Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Antes de implementar a segurança de rede para suas contas de armazenamento, revise as restrições e considerações importantes nesta seção.
Orientações gerais e limitações
As regras de firewall do Armazenamento do Azure aplicam-se apenas a operações de plano de dados . As operações do plano de controle não estão sujeitas às restrições especificadas nas regras de firewall.
Para acessar dados usando ferramentas como o portal do Azure, o Gerenciador de Armazenamento do Azure e o AzCopy, você deve estar em uma máquina dentro do limite confiável que você estabelece ao configurar regras de segurança de rede.
Algumas operações, como operações de contentor de blob, podem ser realizadas pelo plano de controle e pelo plano de dados. Se você tentar executar uma operação como listar contêineres do portal do Azure, a operação será bem-sucedida, a menos que seja bloqueada por outro mecanismo. As tentativas de acessar dados de blob de um aplicativo como o Gerenciador de Armazenamento do Azure são controladas pelas restrições de firewall.
Para obter uma lista de operações na camada de dados, consulte a Referência da API REST do Armazenamento Azure.
Para obter uma lista de operações do plano de controle, consulte a Referência da API REST do Provedor de Recursos de Armazenamento do Azure.
As regras de rede são impostas em todos os protocolos de rede para o Armazenamento do Azure, incluindo REST e SMB.
As regras de rede não afetam o tráfego de disco da máquina virtual (VM), incluindo operações de montagem e desmontagem e E/S de disco, mas ajudam a proteger o acesso REST aos blobs de página.
Você pode usar discos não gerenciados em contas de armazenamento com regras de rede aplicadas para fazer backup e restaurar VMs criando uma exceção. As exceções de firewall não se aplicam a discos gerenciados porque o Azure já os gerencia.
Se você excluir uma sub-rede incluída em uma regra de rede virtual, ela será removida das regras de rede da conta de armazenamento. Se você criar uma nova sub-rede com o mesmo nome, ela não terá acesso à conta de armazenamento. Para permitir o acesso, você deve autorizar explicitamente a nova sub-rede nas regras de rede para a conta de armazenamento.
Ao fazer referência a um ponto de extremidade de serviço em um aplicativo cliente, recomendamos que você evite depender de um endereço IP armazenado em cache. O endereço IP da conta de armazenamento está sujeito a alterações e confiar em um endereço IP armazenado em cache pode resultar em um comportamento inesperado. Além disso, recomendamos que você honre o tempo de vida (TTL) do registro DNS e evite substituí-lo. Ignorar o TTL do DNS pode resultar em comportamento inesperado.
Por predefinição, o acesso a uma conta de armazenamento a partir de serviços fidedignos tem maior precedência sobre outras restrições de acesso da rede. Se você definir Acesso à rede pública como Desabilitado depois de defini-lo anteriormente como Habilitado a partir de redes virtuais e endereços IP selecionados, todas as instâncias de recursos e exceções que você configurou anteriormente, incluindo Permitir que os serviços do Azure na lista de serviços confiáveis acessem essa conta de armazenamento, permanecerão em vigor. Como resultado, esses recursos e serviços ainda podem ter acesso à conta de armazenamento.
Mesmo se você desabilitar o acesso à rede pública, ainda poderá receber um aviso do Microsoft Defender for Storage ou do Azure Advisor que recomenda que você restrinja o acesso usando regras de rede virtual. Isso pode acontecer nos casos em que você desabilita o acesso público usando um modelo. A propriedade defaultAction permanece definida como Allow mesmo que você defina a propriedade PublicNetworkAccess como Disabled. Embora a propriedade PublicNetworkAccess tenha precedência, ferramentas como o Microsoft Defender também relatam o valor da propriedade defaultAction . Para resolver esse problema, use um modelo para definir a propriedade defaultActionNegar ou desabilitar o acesso público usando ferramentas como o portal do Azure, o PowerShell ou a CLI do Azure. Essas ferramentas alteram automaticamente a propriedade defaultAction para um valor de Deny para você.
Restrições para regras de rede IP
As regras de rede IP são permitidas apenas para endereços IP públicos da Internet .
Os intervalos de endereços IP reservados para redes privadas (conforme definido na RFC 1918) não são permitidos nas regras de IP. As redes privadas incluem endereços que começam com 10, 172.16 a 172.31 e 192.168.
Você deve fornecer intervalos de endereços de Internet permitidos usando a notação CIDR no formato 16.17.18.0/24 ou como endereços IP individuais como 16.17.18.19.
Não há suporte para intervalos de endereços pequenos que usam tamanhos de prefixo /31 ou /32. Configure esses intervalos usando regras de endereço IP individuais.
Apenas endereços IPv4 são suportados para a configuração de regras de firewall de armazenamento.
Não é possível usar regras de rede IP para restringir o acesso a clientes na mesma região do Azure que a conta de armazenamento. As regras de rede IP não têm efeito sobre solicitações originadas da mesma região do Azure que a conta de armazenamento. Use regras de rede virtual para permitir solicitações da mesma região.
Não é possível usar regras de rede IP para restringir o acesso a clientes em uma região emparelhada que estão em uma rede virtual com um ponto de extremidade de serviço.
Não é possível usar regras de rede IP para restringir o acesso aos serviços do Azure implantados na mesma região da conta de armazenamento.
Os serviços implementados na mesma região que a conta de armazenamento utilizam endereços IP privados do Azure para comunicação. Portanto, você não pode restringir o acesso a serviços específicos do Azure com base em seu intervalo de endereços IP de saída públicos.
Próximos passos
- Saiba mais sobre os pontos de extremidade dos serviços de rede Azure.
- Aprofunde-se nas recomendações de segurança para o armazenamento de Blob do Azure.