Azure Storage-firewalls en virtuele netwerken configureren
Azure Storage biedt een gelaagd beveiligingsmodel. Met dit model kunt u het niveau van toegang tot uw opslagaccounts regelen dat uw toepassingen en bedrijfsomgevingen vereisen, gebaseerd op het type en de subset van netwerken of bronnen die u gebruikt.
Wanneer u netwerkregels configureert, hebben alleen toepassingen die gegevens aanvragen via de opgegeven set netwerken of via de opgegeven set Azure-resources toegang tot een opslagaccount. U kunt de toegang tot uw opslagaccount beperken tot aanvragen die afkomstig zijn van opgegeven IP-adressen, IP-bereiken, subnetten in een virtueel Azure-netwerk of resource-exemplaren van sommige Azure-services.
Opslagaccounts hebben een openbaar eindpunt dat toegankelijk is via internet. U kunt ook privé-eindpunten maken voor uw opslagaccount. Als u privé-eindpunten maakt, wordt een privé-IP-adres van uw virtuele netwerk toegewezen aan het opslagaccount. Hiermee kunt u verkeer tussen uw virtuele netwerk en het opslagaccount beveiligen via een privékoppeling.
De Azure Storage-firewall biedt toegangsbeheer voor het openbare eindpunt van uw opslagaccount. U kunt de firewall ook gebruiken om alle toegang via het openbare eindpunt te blokkeren wanneer u privé-eindpunten gebruikt. Met uw firewallconfiguratie kunnen vertrouwde Azure-platformservices ook toegang krijgen tot het opslagaccount.
Een toepassing die toegang heeft tot een opslagaccount wanneer netwerkregels van kracht zijn, vereist nog steeds de juiste autorisatie voor de aanvraag. Autorisatie wordt ondersteund met Microsoft Entra-referenties voor blobs, tabellen, bestandsshares en wachtrijen, met een geldige toegangssleutel voor accounts of met een SAS-token (Shared Access Signature). Wanneer u een blobcontainer configureert voor anonieme toegang, hoeven aanvragen voor het lezen van gegevens in die container niet te worden geautoriseerd. De firewallregels blijven van kracht en blokkeren anoniem verkeer.
Als u firewallregels voor uw opslagaccount inschakelt, worden binnenkomende aanvragen voor gegevens standaard geblokkeerd, tenzij de aanvragen afkomstig zijn van een service die binnen een virtueel Azure-netwerk of vanuit toegestane openbare IP-adressen werkt. Aanvragen die worden geblokkeerd, zijn die van andere Azure-services, van Azure Portal en van logboekregistratie- en metrische gegevensservices.
U kunt toegang verlenen tot Azure-services die werken vanuit een virtueel netwerk door verkeer toe te staan van het subnet dat als host fungeert voor het service-exemplaar. U kunt ook een beperkt aantal scenario's inschakelen via het uitzonderingenmechanisme dat in dit artikel wordt beschreven. Als u toegang wilt krijgen tot gegevens uit het opslagaccount via Azure Portal, moet u zich op een computer bevinden binnen de vertrouwde grens (IP of virtueel netwerk) die u hebt ingesteld.
Notitie
Het wordt aanbevolen de Azure Az PowerShell-module te gebruiken om te communiceren met Azure. Zie Azure PowerShell installeren om aan de slag te gaan. Raadpleeg Azure PowerShell migreren van AzureRM naar Az om te leren hoe u naar de Azure PowerShell-module migreert.
Scenario's
Als u uw opslagaccount wilt beveiligen, moet u eerst een regel configureren om de toegang tot verkeer van alle netwerken (inclusief internetverkeer) op het openbare eindpunt standaard te weigeren. Vervolgens moet u regels configureren die toegang verlenen tot verkeer van specifieke virtuele netwerken. U kunt ook regels configureren om toegang te verlenen tot verkeer van geselecteerde IP-adresbereiken voor openbaar internet, waardoor verbindingen van specifieke internet- of on-premises clients mogelijk zijn. Deze configuratie helpt u bij het bouwen van een veilige netwerkgrens voor uw toepassingen.
U kunt firewallregels combineren die toegang toestaan vanuit specifieke virtuele netwerken en van openbare IP-adresbereiken in hetzelfde opslagaccount. U kunt firewallregels voor opslag toepassen op bestaande opslagaccounts of wanneer u nieuwe opslagaccounts maakt.
Firewallregels voor opslag zijn van toepassing op het openbare eindpunt van een opslagaccount. U hebt geen firewalltoegangsregels nodig om verkeer toe te staan voor privé-eindpunten van een opslagaccount. Het proces voor het goedkeuren van het maken van een privé-eindpunt verleent impliciete toegang tot verkeer van het subnet dat als host fungeert voor het privé-eindpunt.
Belangrijk
Firewallregels van Azure Storage zijn alleen van toepassing op bewerkingen in het gegevensvlak . Besturingsvlakbewerkingen zijn niet onderhevig aan de beperkingen die zijn opgegeven in firewallregels.
Sommige bewerkingen, zoals blobcontainerbewerkingen, kunnen worden uitgevoerd via zowel het besturingsvlak als het gegevensvlak. Dus als u probeert een bewerking uit te voeren, zoals het weergeven van containers uit De Azure-portal, slaagt de bewerking, tenzij deze wordt geblokkeerd door een ander mechanisme. Pogingen om toegang te krijgen tot blobgegevens vanuit een toepassing zoals Azure Storage Explorer, worden beheerd door de firewallbeperkingen.
Zie de Naslaginformatie over de Azure Storage REST API voor een lijst met gegevensvlakbewerkingen. Zie de naslaginformatie over de REST API van de Azure Storage-resourceprovider voor een lijst met besturingsvlakbewerkingen.
Netwerktoegang tot Azure Storage configureren
U kunt de toegang tot de gegevens in uw opslagaccount beheren via netwerkeindpunten of via vertrouwde services of resources in elke combinatie, waaronder:
- Sta toegang toe vanaf geselecteerde virtuele netwerksubnetten met behulp van privé-eindpunten.
- Sta toegang toe vanaf geselecteerde virtuele netwerksubnetten met behulp van service-eindpunten.
- Sta toegang toe vanaf specifieke openbare IP-adressen of -bereiken.
- Sta toegang toe vanuit geselecteerde Azure-resource-exemplaren.
- Toegang vanuit vertrouwde Azure-services toestaan (met behulp van uitzonderingen beheren).
- Configureer uitzonderingen voor services voor logboekregistratie en metrische gegevens.
Over virtuele netwerkeindpunten
Er zijn twee typen eindpunten voor virtuele netwerken voor opslagaccounts:
Service-eindpunten voor virtuele netwerken zijn openbaar en toegankelijk via internet. De Azure Storage-firewall biedt de mogelijkheid om de toegang tot uw opslagaccount te beheren via dergelijke openbare eindpunten. Wanneer u openbare netwerktoegang tot uw opslagaccount inschakelt, worden alle binnenkomende aanvragen voor gegevens standaard geblokkeerd. Alleen toepassingen die gegevens aanvragen van toegestane bronnen die u in de firewallinstellingen van uw opslagaccount configureert, hebben toegang tot uw gegevens. Bronnen kunnen het bron-IP-adres of het subnet van een virtueel netwerk van een client bevatten, of een Azure-service of resource-exemplaar waarmee clients of services toegang hebben tot uw gegevens. Aanvragen die worden geblokkeerd, zijn die van andere Azure-services, van De Azure-portal en van de services voor logboekregistratie en metrische gegevens, tenzij u expliciet toegang toestaat in uw firewallconfiguratie.
Een privé-eindpunt maakt gebruik van een privé-IP-adres van uw virtuele netwerk voor toegang tot een opslagaccount via het Microsoft backbone-netwerk. Met een privé-eindpunt wordt verkeer tussen uw virtuele netwerk en het opslagaccount beveiligd via een privékoppeling. Firewallregels voor opslag zijn alleen van toepassing op de openbare eindpunten van een opslagaccount, niet op privé-eindpunten. Het proces voor het goedkeuren van het maken van een privé-eindpunt verleent impliciete toegang tot verkeer van het subnet dat als host fungeert voor het privé-eindpunt. U kunt netwerkbeleid gebruiken om verkeer via privé-eindpunten te beheren als u toegangsregels wilt verfijnen. Als u uitsluitend privé-eindpunten wilt gebruiken, kunt u de firewall gebruiken om alle toegang via het openbare eindpunt te blokkeren.
Zie Privé-eindpunten en service-eindpunten vergelijken om te bepalen wanneer u elk type eindpunt in uw omgeving wilt gebruiken.
Netwerkbeveiliging voor uw opslagaccount benaderen
Uw opslagaccount beveiligen en een veilige netwerkgrens bouwen voor uw toepassingen:
Schakel eerst alle openbare netwerktoegang voor het opslagaccount uit onder de instelling Openbare netwerktoegang in de firewall van het opslagaccount.
Configureer waar mogelijk privékoppelingen naar uw opslagaccount vanuit privé-eindpunten op subnetten van virtuele netwerken waar de clients zich bevinden die toegang tot uw gegevens vereisen.
Als clienttoepassingen toegang via de openbare eindpunten vereisen, wijzigt u de instelling voor openbare netwerktoegang in Ingeschakeld vanuit geselecteerde virtuele netwerken en IP-adressen. Vervolgens, indien nodig:
- Geef de subnetten van het virtuele netwerk op waaruit u toegang wilt toestaan.
- Geef de openbare IP-adresbereiken op van clients waaruit u toegang wilt toestaan, zoals on-premises netwerken.
- Sta toegang toe vanuit geselecteerde Azure-resource-exemplaren.
- Uitzonderingen toevoegen om toegang toe te staan van vertrouwde services die vereist zijn voor bewerkingen zoals het maken van back-ups van gegevens.
- Uitzonderingen voor logboekregistratie en metrische gegevens toevoegen.
Nadat u netwerkregels hebt toegepast, worden deze afgedwongen voor alle aanvragen. SAS-tokens die toegang verlenen tot een specifiek IP-adres, dienen om de toegang van de tokenhouder te beperken, maar ze verlenen geen nieuwe toegang buiten geconfigureerde netwerkregels.
Netwerkbeveiligingsperimeter (preview)
Met netwerkbeveiligingsperimeter (preview) kunnen organisaties een logische netwerkisolatiegrens definiëren voor PaaS-resources (bijvoorbeeld Azure Blob Storage en SQL Database) die buiten hun virtuele netwerken worden geïmplementeerd. De functie beperkt de toegang van openbare netwerken tot PaaS-resources buiten de perimeter. U kunt echter toegang uitsluiten met behulp van expliciete toegangsregels voor openbaar binnenkomend en uitgaand verkeer. De toegang tot een opslagaccount vanuit een netwerkbeveiligingsperimeter heeft standaard de hoogste prioriteit boven andere netwerktoegangsbeperkingen.
Momenteel is netwerkbeveiligingsperimeter beschikbaar als openbare preview voor Azure Blobs, Azure Files (REST), Azure Tables en Azure Queues. Zie Overgang naar een netwerkbeveiligingsperimeter.
Belangrijk
Privé-eindpuntverkeer wordt beschouwd als zeer veilig en is daarom niet onderworpen aan regels voor netwerkbeveiligingsperimeter. Al het andere verkeer, inclusief vertrouwde services, is onderhevig aan regels voor netwerkbeveiligingsperimeter als het opslagaccount is gekoppeld aan een perimeter.
Beperkingen
Deze preview biedt geen ondersteuning voor de volgende services, bewerkingen en protocollen in een opslagaccount:
- Objectreplicatie voor Azure Blob Storage
- Levenscyclusbeheer voor Azure Blob Storage
- SSH File Transfer Protocol (SFTP) via Azure Blob Storage
- Het NFS-protocol (Network File System) met Azure Blob Storage en Azure Files.
- Het SMB-protocol (Server Message Block) met Azure Files kan op dit moment alleen worden bereikt via IP-acceptatielijst.
- Azure Blob Inventory
U wordt aangeraden geen netwerkbeveiligingsperimeter in te schakelen als u een van deze services, bewerkingen of protocollen moet gebruiken. Dit is om potentiële risico's voor gegevensverlies of gegevensexfiltratie te voorkomen.
Waarschuwing
Voor opslagaccounts die zijn gekoppeld aan een perimeternetwerkbeveiliging, moet u ervoor zorgen dat de Azure Key Vault toegankelijk is vanuit de perimeter waaraan het opslagaccount is gekoppeld, zodat cmk-scenario's (door de klant beheerde sleutels) werken.
Een netwerkbeveiligingsperimeter koppelen aan een opslagaccount
Als u een netwerkbeveiligingsperimeter wilt koppelen aan een opslagaccount, volgt u deze algemene instructies voor alle PaaS-resources.
Beperkingen en overwegingen
Voordat u netwerkbeveiliging voor uw opslagaccounts implementeert, bekijkt u de belangrijke beperkingen en overwegingen die in deze sectie worden besproken.
- Firewallregels van Azure Storage zijn alleen van toepassing op bewerkingen in het gegevensvlak . Besturingsvlakbewerkingen zijn niet onderhevig aan de beperkingen die zijn opgegeven in firewallregels.
- Controleer de beperkingen voor IP-netwerkregels.
- Als u toegang wilt krijgen tot gegevens met behulp van hulpprogramma's zoals Azure Portal, Azure Storage Explorer en AzCopy, moet u zich op een computer bevinden binnen de vertrouwde grens die u tot stand brengt bij het configureren van netwerkbeveiligingsregels.
- Netwerkregels worden afgedwongen op alle netwerkprotocollen voor Azure Storage, inclusief REST en SMB.
- Netwerkregels hebben geen invloed op schijfverkeer van virtuele machines (VM's), inclusief koppel- en ontkoppelbewerkingen en schijf-I/O, maar ze helpen wel OM REST-toegang tot pagina-blobs te beveiligen.
- U kunt niet-beheerde schijven in opslagaccounts gebruiken met netwerkregels die zijn toegepast om een back-up te maken van VM's en deze te herstellen door een uitzondering te maken. Firewall-uitzonderingen zijn niet van toepassing op beheerde schijven, omdat azure deze al beheert.
- Klassieke opslagaccounts bieden geen ondersteuning voor firewalls en virtuele netwerken.
- Als u een subnet verwijdert dat is opgenomen in een regel voor een virtueel netwerk, wordt dit verwijderd uit de netwerkregels voor het opslagaccount. Als u een nieuw subnet met dezelfde naam maakt, heeft het geen toegang tot het opslagaccount. Als u toegang wilt toestaan, moet u het nieuwe subnet expliciet autoriseren in de netwerkregels voor het opslagaccount.
- Wanneer u verwijst naar een service-eindpunt in een clienttoepassing, wordt u aangeraden geen afhankelijkheid te maken van een IP-adres in de cache. Het IP-adres van het opslagaccount is onderhevig aan wijzigingen en het vertrouwen op een IP-adres in de cache kan leiden tot onverwacht gedrag. Daarnaast is het raadzaam om de time-to-live (TTL) van de DNS-record te respecteren en te voorkomen dat u deze overschrijft. Het overschrijven van de DNS-TTL kan leiden tot onverwacht gedrag.
- Standaard heeft toegang tot een opslagaccount via vertrouwde services de hoogste prioriteit boven andere netwerktoegangsbeperkingen. Als u openbare netwerktoegang instelt op Uitgeschakeld nadat u deze eerder hebt ingesteld op Ingeschakeld vanuit geselecteerde virtuele netwerken en IP-adressen, blijven alle resource-exemplaren en uitzonderingen die u eerder hebt geconfigureerd, inclusief Toestaan dat Azure-services in de lijst met vertrouwde services toegang hebben tot dit opslagaccount, van kracht. Als gevolg hiervan hebben deze resources en services mogelijk nog steeds toegang tot het opslagaccount.
Autorisatie
Clients die toegang hebben verleend via netwerkregels, moeten blijven voldoen aan de autorisatievereisten van het opslagaccount om toegang te krijgen tot de gegevens. Autorisatie wordt ondersteund met Microsoft Entra-referenties voor blobs en wachtrijen, met een geldige toegangssleutel voor accounts of met een SAS-token (Shared Access Signature).
Wanneer u een blobcontainer configureert voor anonieme openbare toegang, hoeven aanvragen voor het lezen van gegevens in die container niet te worden geautoriseerd, maar blijven de firewallregels van kracht en worden anoniem verkeer geblokkeerd.
Standaardregel voor netwerktoegang wijzigen
Standaard accepteren opslagaccounts verbindingen van clients in elk netwerk. U kunt de toegang tot geselecteerde netwerken beperken of verkeer van alle netwerken voorkomen en alleen toegang toestaan via een privé-eindpunt.
U moet de standaardregel instellen om te weigeren of netwerkregels hebben geen effect. Het wijzigen van deze instelling kan echter van invloed zijn op de mogelijkheid van uw toepassing om verbinding te maken met Azure Storage. Zorg ervoor dat u toegang verleent tot alle toegestane netwerken of toegang instelt via een privé-eindpunt voordat u deze instelling wijzigt.
Notitie
Het wordt aanbevolen de Azure Az PowerShell-module te gebruiken om te communiceren met Azure. Zie Azure PowerShell installeren om aan de slag te gaan. Raadpleeg Azure PowerShell migreren van AzureRM naar Az om te leren hoe u naar de Azure PowerShell-module migreert.
Ga naar het opslagaccount dat u wilt beveiligen.
Selecteer Netwerken in het servicemenu onder Beveiliging en netwerken.
Kies welke netwerktoegang is ingeschakeld via het openbare eindpunt van het opslagaccount:
Selecteer Ingeschakeld in alle netwerken of Ingeschakeld in geselecteerde virtuele netwerken en IP-adressen. Als u de tweede optie selecteert, wordt u gevraagd virtuele netwerken en IP-adresbereiken toe te voegen.
Als u binnenkomende toegang wilt beperken terwijl uitgaande toegang is toegestaan, selecteert u Uitgeschakeld.
Selecteer Opslaan om uw wijzigingen toe te passen.
Toegang verlenen vanuit een virtueel netwerk
U kunt opslagaccounts zo configureren dat alleen toegang vanaf specifieke subnetten is toegestaan. De toegestane subnetten kunnen deel uitmaken van een virtueel netwerk in hetzelfde abonnement of een ander abonnement, inclusief subnetten die deel uitmaken van een andere Microsoft Entra-tenant. Met service-eindpunten tussen regio's kunnen de toegestane subnetten zich ook in verschillende regio's van het opslagaccount bevinden.
U kunt een service-eindpunt inschakelen voor Azure Storage in het virtuele netwerk. Het service-eindpunt routeert verkeer van het virtuele netwerk via een optimaal pad naar de Azure Storage-service. De identiteiten van het subnet en het virtuele netwerk worden ook bij elke aanvraag verzonden. Beheerders kunnen vervolgens netwerkregels configureren voor het opslagaccount waarmee aanvragen van specifieke subnetten in een virtueel netwerk kunnen worden ontvangen. Clients die toegang hebben verleend via deze netwerkregels, moeten blijven voldoen aan de autorisatievereisten van het opslagaccount om toegang te krijgen tot de gegevens.
Elk opslagaccount ondersteunt maximaal 400 regels voor virtuele netwerken. U kunt deze regels combineren met IP-netwerkregels.
Belangrijk
Wanneer u verwijst naar een service-eindpunt in een clienttoepassing, wordt u aangeraden geen afhankelijkheid te maken van een IP-adres in de cache. Het IP-adres van het opslagaccount is onderhevig aan wijzigingen en het vertrouwen op een IP-adres in de cache kan leiden tot onverwacht gedrag.
Daarnaast is het raadzaam om de time-to-live (TTL) van de DNS-record te respecteren en te voorkomen dat u deze overschrijft. Het overschrijven van de DNS-TTL kan leiden tot onverwacht gedrag.
Vereiste machtigingen
Als u een regel voor een virtueel netwerk wilt toepassen op een opslagaccount, moet de gebruiker over de juiste machtigingen beschikken voor de subnetten die worden toegevoegd. Een inzender voor opslagaccounts of een gebruiker die gemachtigd is voor de bewerking van de Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action
Azure-resourceprovider, kan een regel toepassen met behulp van een aangepaste Azure-rol.
Het opslagaccount en de virtuele netwerken die toegang krijgen, kunnen zich in verschillende abonnementen bevinden, waaronder abonnementen die deel uitmaken van een andere Microsoft Entra-tenant.
Configuratie van regels die toegang verlenen tot subnetten in virtuele netwerken die deel uitmaken van een andere Microsoft Entra-tenant, worden momenteel alleen ondersteund via PowerShell, de Azure CLI en REST API's. U kunt dergelijke regels niet configureren via Azure Portal, maar u kunt ze wel bekijken in de portal.
Service-eindpunten voor meerdere regio's in Azure Storage
Service-eindpunten tussen regio's voor Azure Storage zijn algemeen beschikbaar in april 2023. Ze werken tussen virtuele netwerken en opslagservice-exemplaren in elke regio. Met service-eindpunten in meerdere regio's gebruiken subnetten geen openbaar IP-adres meer om te communiceren met een opslagaccount, inclusief die in een andere regio. In plaats daarvan gebruikt al het verkeer van subnetten naar opslagaccounts een privé-IP-adres als bron-IP. Als gevolg hiervan hebben alle opslagaccounts die GEBRUIKMAKEN van IP-netwerkregels om verkeer van deze subnetten toe te laten, geen effect meer.
Het configureren van service-eindpunten tussen virtuele netwerken en service-exemplaren in een gekoppelde regio kan een belangrijk onderdeel zijn van uw plan voor herstel na noodgevallen. Service-eindpunten bieden continuïteit tijdens een regionale failover en toegang tot alleen-lezen geografisch redundante opslagexemplaren (RA-GRS). Netwerkregels die toegang verlenen vanuit een virtueel netwerk aan een opslagaccount, verlenen ook toegang tot een RA-GRS-exemplaar.
Wanneer u van plan bent om herstel na noodgevallen te plannen tijdens een regionale storing, maakt u vooraf de virtuele netwerken in de gekoppelde regio. Schakel service-eindpunten in voor Azure Storage, met netwerkregels die toegang verlenen vanuit deze alternatieve virtuele netwerken. Pas deze regels vervolgens toe op uw geografisch redundante opslagaccounts.
Service-eindpunten voor lokale en regio's kunnen niet naast elkaar bestaan in hetzelfde subnet. Als u bestaande service-eindpunten wilt vervangen door meerdere regio's, verwijdert u de bestaande Microsoft.Storage
eindpunten en maakt u deze opnieuw als eindpunten tussen regio's (Microsoft.Storage.Global
).
Regels voor virtueel netwerk en toegang beheren
U kunt regels voor virtuele netwerken en toegang voor opslagaccounts beheren via Azure Portal, PowerShell of Azure CLI v2.
Als u toegang tot uw opslagaccount wilt inschakelen vanuit een virtueel netwerk of subnet in een andere Microsoft Entra-tenant, moet u PowerShell of de Azure CLI gebruiken. In Azure Portal worden geen subnetten weergegeven in andere Microsoft Entra-tenants.
Ga naar het opslagaccount waarvoor u regels voor virtueel netwerk en toegang wilt configureren.
Selecteer Netwerken in het servicemenu onder Beveiliging en netwerken.
Controleer of u ervoor hebt gekozen om openbare netwerktoegang in te schakelen vanuit geselecteerde virtuele netwerken en IP-adressen.
Als u toegang wilt verlenen tot een virtueel netwerk met behulp van een nieuwe netwerkregel, selecteert u onder Virtuele netwerken de optie Bestaand virtueel netwerk toevoegen. Selecteer de opties voor virtuele netwerken en subnetten en selecteer vervolgens Toevoegen. Als u een nieuw virtueel netwerk wilt maken en toegang wilt verlenen, selecteert u Nieuw virtueel netwerk toevoegen. Geef de benodigde informatie op om het nieuwe virtuele netwerk te maken en selecteer vervolgens Maken. Momenteel worden alleen virtuele netwerken die deel uitmaken van dezelfde Microsoft Entra-tenant weergegeven voor selectie tijdens het maken van regels. Als u toegang wilt verlenen tot een subnet in een virtueel netwerk dat deel uitmaakt van een andere tenant, gebruikt u PowerShell, de Azure CLI of REST API.
Als u een regel voor een virtueel netwerk of subnet wilt verwijderen, selecteert u het beletselteken (...) om het contextmenu voor het virtuele netwerk of subnet te openen en selecteert u Verwijderen.
Selecteer Opslaan om uw wijzigingen toe te passen.
Belangrijk
Als u een subnet verwijdert dat is opgenomen in een netwerkregel, wordt dit verwijderd uit de netwerkregels voor het opslagaccount. Als u een nieuw subnet met dezelfde naam maakt, heeft het geen toegang tot het opslagaccount. Als u toegang wilt toestaan, moet u het nieuwe subnet expliciet autoriseren in de netwerkregels voor het opslagaccount.
Toegang verlenen vanuit een IP-bereik
U kunt IP-netwerkregels gebruiken om toegang vanuit specifieke IP-adresbereiken voor openbaar internet toe te staan door IP-netwerkregels te maken. Elk opslagaccount ondersteunt maximaal 400 regels. Deze regels verlenen toegang tot specifieke internetservices en on-premises netwerken en blokkeren algemeen internetverkeer.
Beperkingen voor IP-netwerkregels
De volgende beperkingen zijn van toepassing op IP-adresbereiken:
IP-netwerkregels zijn alleen toegestaan voor openbare internet-IP-adressen .
IP-adresbereiken die zijn gereserveerd voor privénetwerken (zoals gedefinieerd in RFC 1918) zijn niet toegestaan in IP-regels. Privénetwerken bevatten adressen die beginnen met 10, 172.16 tot 172.31 en 192.168.
U moet toegestane internetadresbereiken opgeven met cidr-notatie in de vorm 16.17.18.0/24 of als afzonderlijke IP-adressen zoals 16.17.18.19.
Kleine adresbereiken die gebruikmaken van /31- of /32-voorvoegsels worden niet ondersteund. Configureer deze bereiken met behulp van afzonderlijke IP-adresregels.
Alleen IPv4-adressen worden ondersteund voor de configuratie van firewallregels voor opslag.
Belangrijk
In de volgende gevallen kunt u geen IP-netwerkregels gebruiken:
- Om de toegang tot clients in dezelfde Azure-regio als het opslagaccount te beperken. IP-netwerkregels hebben geen invloed op aanvragen die afkomstig zijn van dezelfde Azure-regio als het opslagaccount. Gebruik regels voor virtuele netwerken om aanvragen van dezelfde regio toe te staan.
- Als u de toegang tot clients in een gekoppelde regio wilt beperken die zich in een virtueel netwerk bevinden met een service-eindpunt.
- De toegang tot Azure-services beperken die zijn geïmplementeerd in dezelfde regio als het opslagaccount. Services die zijn geïmplementeerd in dezelfde regio als het opslagaccount, gebruiken privé Azure IP-adressen voor communicatie. U kunt de toegang tot specifieke Azure-services dus niet beperken op basis van hun openbare uitgaande IP-adresbereik.
Toegang configureren vanuit on-premises netwerken
Als u toegang wilt verlenen vanuit uw on-premises netwerken aan uw opslagaccount met behulp van een IP-netwerkregel, moet u de internetgerichte IP-adressen identificeren die door uw netwerk worden gebruikt. Neem contact op met de netwerkbeheerder voor hulp.
Als u Azure ExpressRoute van uw locatie gebruikt, moet u de NAT-IP-adressen identificeren die worden gebruikt voor Microsoft-peering. De serviceprovider of de klant levert de NAT IP-adressen.
Als u toegang tot uw serviceresources wilt toestaan, moet u deze openbare IP-adressen toestaan in de firewallinstelling voor resource-IP-adressen.
IP-netwerkregels beheren
U kunt IP-netwerkregels voor opslagaccounts beheren via Azure Portal, PowerShell of Azure CLI v2.
Ga naar het opslagaccount waarvoor u IP-netwerkregels wilt beheren.
Selecteer Netwerken in het servicemenu onder Beveiliging en netwerken.
Controleer of u ervoor hebt gekozen om openbare netwerktoegang in te schakelen vanuit geselecteerde virtuele netwerken en IP-adressen.
Als u toegang wilt verlenen tot een INTERNET-IP-bereik, voert u het IP-adres of adresbereik (in CIDR-indeling) in onder Firewall-adresbereik>.
Als u een IP-netwerkregel wilt verwijderen, selecteert u het verwijderpictogram ( ) naast het adresbereik.
Selecteer Opslaan om uw wijzigingen toe te passen.
Toegang verlenen vanuit Azure-resource-exemplaren
In sommige gevallen is een toepassing mogelijk afhankelijk van Azure-resources die niet kunnen worden geïsoleerd via een virtueel netwerk of een IP-adresregel. Maar u wilt nog steeds de toegang tot opslagaccounts beveiligen en beperken tot alleen de Azure-resources van uw toepassing. U kunt opslagaccounts configureren om toegang te verlenen tot specifieke resource-exemplaren van vertrouwde Azure-services door een regel voor het resource-exemplaar te maken.
De Azure-roltoewijzingen van het resource-exemplaar bepalen de typen bewerkingen die een resource-exemplaar kan uitvoeren op opslagaccountgegevens. Resource-exemplaren moeten afkomstig zijn van dezelfde tenant als uw opslagaccount, maar ze kunnen deel uitmaken van elk abonnement in de tenant.
U kunt resourcenetwerkregels toevoegen of verwijderen in Azure Portal:
Meld u aan bij het Azure-portaal.
Zoek uw opslagaccount en geef het accountoverzicht weer.
Selecteer Netwerken in het servicemenu onder Beveiliging en netwerken.
Controleer of u ervoor hebt gekozen om openbare netwerktoegang in te schakelen vanuit geselecteerde virtuele netwerken en IP-adressen.
Schuif omlaag om resource-exemplaren te zoeken. Selecteer in de vervolgkeuzelijst Resourcetype het resourcetype van uw resource-exemplaar.
Selecteer het resource-exemplaar in de vervolgkeuzelijst Exemplaarnaam . U kunt er ook voor kiezen om alle resource-exemplaren op te nemen in de huidige tenant, het abonnement of de resourcegroep.
Selecteer Opslaan om uw wijzigingen toe te passen. Het resource-exemplaar wordt weergegeven in de sectie Resource-exemplaren van de pagina voor netwerkinstellingen.
Als u het resource-exemplaar wilt verwijderen, selecteert u het verwijderpictogram ( ) naast het resource-exemplaar.
Toegang verlenen tot vertrouwde Azure-services
Sommige Azure-services werken vanuit netwerken die u niet kunt opnemen in uw netwerkregels. U kunt een subset van dergelijke vertrouwde Azure-services toegang verlenen tot het opslagaccount, terwijl u netwerkregels voor andere apps onderhoudt. Deze vertrouwde services gebruiken vervolgens sterke verificatie om verbinding te maken met uw opslagaccount.
U kunt toegang verlenen tot vertrouwde Azure-services door een uitzondering voor netwerkregels te maken. De sectie Uitzonderingen beheren van dit artikel bevat stapsgewijze instructies.
Vertrouwde toegang voor resources die zijn geregistreerd in uw Microsoft Entra-tenant
Resources van sommige services hebben toegang tot uw opslagaccount voor geselecteerde bewerkingen, zoals het schrijven van logboeken of het uitvoeren van back-ups. Deze services moeten worden geregistreerd in een abonnement dat zich in dezelfde Microsoft Entra-tenant bevindt als uw opslagaccount. In de volgende tabel worden elke service en de toegestane bewerkingen beschreven.
Service | Naam van resourceprovider | Toegestane bewerkingen |
---|---|---|
Azure Backup | Microsoft.RecoveryServices |
Voer back-ups en herstelbewerkingen van niet-beheerde schijven uit op virtuele IaaS-machines (infrastructure as a service) (niet vereist voor beheerde schijven). Meer informatie. |
Azure Data Box | Microsoft.DataBox |
Gegevens importeren in Azure. Meer informatie. |
Azure DevTest Labs | Microsoft.DevTestLab |
Maak aangepaste installatiekopieën en installeer artefacten. Meer informatie. |
Azure Event Grid | Microsoft.EventGrid |
Azure Blob Storage-gebeurtenispublicatie inschakelen en publiceren naar opslagwachtrijen toestaan. |
Azure Event Hubs | Microsoft.EventHub |
Gegevens archiveren met Event Hubs Capture. Meer informatie. |
Azure File Sync | Microsoft.StorageSync |
Transformeer uw on-premises bestandsserver naar een cache voor Azure-bestandsshares. Met deze mogelijkheid kunnen meerdere sites worden gesynchroniseerd, snel herstel na noodgevallen en back-ups aan de cloudzijde worden gemaakt. Meer informatie. |
Azure HDInsight | Microsoft.HDInsight |
Richt de eerste inhoud van het standaardbestandssysteem in voor een nieuw HDInsight-cluster. Meer informatie. |
Azure Import/Export | Microsoft.ImportExport |
Gegevens importeren in Azure Storage of gegevens exporteren uit Azure Storage. Meer informatie. |
Azure Monitor | Microsoft.Insights |
Schrijf bewakingsgegevens naar een beveiligd opslagaccount, waaronder resourcelogboeken, Microsoft Defender voor Eindpunt gegevens, aanmeldings- en auditlogboeken van Microsoft Entra en Microsoft Intune-logboeken. Meer informatie. |
Azure-netwerkservices | Microsoft.Network |
Sla netwerkverkeerslogboeken op en analyseer deze, waaronder via de Azure Network Watcher- en Azure Traffic Manager-services. Meer informatie. |
Azure Site Recovery | Microsoft.SiteRecovery |
Schakel replicatie in voor herstel na noodgevallen van virtuele Azure IaaS-machines wanneer u cache-, bron- of doelopslagaccounts met firewalls gebruikt. Meer informatie. |
Vertrouwde toegang op basis van een beheerde identiteit
De volgende tabel bevat services die toegang hebben tot uw opslagaccountgegevens als de resource-exemplaren van deze services over de juiste machtiging beschikken.
Service | Naam van resourceprovider | Doel |
---|---|---|
Azure FarmBeats | Microsoft.AgFoodPlatform/farmBeats |
Maakt toegang tot opslagaccounts mogelijk. |
Azure API Management | Microsoft.ApiManagement/service |
Hiermee kunt u toegang krijgen tot opslagaccounts achter firewalls via beleid. Meer informatie. |
Microsoft Autonomous Systems | Microsoft.AutonomousSystems/workspaces |
Maakt toegang tot opslagaccounts mogelijk. |
Azure Cache voor Redis | Microsoft.Cache/Redis |
Maakt toegang tot opslagaccounts mogelijk. Meer informatie. |
Azure AI Search | Microsoft.Search/searchServices |
Maakt toegang tot opslagaccounts mogelijk voor indexering, verwerking en query's. |
Azure AI-services | Microsoft.CognitiveService/accounts |
Maakt toegang tot opslagaccounts mogelijk. Meer informatie. |
Azure Container Registry | Microsoft.ContainerRegistry/registries |
Via de ACR Tasks-suite met functies kunt u toegang krijgen tot opslagaccounts wanneer u containerinstallatiekopieën bouwt. |
Microsoft Cost Management | Microsoft.CostManagementExports |
Hiermee kunt u exporteren naar opslagaccounts achter een firewall. Meer informatie. |
Azure Databricks | Microsoft.Databricks/accessConnectors |
Maakt toegang tot opslagaccounts mogelijk. |
Azure Data Factory | Microsoft.DataFactory/factories |
Hiermee kunt u toegang krijgen tot opslagaccounts via de Data Factory-runtime. |
Azure Backup Vault | Microsoft.DataProtection/BackupVaults |
Maakt toegang tot opslagaccounts mogelijk. |
Azure Data Share | Microsoft.DataShare/accounts |
Maakt toegang tot opslagaccounts mogelijk. |
Azure Database for PostgreSQL | Microsoft.DBForPostgreSQL |
Maakt toegang tot opslagaccounts mogelijk. |
Azure IoT Hub | Microsoft.Devices/IotHubs |
Hiermee kunnen gegevens van een IoT-hub worden geschreven naar Blob Storage. Meer informatie. |
Azure DevTest Labs | Microsoft.DevTestLab/labs |
Maakt toegang tot opslagaccounts mogelijk. |
Azure Event Grid | Microsoft.EventGrid/domains |
Maakt toegang tot opslagaccounts mogelijk. |
Azure Event Grid | Microsoft.EventGrid/partnerTopics |
Maakt toegang tot opslagaccounts mogelijk. |
Azure Event Grid | Microsoft.EventGrid/systemTopics |
Maakt toegang tot opslagaccounts mogelijk. |
Azure Event Grid | Microsoft.EventGrid/topics |
Maakt toegang tot opslagaccounts mogelijk. |
Microsoft Fabric | Microsoft.Fabric |
Maakt toegang tot opslagaccounts mogelijk. |
Azure Healthcare APIs | Microsoft.HealthcareApis/services |
Maakt toegang tot opslagaccounts mogelijk. |
Azure Healthcare APIs | Microsoft.HealthcareApis/workspaces |
Maakt toegang tot opslagaccounts mogelijk. |
Azure IoT Central | Microsoft.IoTCentral/IoTApps |
Maakt toegang tot opslagaccounts mogelijk. |
Beheerde HSM van Azure Key Vault | Microsoft.keyvault/managedHSMs |
Maakt toegang tot opslagaccounts mogelijk. |
Azure Logic-apps | Microsoft.Logic/integrationAccounts |
Hiermee kunnen logische apps toegang krijgen tot opslagaccounts. Meer informatie. |
Azure Logic-apps | Microsoft.Logic/workflows |
Hiermee kunnen logische apps toegang krijgen tot opslagaccounts. Meer informatie. |
Azure Machine Learning Studio | Microsoft.MachineLearning/registries |
Hiermee kunnen geautoriseerde Azure Machine Learning-werkruimten experimentuitvoer, modellen en logboeken schrijven naar Blob Storage en de gegevens lezen. Meer informatie. |
Azure Machine Learning | Microsoft.MachineLearningServices |
Hiermee kunnen geautoriseerde Azure Machine Learning-werkruimten experimentuitvoer, modellen en logboeken schrijven naar Blob Storage en de gegevens lezen. Meer informatie. |
Azure Machine Learning | Microsoft.MachineLearningServices/workspaces |
Hiermee kunnen geautoriseerde Azure Machine Learning-werkruimten experimentuitvoer, modellen en logboeken schrijven naar Blob Storage en de gegevens lezen. Meer informatie. |
Azure Media Services | Microsoft.Media/mediaservices |
Maakt toegang tot opslagaccounts mogelijk. |
Azure Migrate | Microsoft.Migrate/migrateprojects |
Maakt toegang tot opslagaccounts mogelijk. |
Azure Spatial Anchors | Microsoft.MixedReality/remoteRenderingAccounts |
Maakt toegang tot opslagaccounts mogelijk. |
Azure ExpressRoute | Microsoft.Network/expressRoutePorts |
Maakt toegang tot opslagaccounts mogelijk. |
Microsoft Power Platform | Microsoft.PowerPlatform/enterprisePolicies |
Maakt toegang tot opslagaccounts mogelijk. |
Microsoft Project Projects | Microsoft.ProjectArcadia/workspaces |
Maakt toegang tot opslagaccounts mogelijk. |
Azure Data Catalog | Microsoft.ProjectBabylon/accounts |
Maakt toegang tot opslagaccounts mogelijk. |
Microsoft Purview | Microsoft.Purview/accounts |
Maakt toegang tot opslagaccounts mogelijk. |
Azure Site Recovery | Microsoft.RecoveryServices/vaults |
Maakt toegang tot opslagaccounts mogelijk. |
Beveiligingscentrum | Microsoft.Security/dataScanners |
Maakt toegang tot opslagaccounts mogelijk. |
Singulariteit | Microsoft.Singularity/accounts |
Maakt toegang tot opslagaccounts mogelijk. |
Azure SQL-database | Microsoft.Sql |
Hiermee kunt u auditgegevens schrijven naar opslagaccounts achter een firewall. |
Azure SQL-servers | Microsoft.Sql/servers |
Hiermee kunt u auditgegevens schrijven naar opslagaccounts achter een firewall. |
Azure Synapse Analytics | Microsoft.Sql |
Hiermee kunt u gegevens uit specifieke SQL-databases importeren en exporteren via de COPY instructie of PolyBase (in een toegewezen pool), of de openrowset functie en externe tabellen in een serverloze pool. Meer informatie. |
Azure Stream Analytics | Microsoft.StreamAnalytics |
Hiermee kunnen gegevens van een streamingtaak worden geschreven naar Blob Storage. Meer informatie. |
Azure Stream Analytics | Microsoft.StreamAnalytics/streamingjobs |
Hiermee kunnen gegevens van een streamingtaak worden geschreven naar Blob Storage. Meer informatie. |
Azure Synapse Analytics | Microsoft.Synapse/workspaces |
Hiermee kunt u toegang krijgen tot gegevens in Azure Storage. |
Azure Video Indexer | Microsoft.VideoIndexer/Accounts |
Maakt toegang tot opslagaccounts mogelijk. |
Als voor uw account de hiërarchische naamruimtefunctie niet is ingeschakeld, kunt u toestemming verlenen door expliciet een Azure-rol toe te wijzen aan de beheerde identiteit voor elk resource-exemplaar. In dit geval komt het toegangsbereik voor het exemplaar overeen met de Azure-rol die is toegewezen aan de beheerde identiteit.
U kunt dezelfde techniek gebruiken voor een account waarvoor de hiërarchische naamruimtefunctie is ingeschakeld. U hoeft echter geen Azure-rol toe te wijzen als u de beheerde identiteit toevoegt aan de toegangsbeheerlijst (ACL) van een map of blob die het opslagaccount bevat. In dat geval komt het toegangsbereik voor het exemplaar overeen met de map of het bestand waartoe de beheerde identiteit toegang heeft.
U kunt ook Azure-rollen en ACL's combineren om toegang te verlenen. Zie het Access Control-model in Azure Data Lake Storage voor meer informatie.
U wordt aangeraden regels voor het resource-exemplaar te gebruiken om toegang te verlenen tot specifieke resources.
Uitzonderingen beheren
In sommige gevallen, zoals opslaganalyse, is toegang tot het lezen van resourcelogboeken en metrische gegevens vereist van buiten de netwerkgrens. Wanneer u vertrouwde services configureert voor toegang tot het opslagaccount, kunt u leestoegang toestaan voor de logboekbestanden, metrische tabellen of beide door een uitzondering voor netwerkregels te maken. U kunt uitzonderingen voor netwerkregels beheren via Azure Portal, PowerShell of Azure CLI v2.
Zie Azure Storage-analyses gebruiken om logboeken en metrische gegevens te verzamelen voor meer informatie over het werken met opslaganalyses.
Ga naar het opslagaccount waarvoor u uitzonderingen wilt beheren.
Selecteer Netwerken in het servicemenu onder Beveiliging en netwerken.
Controleer of u ervoor hebt gekozen om openbare netwerktoegang in te schakelen vanuit geselecteerde virtuele netwerken en IP-adressen.
Selecteer onder Uitzonderingen de uitzonderingen die u wilt verlenen.
Selecteer Opslaan om uw wijzigingen toe te passen.
Volgende stappen
- Meer informatie over Azure-netwerkservice-eindpunten.
- Dieper ingaan op beveiligingsaanaanveling voor Azure Blob Storage.