Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
O perímetro de segurança da rede permite às organizações definir um limite lógico de isolamento de rede para recursos PaaS, como os Azure Files, que são implementados fora das suas redes virtuais. Esta funcionalidade restringe o acesso da rede pública a recursos PaaS fora do perímetro. No entanto, você pode isentar o acesso usando regras de acesso explícitas para tráfego público de entrada e saída. Isso ajuda a evitar a exfiltração de dados indesejados de seus recursos de armazenamento. Dentro de um perímetro de segurança de rede, os recursos dos membros podem se comunicar livremente entre si. As regras do perímetro de segurança de rede sobrepõem-se às definições do firewall da conta de armazenamento. O acesso de dentro do perímetro tem maior precedência sobre outras restrições de rede.
Você pode encontrar a lista de serviços que estão integrados ao perímetro de segurança de rede aqui. Se um serviço não estiver listado, ainda não foi integrado. Para permitir o acesso a um recurso específico a partir de um serviço não integrado, você pode criar uma regra baseada em assinatura para o perímetro de segurança de rede. Uma regra baseada em assinatura concede acesso a todos os recursos dentro dessa assinatura. Para obter detalhes sobre como adicionar uma regra de acesso baseada em assinatura, consulte esta documentação.
Modos de acesso
Ao integrar contas de armazenamento num perímetro de segurança de rede, pode começar em modo Transição (anteriormente modo Aprendizagem) ou passar diretamente para o modo Imposto . O modo de transição (o modo de acesso predefinido) permite que a conta de armazenamento volte às suas regras de firewall existentes ou às definições de serviços confiáveis se uma regra de perímetro ainda não permitir a ligação. O modo imposto bloqueia estritamente todo o tráfego público de entrada e saída, a menos que explicitamente permitido por uma regra de perímetro de segurança de rede, garantindo a máxima proteção para sua conta de armazenamento. No modo Enforced, as exceções de serviço confiável do Azure não são respeitadas. Recursos Azure relevantes ou subscrições específicas devem ser explicitamente permitidos através de regras de perímetro. Para obter mais informações, consulte Transição para um perímetro de segurança de rede no Azure.
Importante
Operar contas de armazenamento em modo Transição deve servir apenas como um passo de transição. Agentes maliciosos podem explorar recursos não seguros para exfiltrar dados. Portanto, é crucial fazer a transição para uma configuração totalmente segura o mais rápido possível com o modo de acesso definido como Enforced.
Prioridade da rede
Quando uma conta de armazenamento faz parte de um perímetro de segurança de rede, as regras de acesso do perfil relevante sobrepõem-se às definições do firewall da conta, tornando-se o principal guardião da rede. O acesso permitido ou negado pelo perímetro tem precedência, e as definições de redes permitidas da conta de armazenamento são ignoradas quando a conta de armazenamento está associada em modo forçado. Remover a conta de armazenamento de um perímetro de segurança de rede reverte o controle de volta para seu firewall regular. Os perímetros de segurança de rede não afetam o tráfego de pontos finais privados. As conexões via link privado sempre são bem-sucedidas. Para serviços internos Azure (serviços de confiança), apenas serviços explicitamente integrados no perímetro de segurança da rede são permitidos através das regras de acesso ao perímetro. Caso contrário, o tráfego deles será bloqueado por padrão, mesmo se confiável nas regras de firewall da conta de armazenamento. Para serviços que ainda não foram integrados, as alternativas incluem regras de nível de assinatura para acesso de saída com FQDN (Fully Qualified Domain Names) ou através de links privados.
Importante
O tráfego de ponto final privado é considerado altamente seguro e, portanto, não está sujeito às regras de perímetro de segurança de rede. Todo o outro tráfego, incluindo serviços confiáveis, está sujeito às regras de perímetro de segurança de rede se a conta de armazenamento estiver associada a um perímetro.
Cobertura de funcionalidades no âmbito do perímetro de segurança da rede
Quando uma conta de armazenamento é associada a um perímetro de segurança de rede, todas as operações de plano de dados padrão para blobs, arquivos, tabelas e filas são suportadas, a menos que especificado nas limitações conhecidas. Pode restringir operações baseadas em HTTPS para Azure Files, Azure Blob Storage, Azure Data Lake Storage Gen2, Azure Table Storage e Azure Queue Storage usando o perímetro de segurança de rede.
As tabelas seguintes descrevem o perímetro de segurança de rede e o suporte ao protocolo apenas para ficheiros Azure. Se procura cobertura de funcionalidades para Azure Blob Storage e outros serviços de armazenamento Azure, veja este artigo.
A tabela seguinte descreve o suporte para a aplicação de medidas de segurança de perímetro de rede de entrada para o Azure Files.
| Feature | Status do suporte | Recomendações |
|---|---|---|
| Link Privado | Suportado em todos os protocolos (REST, SMB, NFS) | As regras de Ligação Privada têm prioridade sobre o perímetro de segurança da rede. O tráfego de ligação privada de entrada será sempre aceite, independentemente da configuração do perímetro de segurança da rede. |
| Azure Files REST com OAuth | Suportado | Suporte completo |
| Azure Files REST usando autenticação Shared Key ou SAS | Só suporta regras de IP de entrada | Shared Key e SAS não são protocolos baseados em OAuth, por isso não podem transportar informação sobre o perímetro de origem ou subscrição. Portanto, as regras de perímetro de entrada e de subscrição não serão respeitadas. São suportadas regras de propriedade intelectual (até 200 regras). |
| Azure Files SMB com NTLM ou Kerberos | Só suporta regras de IP de entrada | NTLM ou Kerberos não são protocolos baseados em OAuth, por isso não podem transportar informação sobre o perímetro de origem ou subscrição. Portanto, as regras de perímetro de entrada e de subscrição não serão respeitadas. São suportadas regras de propriedade intelectual (até 200 regras). |
| Azure Files NFS | Todo o tráfego de entrada negado | Todo o tráfego de entrada, exceto o Private Link, será negado se colocar a sua conta de armazenamento num perímetro de segurança de rede em modo Enforced. O tráfego de saída para chaves geridas pelo cliente (CMK) está suportado. |
A tabela seguinte descreve o suporte de integração para o perímetro de segurança de rede para Azure Files.
| Feature | Status do suporte | Recomendações |
|---|---|---|
| Chaves Geridas pelo Cliente | Suportado em todos os protocolos (REST, SMB, NFS) | Se colocar o Key Vault que aloja o CMK num perímetro de segurança de rede, deve colocar a conta de armazenamento no mesmo perímetro, ou então configurar o perfil de perímetro de segurança de rede do Key Vault para permitir que a conta de armazenamento comunique com ele. |
| Azure Backup | Não suportado. O Azure Backup ainda não está integrado no perímetro de segurança da rede | Evite usar o perímetro de segurança de rede para contas de armazenamento usando o Azure Backup até que a integração esteja concluída. |
| Sincronização de arquivos do Azure | Não é totalmente suportado. O Azure File Sync tem uma limitação conhecida nos perímetros de segurança da rede. | Para ligar um recurso do Serviço de Sincronização de Armazenamento à sua conta de armazenamento, deve primeiro configurar o Serviço de Sincronização de Armazenamento para usar Identidades Geridas. Depois, configure uma regra de perímetro de segurança de rede para o perfil de entrada para permitir a subscrição do Serviço de Sincronização de Armazenamento. Os Serviços de Sincronização de Armazenamento não podem ser associados a perímetros. |
Advertência
Para contas de armazenamento associadas a um perímetro de segurança de rede, para que os cenários de chaves gerenciadas pelo cliente (CMK) funcionem, verifique se o Cofre de Chaves do Azure está acessível de dentro do perímetro ao qual a conta de armazenamento está associada.
Associar um perímetro de segurança de rede a uma conta de armazenamento
Para associar um perímetro de segurança de rede a uma conta de armazenamento, siga estas instruções comuns para todos os recursos de PaaS.
Próximos passos
- Saiba mais sobre os pontos de extremidade dos serviços de rede Azure.
- Ativar registos de diagnóstico para o perímetro de segurança da rede.