Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O perímetro de segurança de rede permite que as organizações definam um limite de isolamento de rede lógica para recursos de PaaS, como arquivos do Azure implantados fora de suas redes virtuais. Esse recurso restringe o acesso à rede pública aos recursos de PaaS fora do perímetro. No entanto, você pode isentar o acesso usando regras de acesso explícitas para tráfego público de entrada e saída. Isso ajuda a impedir a exfiltração de dados indesejada dos recursos de armazenamento. Dentro de um perímetro de segurança de rede, os recursos de membros podem se comunicar livremente entre si. As regras de perímetro de segurança de rede substituem as configurações de firewall da própria conta de armazenamento. O acesso de dentro do perímetro tem a maior precedência sobre outras restrições de rede.
Você pode encontrar a lista de serviços integrados ao perímetro de segurança de rede aqui. Se um serviço não estiver listado, ele ainda não será integrado. Para permitir o acesso a um recurso específico de um serviço não integrado, você pode criar uma regra baseada em assinatura para o perímetro de segurança de rede. Uma regra baseada em assinatura concede acesso a todos os recursos nessa assinatura. Para obter detalhes sobre como adicionar uma regra de acesso baseada em assinatura, consulte esta documentação.
Modos de acesso
Ao integrar contas de armazenamento a um perímetro de segurança de rede, é possível iniciar no modo Transição (anteriormente modo de aprendizagem) ou ir direto para o modo Aplicado. O modo de transição (o modo de acesso padrão) permite que a conta de armazenamento recue às regras de firewall existentes ou às configurações de serviços confiáveis se uma regra de perímetro ainda não permitir uma conexão. O modo imposto bloqueia estritamente todo o tráfego de entrada e saída público, a menos que seja explicitamente permitido por uma regra de perímetro de segurança de rede, garantindo a proteção máxima para sua conta de armazenamento. No modo Rígido, as exceções de serviço confiável do Azure não são respeitadas. Recursos relevantes do Azure ou assinaturas específicas devem ser explicitamente permitidos por meio de regras de perímetro. Para obter mais informações, confira o artigo Transição para um perímetro de segurança da rede no Azure.
Importante
As contas de armazenamento operacional no modo transição devem servir apenas como uma etapa de transição. Atores mal-intencionados podem explorar recursos não confiáveis para exfiltrar dados. Portanto, é crucial fazer a transição para uma configuração totalmente segura o mais rápido possível com o modo de acesso definido como Forçado.
Prioridade da rede
Quando uma conta de armazenamento faz parte de um perímetro de segurança de rede, as regras de acesso do perfil relevante substituem as configurações de firewall da conta, tornando-se o gatekeeper de rede de nível superior. O acesso permitido ou negado pelo perímetro tem precedência e as configurações de redes permitidas da conta de armazenamento são ignoradas quando a conta de armazenamento é associada no modo imposto. Remover a conta de armazenamento de um perímetro de segurança de rede faz com que o controle retorne ao seu firewall padrão. Os perímetros de segurança de rede não afetam o tráfego de ponto de extremidade privado. As conexões por meio de link privado sempre são bem-sucedidas. Para serviços internos do Azure (serviços confiáveis), somente os serviços integrados explicitamente ao perímetro de segurança de rede são permitidos por meio de regras de acesso de perímetro. Caso contrário, o tráfego será bloqueado por padrão, mesmo que seja confiável nas regras de firewall da conta de armazenamento. Para serviços ainda não integrados, as alternativas incluem regras de nível de assinatura para entrada e nomes de domínio totalmente qualificados (FQDN) para acesso de saída ou por meio de links privados.
Importante
O tráfego de ponto de extremidade privado é considerado altamente seguro e, portanto, não está sujeito a regras do perímetro de segurança de rede. Todo o outro tráfego, incluindo serviços confiáveis, estará sujeito a regras de perímetro de segurança de rede se a conta de armazenamento estiver associada a um perímetro.
Cobertura de funcionalidades no perímetro de segurança de rede
Quando uma conta de armazenamento é associada a um perímetro de segurança de rede, todas as operações de plano de dados padrão para blobs, arquivos, tabelas e filas têm suporte, a menos que sejam especificadas sob as limitações conhecidas. Você pode restringir operações baseadas em HTTPS para Arquivos do Azure, Armazenamento de Blobs do Azure, Azure Data Lake Storage Gen2, Armazenamento de Tabelas do Azure e Armazenamento de Filas do Azure usando o perímetro de segurança de rede.
As tabelas a seguir descrevem o perímetro de segurança de rede e o suporte ao protocolo somente para Arquivos do Azure. Se você estiver procurando cobertura de recursos para o Armazenamento de Blobs do Azure e outros serviços de armazenamento do Azure, consulte este artigo.
A tabela a seguir descreve o suporte para a imposição de perímetro de segurança de rede de entrada para arquivos do Azure.
| Característica | Status do suporte | Recomendações |
|---|---|---|
| Link privado | Com suporte em todos os protocolos (REST, SMB, NFS) | As regras de Link Privado têm precedência sobre o perímetro de segurança de rede. O tráfego de Link Privado de Entrada sempre será aceito, independentemente da configuração de perímetro de segurança de rede. |
| REST de Arquivos do Azure com OAuth | Suportado | Suporte completo |
| REST do Azure Files com chave compartilhada ou autenticação SAS | Só dá suporte a regras de IP de entrada | A Chave Compartilhada e a SAS não são protocolos baseados em OAuth, portanto, eles não podem transportar informações sobre perímetro ou assinatura de origem. Portanto, as regras de perímetro de entrada e regras de assinatura não serão respeitadas. Há suporte para regras de IP (até 200 regras). |
| Azure Files SMB com NTLM ou Kerberos | Só dá suporte a regras de IP de entrada | NTLM ou Kerberos não são protocolos baseados em OAuth, portanto, eles não podem transportar informações sobre perímetro de origem ou assinatura. Portanto, as regras de perímetro de entrada e regras de assinatura não serão respeitadas. Há suporte para regras de IP (até 200 regras). |
| NFS dos Arquivos do Azure | Todo o tráfego de entrada bloqueado | Todo o tráfego de entrada, exceto pelo Private Link, será bloqueado se você colocar sua conta de armazenamento em um perímetro de segurança da rede no modo Enforced. Há suporte para o tráfego de saída para chaves gerenciadas pelo cliente (CMK). |
A tabela a seguir descreve o suporte de integração para o perímetro de segurança de rede para arquivos do Azure.
| Característica | Status do suporte | Recomendações |
|---|---|---|
| Chaves Gerenciadas pelo Cliente | Com suporte em todos os protocolos (REST, SMB, NFS) | Se você colocar o Key Vault hospedando o CMK em um perímetro de segurança de rede, deverá colocar a conta de armazenamento no mesmo perímetro ou configurar o perfil de perímetro de segurança de rede do Key Vault para permitir que a conta de armazenamento se comunique com ele. |
| Serviço de Backup do Azure | Sem suporte. O Backup do Azure ainda não está integrado ao perímetro de segurança de rede | Evite usar o perímetro de segurança de rede para contas de armazenamento usando o Backup do Azure até que a integração seja concluída. |
| Sincronização de Arquivos do Azure | Não há suporte total. A sincronização de arquivos do Azure tem uma limitação conhecida em relação aos perímetros de segurança de rede. | Para conectar um recurso do Serviço de Sincronização de Armazenamento à sua conta de armazenamento, primeiro você deve configurar o Serviço de Sincronização de Armazenamento para usar Identidades Gerenciadas. Em seguida, configure uma regra de perfil de entrada de perímetro de segurança de rede para permitir a lista de assinatura do Serviço de Sincronização de Armazenamento. Os Serviços de Sincronização de Armazenamento não podem ser associados a perímetros. |
Aviso
Para contas de armazenamento associadas a um perímetro de segurança de rede, para que os cenários de CMK (chaves gerenciadas pelo cliente) funcionem, verifique se o Azure Key Vault está acessível dentro do perímetro ao qual a conta de armazenamento está associada.
Associar um perímetro de segurança de rede a uma conta de armazenamento
Para associar um perímetro de segurança de rede a uma conta de armazenamento, siga estas instruções comuns para todos os recursos de PaaS.
Próximas etapas
- Saiba mais sobre os Pontos de extremidade de serviço da rede do Azure.
- Habilitar Logs de diagnóstico do perímetro de segurança da rede.