti i protocolli (REST, SMB, NFS) | Se si posiziona il Key Vault che ospita il CMK in un perimetro di sicurezza di rete, è necessario posizionare l'account di archiviazione nello stesso perimetro oppure configurare il perimetro di sicurezza di rete del Key Vault per consentire all'account di archiviazione di comunicare con esso. |
| Backup di Azure | Non supportato. Azure Backup non è ancora integrato nel perimetro di sicurezza di rete | Evitare di usare il perimetro di sicurezza della rete per gli account di archiviazione utilizzando Backup di Azure fino al completamento della configurazione. |
| Sincronizzazione file di Azure | Non completamente supportato. Sincronizzazione file di Azure presenta una limitazione nota con i perimetri di sicurezza di rete. | Per connettere una risorsa del servizio di sincronizzazione archiviazione all'account di archiviazione, è prima necessario configurare il servizio di sincronizzazione archiviazione per l'uso delle identità gestite. Configurare una regola del profilo in ingresso del perimetro di sicurezza di rete per consentire la sottoscrizione del servizio di sincronizzazione archiviazione. I servizi di sincronizzazione archiviazione non possono essere associati ai perimetri. |
Avviso
Per gli account di archiviazione associati a un perimetro di sicurezza di rete, affinché gli scenari di chiavi gestite dal cliente (CMK) funzionino, assicurarsi che Azure Key Vault sia accessibile dall'interno del perimetro a cui è associato l'account di archiviazione.
Associare un perimetro di sicurezza di rete a un account di archiviazione
Per associare un perimetro di sicurezza di rete a un account di archiviazione, seguire queste istruzioni comuni per tutte le risorse PaaS.
Passaggi successivi
- Altre informazioni sugli endpoint del servizio di rete di Azure.
- Abilitare i log di diagnostica per il perimetro di sicurezza di rete.