Configuración de redes virtuales y firewalls de Azure Storage
Azure Storage proporciona un modelo de seguridad por capas. Este modelo le permite controlar el nivel de acceso a las cuentas de almacenamiento que exigen sus aplicaciones y entornos empresariales, en función del tipo y el subconjunto de redes o recursos que usa.
Cuando configura las reglas de red, solo las aplicaciones que solicitan datos en el conjunto especificado de redes o a través del conjunto especificado de recursos de Azure pueden acceder a una cuenta de almacenamiento. Puede limitar el acceso a su cuenta de almacenamiento a las solicitudes procedentes de direcciones IP especificadas, intervalos IP, subredes en una red virtual de Azure o instancias de recursos de algunos servicios de Azure.
Las cuentas de almacenamiento tienen un punto de conexión público accesible a través de Internet. También puede crear puntos de conexión privados para la cuenta de almacenamiento. La creación de puntos de conexión privados asigna una dirección IP privada desde la red virtual a la cuenta de almacenamiento. Esto ayuda a proteger el tráfico entre la red virtual y la cuenta de almacenamiento a través de un vínculo privado.
El firewall de Azure Storage proporciona control de acceso para el punto de conexión público de la cuenta de almacenamiento. También puede usar el firewall para bloquear todo el acceso a través del punto de conexión público al usar puntos de conexión privados. La configuración del firewall también permite que los servicios de la plataforma de Azure de confianza accedan a la cuenta de almacenamiento.
Una aplicación que accede a una cuenta de almacenamiento cuando las reglas de red están en vigor aún requiere la autorización adecuada para la solicitud. La autorización es compatible con las credenciales de Microsoft Entra para blobs, tablas, recursos compartido de archivos y colas, con una clave de acceso de cuenta válida o un token de firma de acceso compartido (SAS). Cuando configura un contenedor de blob para el acceso anónimo, no es necesario autorizar las solicitudes para leer datos en ese contenedor. Las regla de firewall seguirán vigentes y bloquearán el tráfico anónimo.
La activación de las reglas de firewall para la cuenta de almacenamiento bloquea las solicitudes entrantes para los datos de forma predeterminada, a menos que las solicitudes procedan de un servicio que funcione en una instancia de red virtual de Azure o desde direcciones IP públicas permitidas. Las solicitudes que bloquean incluyen aquellas de otros servicios de Azure, desde Azure Portal, y desde los servicios de registro y métricas.
Puede conceder acceso a los servicios de Azure que funcionan desde una red virtual al permitir el tráfico de la subred que hospeda la instancia de servicio. También puede habilitar un número limitado de escenarios a través del mecanismo de excepciones que describe este artículo. Para acceder a los datos de la cuenta de almacenamiento mediante Azure Portal, deberá estar en una máquina situada dentro del límite de confianza (IP o red virtual) que haya configurado.
Nota:
Se recomienda usar el módulo Azure Az de PowerShell para interactuar con Azure. Para comenzar, consulte Instalación de Azure PowerShell. Para más información sobre cómo migrar al módulo Az de PowerShell, consulte Migración de Azure PowerShell de AzureRM a Az.
Escenarios
Para proteger la cuenta de almacenamiento, primero debe configurar una regla para denegar el acceso al tráfico desde todas las redes (incluido el tráfico de Internet) en el punto de conexión público de forma predeterminada. A continuación, debe configurar las reglas que conceden acceso al tráfico desde redes virtuales específicas. También puede configurar reglas para conceder acceso al tráfico desde intervalos de direcciones IP de Internet públicos seleccionados, lo que permite habilitar conexiones desde clientes locales o específicos de Internet. Esta configuración le ayuda a crear un límite de red seguro para las aplicaciones.
Puede combinar reglas de firewall que permitan el acceso desde redes virtuales específicas y desde intervalos de direcciones IP públicas en la misma cuenta de almacenamiento. Puede aplicar reglas de firewall de almacenamiento a cuentas de almacenamiento existente o crear nuevas cuentas de almacenamiento.
Las reglas de firewall de almacenamiento se aplican al punto de conexión público de una cuenta de almacenamiento. No se necesitan reglas de acceso de firewall para permitir el tráfico de los puntos de conexión privados de una cuenta de almacenamiento. El proceso de aprobación de la creación de un punto de conexión privado concede acceso implícito al tráfico desde la subred que hospeda el punto de conexión privado.
Importante
Las reglas de firewall de Azure Storage solo se aplican a las operaciones del plano de datos. Las operaciones del plano de control no están sujetas a las restricciones especificadas en las reglas de firewall.
Algunas operaciones, como las operaciones de contenedor de blobs, se pueden realizar a través del plano de control y del plano de datos. Por lo tanto, si intenta realizar una operación como enumerar contenedores de Azure Portal, la operación se realizará correctamente a menos que otro mecanismo la bloquee. Los intentos de acceder a los datos de blob desde una aplicación como Explorador de Azure Storage se controlan mediante las restricciones de firewall.
Para obtener una lista de las operaciones del plano de datos, consulte la Referencia de la API de REST de Azure Storage. Para obtener una lista de las operaciones del plano de control, consulte la Referencia de la API de REST del proveedor de recursos de Azure Storage.
Configuración del acceso de red a Azure Storage
Puede controlar el acceso a los datos de la cuenta de almacenamiento a través de puntos de conexión de red, o a través de servicios o recursos de confianza en cualquier combinación, entre las que se incluyen:
- Permitir el acceso desde subredes de red virtual seleccionadas mediante puntos de conexión privados.
- Permitir el acceso desde subredes de red virtual seleccionadas mediante puntos de conexión de servicio.
- Permitir el acceso desde intervalos o direcciones IP públicas específicas.
- Permitir el acceso desde instancias de recursos de Azure seleccionadas.
- Permitir el acceso desde servicios de Azure de confianza (mediante la opción Administrar excepciones).
- Configurar excepciones para los servicios de registro y métricas.
Acerca de los puntos de conexión de red virtual
Hay dos tipos de puntos de conexión de red virtual para las cuentas de almacenamiento:
Los puntos de conexión de servicio de red virtual son públicos y accesibles a través de Internet. El firewall de Azure Storage proporciona la capacidad de controlar el acceso a la cuenta de almacenamiento a través de estos puntos de conexión públicos. Al habilitar el acceso de red pública a la cuenta de almacenamiento, todas las solicitudes entrantes de datos se bloquean de manera predeterminada. Solo las aplicaciones que solicitan datos de orígenes permitidos que configure en la configuración del firewall de la cuenta de almacenamiento podrán acceder a los datos. Los orígenes pueden incluir la dirección IP de origen o la subred de red virtual de un cliente, o una instancia de servicio o recurso de Azure a través de la cual los clientes o servicios acceden a los datos. Las solicitudes bloqueadas incluyen las de otros servicios de Azure, de Azure Portal, y de los servicios de registro y métricas, a menos que permita explícitamente el acceso en la configuración del firewall.
Un punto de conexión privado usa una dirección IP privada de la red virtual para acceder a una cuenta de almacenamiento a través de la red troncal de Microsoft. Con un punto de conexión privado, el tráfico entre la red virtual y la cuenta de almacenamiento se protegen a través de un vínculo privado. Las reglas de firewall de almacenamiento solo se aplican a los puntos de conexión públicos de una cuenta de almacenamiento, no a los puntos de conexión privados. El proceso de aprobación de la creación de un punto de conexión privado concede acceso implícito al tráfico desde la subred que hospeda el punto de conexión privado. Puede usar Directivas de red para controlar el tráfico a través de puntos de conexión privados si desea refinar las reglas de acceso. Si quiere usar puntos de conexión privados exclusivamente, puede usar el firewall para bloquear todo el acceso a través del punto de conexión público.
Para ayudarle a decidir cuándo usar cada tipo de punto de conexión en su entorno, consulte Comparación de puntos de conexión privados y puntos de conexión de servicio.
Cómo abordar la seguridad de red para la cuenta de almacenamiento
Para proteger la cuenta de almacenamiento y crear un límite de red seguro para las aplicaciones:
Para empezar, deshabilite todo el acceso a la red pública para la cuenta de almacenamiento en la opción Acceso a la red pública en el firewall de la cuenta de almacenamiento.
Siempre que sea posible, configure vínculos privados a la cuenta de almacenamiento desde puntos de conexión privados en subredes de red virtual donde residen los clientes que requieren acceso a los datos.
Si las aplicaciones cliente requieren acceso a través de los puntos de conexión públicos, cambie la opción Acceso de red pública a Habilitado desde redes virtuales seleccionadas y direcciones IP. A continuación, según sea necesario:
- Especifique las subredes de red virtual desde las que desea permitir el acceso.
- Especifique los intervalos de direcciones IP públicas desde los que desea permitir el acceso, como los de redes locales.
- Permita el acceso desde instancias de recursos de Azure seleccionadas.
- Agregue excepciones para permitir el acceso desde servicios de confianza necesarios para operaciones como la copia de seguridad de datos.
- Agregue excepciones para el registro y las métricas.
Después de aplicar reglas de red, se aplican para todas las solicitudes. Los tokens de SAS que conceden acceso a una dirección IP específica sirven para limitar el acceso del titular del token, pero no conceden un acceso nuevo más allá de las reglas de red configuradas.
Perímetro de seguridad de red (versión preliminar)
El Perímetro de seguridad de red (versión preliminar) permite a las organizaciones definir un límite de aislamiento de red lógico para los recursos PaaS (por ejemplo, Azure Blob Storage y SQL Database) que se implementan fuera de sus redes virtuales. La característica restringe el acceso de red pública a los recursos de PaaS fuera del perímetro. Sin embargo, puede excluir el acceso mediante reglas de acceso explícitas para el tráfico entrante y saliente público. Por diseño, el acceso a una cuenta de almacenamiento desde dentro de un perímetro de seguridad de red tiene la prioridad más alta, por encima de otras restricciones de acceso a la red.
Actualmente, el perímetro de seguridad de red está en versión preliminar pública para blobs de Azure, Azure Files (REST), tablas de Azure y colas de Azure. Consulte Transición a un perímetro de seguridad de red.
Importante
El tráfico del punto de conexión privado se considera altamente seguro y, por lo tanto, no está sujeto a reglas perimetrales de seguridad de red. El resto del tráfico, incluidos los servicios de confianza, estará sujeto a reglas de perímetro de seguridad de red si la cuenta de almacenamiento está asociada a un perímetro.
Limitaciones
Esta versión preliminar no admite los siguientes servicios, operaciones y protocolos en una cuenta de almacenamiento:
- Replicación de objetos para Azure Blob Storage
- Administración del ciclo de vida para Azure Blob Storage
- Protocolo de transferencia de archivos SSH (SFTP) a través de Azure Blob Storage
- Protocolo del sistema de archivos de red (NFS) con Azure Blob Storage y Azure Files.
- Actualmente, el protocolo de bloque de mensajes del servidor (SMB) con Azure Files solo se puede lograr mediante la creación de lista de direcciones IP permitidas.
- Inventario de blobs de Azure
Se recomienda no habilitar el perímetro de seguridad de red si necesita usar cualquiera de estos servicios, operaciones o protocolos. El motivo es intentar evitar cualquier posible pérdida de datos o riesgo de filtración de datos.
Advertencia
En el caso de las cuentas de almacenamiento asociadas a un perímetro de seguridad de red, para que los escenarios de claves administradas por el cliente (CMK) funcionen, asegúrese de que Azure Key Vault sea accesible desde el perímetro al que se ha asociado la cuenta de almacenamiento.
Asociación de un perímetro de seguridad de red a una cuenta de almacenamiento
Para asociar un perímetro de seguridad de red a una cuenta de almacenamiento, siga estas instrucciones comunes para todos los recursos de PaaS.
Restricciones y consideraciones
Antes de implementar la seguridad de red para las cuentas de almacenamiento, revise las restricciones y consideraciones importantes que se describen en esta sección.
- Las reglas de firewall de Azure Storage solo se aplican a las operaciones del plano de datos. Las operaciones del plano de control no están sujetas a las restricciones especificadas en las reglas de firewall.
- Revise las Restricciones de las reglas de red IP.
- Para acceder a los datos mediante herramientas como Azure Portal, Explorador de Azure Storage y AzCopy, debe estar en un equipo dentro del límite de confianza que estableció al configurar las reglas de seguridad de red.
- Se aplican reglas de red en todos los protocolos de red para Azure Storage, incluidos REST y SMB.
- Las reglas de red no afectan al tráfico de disco de la máquina virtual (VM), incluidas las operaciones de montaje y desmontaje y E/S de disco, pero ayudan a proteger el acceso REST a los blobs en páginas.
- Puede usar discos no administrados en cuentas de almacenamiento con reglas de red aplicadas para crear copias de seguridad y restaurar máquinas virtuales mediante la creación de una excepción. Las excepciones de firewall no son aplicables a discos administrados, ya que Azure ya los administra.
- Las cuentas de almacenamiento clásicas no admiten firewalls y redes virtuales.
- Si elimina una subred que se ha incluido en una regla de red virtual, se quitará de las reglas de red de la cuenta de almacenamiento. Si crea una subred con el mismo nombre, no tendrá acceso a la cuenta de almacenamiento. Para permitir el acceso, deberá autorizar la nueva subred explícitamente en las reglas de red de la cuenta de almacenamiento.
- Al hacer referencia a un punto de conexión de servicio en una aplicación cliente, se recomienda evitar la dependencia de una dirección IP almacenada en caché. La dirección IP de la cuenta de almacenamiento está sujeta a cambios y, por su parte, confiar en una dirección IP almacenada en caché podría dar lugar a comportamientos inesperados. Además, se recomienda respetar el período de vida (TTL) del registro DNS y evitar reemplazarlo. La invalidación del TTL de DNS podría dar lugar a comportamientos inesperados.
- Por diseño, el acceso a una cuenta de almacenamiento desde servicios de confianza tiene la prioridad más alta, por encima de otras restricciones de acceso a la red. Si establece Acceso de red pública en Deshabilitado después de haberlo establecido en Habilitado desde redes virtuales y direcciones IP seleccionadas, las instancias de recursos y excepciones que había configurado antes, incluida la opción Permitir que los servicios de Azure de la lista de servicios de confianza accedan a esta cuenta de almacenamiento, permanecerán en vigor. Como resultado, esos recursos y servicios podrían seguir teniendo acceso a la cuenta de almacenamiento.
Autorización
Los clientes a los que se concedió acceso a través de reglas de red deben seguir cumpliendo los requisitos de autorización de la cuenta de almacenamiento para acceder a los datos. La autorización es compatible con las credenciales de Microsoft Entra para blobs y colas, con una clave de acceso de cuenta válida o un token de firma de acceso compartido (SAS).
Cuando configura un contenedor de blobs para el acceso público anónimo, las solicitudes para leer datos de ese contenedor no tienen que estar autorizadas, pero las reglas de firewall permanecen en vigor y bloquearán el tráfico anónimo.
Modificación de la regla de acceso de red predeterminada
De forma predeterminada, las cuentas de almacenamiento aceptan conexiones de clientes en cualquier red. Puede limitar el acceso a las redes seleccionadas o impedir el tráfico de todas las redes y permitir el acceso solo a través de un punto de conexión privado.
Debe establecer la regla predeterminada en denegar o las reglas de red no tendrán ningún efecto. Sin embargo, cambiar esta configuración puede afectar a la capacidad de la aplicación de conectarse a Azure Storage. Asegúrese de conceder acceso a las redes permitidas o configurar el acceso a través de un punto de conexión privado antes de cambiar esta configuración.
Nota:
Se recomienda usar el módulo Azure Az de PowerShell para interactuar con Azure. Para comenzar, consulte Instalación de Azure PowerShell. Para más información sobre cómo migrar al módulo Az de PowerShell, consulte Migración de Azure PowerShell de AzureRM a Az.
Vaya a la cuenta de almacenamiento que quiere proteger.
En el menú del servicio, en Seguridad y redes, seleccione Redes.
Elija qué acceso de red está habilitado a través del punto de conexión público de la cuenta de almacenamiento:
Seleccione Habilitado desde todas las redes o Habilitado desde redes virtuales y direcciones IP seleccionadas. Si selecciona la segunda opción, se le pedirá que agregue redes virtuales e intervalos de direcciones IP.
Para restringir el acceso de entrada y permitir el acceso de salida, seleccione Deshabilitar.
Seleccione Guardar para aplicar los cambios.
Concesión de acceso desde una red virtual
Puede configurar las cuentas de almacenamiento para permitir el acceso solo desde subredes específicas. Las subredes permitidas pueden pertenecer a una red virtual de la misma suscripción o una suscripción diferente, incluidas las que pertenecen a un inquilino de Microsoft Entra diferente. Con los puntos de conexión de servicio entre regiones, las subredes permitidas también pueden estar en regiones diferentes de la cuenta de almacenamiento.
Debe habilitar un punto de conexión de servicio para Azure Storage dentro de la red virtual. El punto de conexión de servicio enruta el tráfico desde la red virtual hasta el servicio Azure Storage mediante una ruta de acceso óptima. Las identidades de la red virtual y la subred también se transmiten con cada solicitud. Después, los administradores pueden configurar reglas de red para la cuenta de almacenamiento que permitan recibir solicitudes desde subredes específicas en una red virtual. Los clientes a los que se concedió acceso a través de estas reglas de red deben seguir cumpliendo los requisitos de autorización de la cuenta de almacenamiento para acceder a los datos.
Cada cuenta de almacenamiento admite hasta 400 reglas de red virtual. Puede combinar estas reglas con reglas de red IP.
Importante
Al hacer referencia a un punto de conexión de servicio en una aplicación cliente, se recomienda evitar la dependencia de una dirección IP almacenada en caché. La dirección IP de la cuenta de almacenamiento está sujeta a cambios y, por su parte, confiar en una dirección IP almacenada en caché podría dar lugar a comportamientos inesperados.
Además, se recomienda respetar el período de vida (TTL) del registro DNS y evitar reemplazarlo. La invalidación del TTL de DNS podría dar lugar a comportamientos inesperados.
Permisos necesarios
Para aplicar una regla de red virtual a una cuenta de almacenamiento, el usuario debe tener permisos apropiados para las subredes que se van a agregar. Un Colaborador de la cuenta de almacenamiento o un usuario con permiso para la Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action
operación del proveedor de recursos de Azure puede aplicar una regla mediante un rol personalizado de Azure.
La cuenta de almacenamiento y las redes virtuales a las que se concedió acceso pueden estar en distintas suscripciones, incluidas suscripciones que formen parte de un inquilino de Microsoft Entra diferente.
La configuración de reglas que conceden acceso a subredes en redes virtuales que forman parte de un inquilino de Microsoft Entra diferente solo se admiten actualmente a través de PowerShell, la CLI de Azure y las API de REST. No puede configurar estas reglas a través del Azure Portal, aunque puede verlos en el portal.
Puntos de conexión de servicio entre regiones de Azure Storage
Los puntos de conexión de servicio entre regiones para Azure Storage están disponibles con carácter general en abril de 2023. Funcionan entre redes virtuales e instancias de servicio de almacenamiento en cualquier región. Con los puntos de conexión de servicio entre regiones, las subredes ya no usan una dirección IP pública para comunicarse con ninguna cuenta de almacenamiento, incluidas las de otra región. En su lugar, todo el tráfico de subredes a las cuentas de almacenamiento usa una dirección IP privada como dirección IP de origen. Como consecuencia, las cuentas de almacenamiento que usen reglas de red IP para permitir el tráfico de esas subredes dejan de tener efecto.
La configuración de puntos de conexión de servicio entre redes virtuales e instancias de servicio en una región emparejada puede ser una parte importante del plan de recuperación ante desastres. Los puntos de conexión de servicio permiten la continuidad durante una conmutación por error regional, así como un acceso a las instancias de almacenamiento con redundancia geográfica de solo lectura (RA-GRS). Las reglas de red que conceden acceso de una red virtual a una cuenta de almacenamiento también conceden acceso a cualquier instancia de RA-GRS.
Al planear la recuperación ante desastres durante una interrupción regional, cree por adelantado las redes virtuales en la región emparejada. Habilite puntos de conexión de servicio para Azure Storage, con reglas de red que concedan acceso desde estas redes virtuales alternativas. A continuación, aplique estas reglas a las cuentas de almacenamiento con redundancia geográfica.
Los puntos de conexión de servicio locales y entre regiones no pueden coexistir en la misma subred. Para reemplazar los puntos de conexión de servicio existentes por los de varias regiones, elimine los puntos de conexión existentes Microsoft.Storage
y vuelva a crearlos como puntos de conexión entre regiones (Microsoft.Storage.Global
).
Administración de reglas de acceso y red virtual
Puede administrar las reglas de acceso y red virtual para las cuentas de almacenamiento a través del Azure Portal, PowerShell o la CLI de Azure v2.
Si desea habilitar el acceso a su cuenta de almacenamiento desde una red o subred virtual en otro inquilino de Microsoft Entra, debe usar PowerShell o la CLI de Azure. Azure Portal no muestra subredes en otros inquilinos de Microsoft Entra.
Vaya a la cuenta de almacenamiento para la que desea configurar las reglas de acceso y red virtual.
En el menú del servicio, en Seguridad y redes, seleccione Redes.
Compruebe que ha elegido habilitar el acceso a la red pública desde redes virtuales y direcciones IP seleccionadas.
Para conceder acceso a una red virtual con una nueva regla de red, en Redes virtuales, seleccione Agregar red virtual existente. Seleccione las opciones Redes virtuales y Subredes y, a continuación, haga clic en Agregar. Para crear una nueva red virtual y concederle acceso, seleccione Agregar nueva red virtual. Proporcione la información necesaria para crear la nueva red virtual y, luego, seleccione Crear. Actualmente, solo aparecen las redes virtuales que pertenecen al mismo inquilino de Microsoft Entra para su selección durante la creación de la regla. Para conceder acceso a una subred de una red virtual que pertenece a otro inquilino, use PowerShell, la CLI de Azure o la API de REST.
Para quitar una regla de red virtual o subred, seleccione la elipsis (...) para abrir el menú contextual de la red virtual o la subred y seleccione Quitar.
Seleccione Guardar para aplicar los cambios.
Importante
Si elimina una subred que se ha incluido en una regla de red, se quitará de las reglas de red de la cuenta de almacenamiento. Si crea una subred con el mismo nombre, no tendrá acceso a la cuenta de almacenamiento. Para permitir el acceso, deberá autorizar la nueva subred explícitamente en las reglas de red de la cuenta de almacenamiento.
Concesión de acceso desde un intervalo IP de Internet
Puede usar las reglas de red IP para permitir el acceso desde intervalos específicos de direcciones IP de la red pública de Internet mediante la creación de reglas de red IP. Cada cuenta de almacenamiento admite hasta 400 reglas. Estas reglas conceden acceso a servicios específicos basados en Internet y redes locales, y bloquean el tráfico de Internet general.
Restricciones para las reglas de red IP
Las restricciones siguientes se aplican a los intervalos de direcciones IP:
Las reglas de red IP solo se permiten para direcciones IP de la red pública de Internet.
No se permiten intervalos de direcciones IP reservados para redes privadas (tal y como se define en RFC 1918) en las reglas de IP. Las redes privadas incluyen direcciones que comienzan por 10, 172.16 a 172.31 y 192.168.
Debe proporcionar los intervalos de dirección de Internet permitidos mediante la notación CIDR en el formulario 16.17.18.0/24 o como direcciones IP individuales en formato 16.17.18.19.
Los intervalos de dirección pequeños con tamaños de prefijos /31 o /32 no son compatibles. Configure estos rangos utilizando reglas de direcciones IP individuales.
Solo se admiten direcciones IPv4 para la configuración de reglas de firewall de almacenamiento.
Importante
Las reglas de red IP no se pueden usar en los siguientes casos:
- Para restringir el acceso a los clientes de la misma región de Azure que la cuenta de almacenamiento. Las reglas de red IP no tienen ningún efecto en las solicitudes que proceden de la misma región de Azure que la cuenta de almacenamiento. Use reglas de red virtual para permitir solicitudes de la misma región.
- Para restringir el acceso a los clientes de una región emparejada que se encuentran en una red virtual que tiene un punto de conexión de servicio.
- Para restringir el acceso a los servicios de Azure implementados en la misma región que la cuenta de almacenamiento. Los servicios implementados en la misma región que la cuenta de almacenamiento usan direcciones IP privadas de Azure para la comunicación. Por lo tanto, no puede restringir el acceso a servicios específicos de Azure en función de su intervalo de direcciones IP salientes públicas.
Configuración del acceso desde redes locales
Para conceder acceso desde las redes locales a la cuenta de almacenamiento mediante una regla de red IP, debe identificar las direcciones IP orientadas a Internet que usa su red. Para obtener ayuda, póngase en contacto con el administrador de red.
Si usa Azure ExpressRoute desde el entorno local, tiene que identificar las direcciones IP de NAT usadas para el emparejamiento de Microsoft. El proveedor de servicios o el cliente proporcionan las direcciones IP de NAT.
Para permitir el acceso a los recursos de servicio, tiene que permitir estas direcciones IP públicas en la configuración del firewall de IP de recursos.
Administración de reglas de red IP
Puede administrar las reglas de red de IP para las cuentas de almacenamiento a través de Azure Portal, PowerShell o la CLI de Azure v2.
Vaya a la cuenta de almacenamiento para la que desea administrar las reglas de red IP.
En el menú del servicio, en Seguridad y redes, seleccione Redes.
Compruebe que ha elegido habilitar el acceso a la red pública desde redes virtuales y direcciones IP seleccionadas.
Para conceder acceso al intervalo IP de Internet, escriba la dirección IP o el intervalo de direcciones (en formato CIDR) en Firewall>Intervalo de direcciones.
Para quitar una regla de red de IP, seleccione el icono ( ) junto al intervalo de direcciones.
Seleccione Guardar para aplicar los cambios.
Concesión de acceso a instancias de recursos de Azure
En algunos casos, una aplicación puede depender de recursos de Azure que no se pueden aislar a través de una regla de red virtual o de dirección IP. Pero aún le gustaría proteger y restringir el acceso de la cuenta de almacenamiento solo a los recursos de Azure de la aplicación. Puedes configurar cuentas de almacenamiento para permitir el acceso a instancias de recursos específicas de servicios de Azure confiables mediante la creación de una regla de instancia de recurso.
Las asignaciones de roles de Azure de la instancia de recurso determinan los tipos de operaciones que una instancia de recurso puede realizar en los datos de la cuenta de almacenamiento. Las instancias de recursos deben estar en el mismo inquilino que la cuenta de almacenamiento, pero pueden pertenecer a cualquier suscripción del inquilino.
Puede agregar o quitar reglas de red de recursos en Azure Portal:
Inicie sesión en Azure Portal.
Busque la cuenta de almacenamiento y muestre la información general de la cuenta.
En el menú del servicio, en Seguridad y redes, seleccione Redes.
Compruebe que ha elegido habilitar el acceso a la red pública desde redes virtuales y direcciones IP seleccionadas.
Desplácese hacia abajo para buscar Instancias de recursos. En la lista desplegable Tipo de recurso, seleccione el tipo de recurso de la instancia de recurso.
En la lista desplegable Nombre de instancia, seleccione la instancia de recurso. También puede elegir incluir todas las instancias de recursos en el inquilino, la suscripción o el grupo de recursos actuales.
Seleccione Guardar para aplicar los cambios. La instancia de recurso aparece en la sección Instancias de recursos de la página de configuración de red.
Para quitar la instancia de recurso, seleccione el icono de eliminación () junto a la instancia de recurso.
Concesión de acceso a servicios de Azure de confianza
Algunos servicios de Azure funcionan desde redes que no se pueden incluir en las reglas de red. Puede conceder a un subconjunto de estos servicios de Azure de confianza el acceso a la cuenta de almacenamiento, a la vez que mantiene las reglas de red para otras aplicaciones. Estos servicios de confianza usarán una autenticación sólida para conectarse a su cuenta de almacenamiento.
Puede conceder acceso a servicios de Azure de confianza mediante la creación de una excepción de regla de red. La sección Administración de excepciones de este artículo proporciona instrucciones paso a paso.
Acceso de confianza para los recursos registrados en el inquilino de Microsoft Entra
Los recursos de algunos servicios pueden acceder a la cuenta de almacenamiento para las operaciones seleccionadas, como escribir registros o ejecutar copias de seguridad. Esos servicios deben registrarse en una suscripción que se encuentre en el mismo inquilino de Microsoft Entra que la cuenta de almacenamiento. En la tabla siguiente se describe cada servicio y las operaciones permitidas.
Servicio | Nombre del proveedor de recursos | Operaciones permitidas |
---|---|---|
Azure Backup | Microsoft.RecoveryServices |
Ejecute copias de seguridad y restauraciones de discos no administrados en máquinas virtuales de infraestructura como servicio (IaaS) (no necesarias para discos administrados). Más información. |
Azure Data Box | Microsoft.DataBox |
Importe datos en Azure. Más información. |
Azure DevTest Labs | Microsoft.DevTestLab |
Cree imágenes personalizadas e instale artefactos. Más información. |
Azure Event Grid | Microsoft.EventGrid |
Habilite la publicación de eventos de Azure Blob Storage y permita publicar en las colas de almacenamiento. |
Azure Event Hubs | Microsoft.EventHub |
Archivar datos mediante Event Hubs Capture. Más información. |
Azure File Sync | Microsoft.StorageSync |
Transforme el servidor de archivos local en una memoria caché para los recursos compartidos de archivos de Azure. Esta funcionalidad permite la sincronización de varios sitios, la recuperación ante desastres rápida y la copia de seguridad en la nube. Más información. |
HDInsight de Azure | Microsoft.HDInsight |
Aprovisione el contenido inicial del sistema de archivos predeterminado para un nuevo clúster de HDInsight. Más información. |
Azure Import/Export | Microsoft.ImportExport |
Importe datos a Azure Storage o exporte datos desde Azure Storage. Más información. |
Azure Monitor | Microsoft.Insights |
Escriba datos de supervisión en una cuenta de almacenamiento protegida, incluidos los registros de recursos, los datos de Microsoft Defender para punto de conexión, los registros de inicio de sesión y de auditoría de Microsoft Entra y los registros de Microsoft Intune. Más información. |
Servicios de redes de Azure | Microsoft.Network |
Almacene y analice los registros de tráfico de red, incluidos los servicios Azure Network Watcher y Azure Traffic Manager. Más información. |
Azure Site Recovery | Microsoft.SiteRecovery |
Habilite la replicación para la recuperación ante desastres de máquinas virtuales de IaaS de Azure al usar la caché habilitada para firewall, el origen o las cuentas de almacenamiento de destino. Más información. |
Acceso de confianza basado en la identidad administrada asignada por el sistema
En la tabla siguiente se enumeran los servicios que pueden acceder a los datos de la cuenta de almacenamiento si las instancias de recursos de esos servicios tienen el permiso adecuado.
Servicio | Nombre del proveedor de recursos | Propósito |
---|---|---|
FarmBeats de Azure | Microsoft.AgFoodPlatform/farmBeats |
Permite el acceso a las cuentas de almacenamiento. |
Azure API Management | Microsoft.ApiManagement/service |
Permite el acceso a las cuentas de almacenamiento detrás de firewalls a través de directivas. Más información. |
Sistemas autónomos de Microsoft | Microsoft.AutonomousSystems/workspaces |
Permite el acceso a las cuentas de almacenamiento. |
Azure Cache for Redis | Microsoft.Cache/Redis |
Permite el acceso a las cuentas de almacenamiento. Más información. |
Azure AI Search | Microsoft.Search/searchServices |
Habilita el acceso a las cuentas de almacenamiento con fines de indexación, proceso y consulta. |
Servicios de Azure AI | Microsoft.CognitiveService/accounts |
Permite el acceso a las cuentas de almacenamiento. Más información. |
Azure Container Registry | Microsoft.ContainerRegistry/registries |
Mediante el conjunto de características de ACR Tasks, permite el acceso a las cuentas de almacenamiento al compilar imágenes de contenedor. |
Microsoft Cost Management | Microsoft.CostManagementExports |
Habilita la exportación a cuentas de almacenamiento detrás de un firewall. Más información. |
Azure Databricks | Microsoft.Databricks/accessConnectors |
Permite el acceso a las cuentas de almacenamiento. |
Azure Data Factory | Microsoft.DataFactory/factories |
Permite el acceso a las cuentas de almacenamiento a través del entorno de ejecución de Data Factory. |
Almacén de Azure Backup | Microsoft.DataProtection/BackupVaults |
Permite el acceso a las cuentas de almacenamiento. |
Azure Data Share | Microsoft.DataShare/accounts |
Permite el acceso a las cuentas de almacenamiento. |
Azure Database for PostgreSQL | Microsoft.DBForPostgreSQL |
Permite el acceso a las cuentas de almacenamiento. |
Azure IoT Hub | Microsoft.Devices/IotHubs |
Permite que los datos de un centro de IoT se escriban en Blob Storage. Más información. |
Azure DevTest Labs | Microsoft.DevTestLab/labs |
Permite el acceso a las cuentas de almacenamiento. |
Azure Event Grid | Microsoft.EventGrid/domains |
Permite el acceso a las cuentas de almacenamiento. |
Azure Event Grid | Microsoft.EventGrid/partnerTopics |
Permite el acceso a las cuentas de almacenamiento. |
Azure Event Grid | Microsoft.EventGrid/systemTopics |
Permite el acceso a las cuentas de almacenamiento. |
Azure Event Grid | Microsoft.EventGrid/topics |
Permite el acceso a las cuentas de almacenamiento. |
Microsoft Fabric | Microsoft.Fabric |
Permite el acceso a las cuentas de almacenamiento. |
Azure Healthcare API | Microsoft.HealthcareApis/services |
Permite el acceso a las cuentas de almacenamiento. |
Azure Healthcare API | Microsoft.HealthcareApis/workspaces |
Permite el acceso a las cuentas de almacenamiento. |
Azure IoT Central | Microsoft.IoTCentral/IoTApps |
Permite el acceso a las cuentas de almacenamiento. |
HSM administrado por Azure Key Vault | Microsoft.keyvault/managedHSMs |
Permite el acceso a las cuentas de almacenamiento. |
Azure Logic Apps | Microsoft.Logic/integrationAccounts |
Permite a las aplicaciones lógicas acceder a las cuentas de almacenamiento. Más información. |
Azure Logic Apps | Microsoft.Logic/workflows |
Permite a las aplicaciones lógicas acceder a las cuentas de almacenamiento. Más información. |
Azure Machine Learning Studio | Microsoft.MachineLearning/registries |
Permite a las áreas de trabajo autorizadas de Azure Machine Learning escribir los resultados del experimento, los modelos y los registros en Blob Storage y leer los datos. Más información. |
Azure Machine Learning | Microsoft.MachineLearningServices |
Permite a las áreas de trabajo autorizadas de Azure Machine Learning escribir los resultados del experimento, los modelos y los registros en Blob Storage y leer los datos. Más información. |
Azure Machine Learning | Microsoft.MachineLearningServices/workspaces |
Permite a las áreas de trabajo autorizadas de Azure Machine Learning escribir los resultados del experimento, los modelos y los registros en Blob Storage y leer los datos. Más información. |
Azure Media Services | Microsoft.Media/mediaservices |
Permite el acceso a las cuentas de almacenamiento. |
Azure Migrate | Microsoft.Migrate/migrateprojects |
Permite el acceso a las cuentas de almacenamiento. |
Azure Spatial Anchors | Microsoft.MixedReality/remoteRenderingAccounts |
Permite el acceso a las cuentas de almacenamiento. |
Azure ExpressRoute | Microsoft.Network/expressRoutePorts |
Permite el acceso a las cuentas de almacenamiento. |
Microsoft Power Platform | Microsoft.PowerPlatform/enterprisePolicies |
Permite el acceso a las cuentas de almacenamiento. |
Microsoft Project Arcadia | Microsoft.ProjectArcadia/workspaces |
Permite el acceso a las cuentas de almacenamiento. |
Azure Data Catalog | Microsoft.ProjectBabylon/accounts |
Permite el acceso a las cuentas de almacenamiento. |
Microsoft Purview | Microsoft.Purview/accounts |
Permite el acceso a las cuentas de almacenamiento. |
Azure Site Recovery | Microsoft.RecoveryServices/vaults |
Permite el acceso a las cuentas de almacenamiento. |
Security Center | Microsoft.Security/dataScanners |
Permite el acceso a las cuentas de almacenamiento. |
Singularity | Microsoft.Singularity/accounts |
Permite el acceso a las cuentas de almacenamiento. |
Azure SQL Database | Microsoft.Sql |
Permite escribir datos de auditoría en cuentas de almacenamiento detrás de un firewall. |
Servidores de Azure SQL | Microsoft.Sql/servers |
Permite escribir datos de auditoría en cuentas de almacenamiento detrás de un firewall. |
Azure Synapse Analytics | Microsoft.Sql |
Permite importar y exportar datos de bases de datos SQL específicas mediante la instrucción COPY o PolyBase (en un grupo dedicado) o la función openrowset y las tablas externas de un grupo de servidores. Más información. |
Azure Stream Analytics | Microsoft.StreamAnalytics |
Permite que los datos de un trabajo de streaming se escriban en Blob Storage. Más información. |
Azure Stream Analytics | Microsoft.StreamAnalytics/streamingjobs |
Permite que los datos de un trabajo de streaming se escriban en Blob Storage. Más información. |
Azure Synapse Analytics | Microsoft.Synapse/workspaces |
Permite el acceso a datos en Azure Storage. |
Azure Video Indexer | Microsoft.VideoIndexer/Accounts |
Permite el acceso a las cuentas de almacenamiento. |
Si la cuenta no tiene habilitada la característica de espacio de nombres jerárquico, puede conceder permiso mediante la asignación explícita de un rol de Azure a la identidad administrada para cada instancia de recurso. En ese caso, el ámbito de acceso de la instancia corresponde al rol de Azure que se asigna a la identidad administrada.
Puede usar la misma técnica para una cuenta que tenga la característica de espacio de nombres jerárquico habilitada en ella. Sin embargo, no tiene que asignar un rol de Azure si agrega la identidad administrada asignada por el sistema a la lista de control de acceso (ACL) de cualquier directorio o blob que contiene la cuenta de almacenamiento. En ese caso, el ámbito de acceso de la instancia corresponde al directorio o archivo al que tiene acceso la identidad administrada.
También puede combinar roles y ACL de Azure para conceder acceso. Para más información, consulte Modelo de control de acceso de Azure Data Lake Storage.
Se recomienda usar reglas de instancia de recursos para conceder acceso a recursos específicos.
Administración de excepciones
En algunos casos, como los análisis de almacenamiento, se requiere acceso para leer registros de recursos y métricas desde fuera del límite de red. Al configurar el acceso de los servicios de confianza a la cuenta de almacenamiento, puede permitir el acceso de lectura a los archivos de registro, las tablas de métricas o ambos mediante la creación de una excepción de regla de red. Puede administrar las excepciones de reglas de red a través de Azure Portal, PowerShell o la CLI de Azure v2.
Para más información sobre cómo trabajar con Storage Analytics, consulte Uso de Azure Storage Analytics para recopilar datos de métricas y registros.
Vaya a la cuenta de almacenamiento para la que desea administrar las excepciones.
En el menú del servicio, en Seguridad y redes, seleccione Redes.
Compruebe que ha elegido habilitar el acceso a la red pública desde redes virtuales y direcciones IP seleccionadas.
En Excepciones, seleccione las excepciones que quiere conceder.
Seleccione Guardar para aplicar los cambios.
Pasos siguientes
- Más información sobre los puntos de conexión de servicio de red de Azure.
- Profundice en las recomendaciones de seguridad para Azure Blob Storage.