Configurar redes virtuais e firewalls do Armazenamento do Microsoft Azure
O Armazenamento do Microsoft Azure fornece um modelo de segurança em camadas. Esse modelo permite que você controle o nível de acesso às suas contas de armazenamento que seus aplicativos e ambientes corporativos exigem, com base no tipo e no subconjunto de redes usadas.
Quando as regras de rede são configuradas, somente aplicativos que solicitam dados do conjunto especificado de redes ou por meio do conjunto especificado de recursos do Azure podem acessar uma conta de armazenamento. Você pode limitar o acesso à sua conta de armazenamento a solicitações originadas de endereços IP especificados, intervalos de IP, sub-redes em uma rede virtual do Azure, ou instâncias de recursos de alguns serviços do Azure.
As contas de armazenamento têm um ponto de extremidade público que pode ser acessado pela Internet. Também é possível criar pontos de extremidade privados para sua conta de armazenamento. A criação de pontos de extremidade privados atribui um endereço IP privado de sua rede virtual à conta de armazenamento. Isso protege todo o tráfego entre a rede virtual e a conta de armazenamento em um link privado.
O firewall do Armazenamento do Microsoft Azure fornece acesso de controle de acesso para o ponto de extremidade público da sua conta de armazenamento. Você também pode usar o firewall para bloquear todo o acesso por meio do ponto de extremidade público ao usar pontos de extremidades privados. A configuração do firewall de armazenamento também permite que serviços confiáveis da plataforma Azure acessem a conta de armazenamento.
Um aplicativo que acessa uma conta de armazenamento quando as regras de rede estão em vigor ainda requer autorização adequada para a solicitação. A autorização é compatível com as credenciais do Microsoft Entra para blobs, tabelas, compartilhamento de arquivos e filas, com uma chave de acesso de conta válida ou um token de assinatura de acesso compartilhado (SAS). Quando um contêiner de blob é configurado para acesso anônimo, as solicitações para ler dados nesse contêiner não precisam ser autorizadas. As regras de firewall permanecem em vigor e bloquearão o tráfego anônimo.
Ativar regras de firewall para sua conta de armazenamento bloqueia solicitações de entrada para os dados por padrão, a menos que as solicitações sejam provenientes de um serviço que esteja operando em uma rede virtual do Azure ou de endereços IP públicos permitidos. Solicitações que estão bloqueadas incluem as de outros serviços do Azure, do portal do Azure, de registro em log e serviços de métricas.
Você pode conceder acesso aos serviços do Azure que operam de dentro de uma rede virtual, permitindo tráfego da sub-rede que hospeda a instância do serviço. Você também pode habilitar um número limitado de cenários por meio do mecanismo de exceções que este artigo descreve. O acesso a dados da conta de armazenamento por meio do portal do Azure precisa ser feito de um computador dentro do limite confiável (IP ou rede virtual) que você configurou.
Observação
Recomendamos que você use o módulo Az PowerShell do Azure para interagir com o Azure. Para começar, consulte Instalar o Azure PowerShell. Para saber como migrar para o módulo Az PowerShell, confira Migrar o Azure PowerShell do AzureRM para o Az.
Cenários
Para proteger sua conta de armazenamento, primeiro você deve configurar uma regra para negar o acesso ao tráfego de todas as redes (incluindo o tráfego da Internet) no ponto de extremidade público, por padrão. Em seguida, você deverá configurar regras que permitam acesso ao tráfego de redes virtuais específicas. Você também pode configurar regras para permitir acesso ao tráfego de intervalos de endereços IP públicos da Internet selecionados, permitindo conexões de clientes locais ou da Internet específicos. Essa configuração permite que você crie um limite de rede seguro para seus aplicativos.
Você pode combinar regras de firewall que permitem o acesso de redes virtuais específicas e de intervalos de endereços IP públicos na mesma conta de armazenamento. Você pode aplicar as regras de firewall de armazenamento para contas de armazenamento existentes ou ao criar novas contas de armazenamento.
As regras de firewall de armazenamento se aplicam ao ponto de extremidade público de uma conta de armazenamento. Você não precisa de nenhuma regra de acesso de firewall para permitir o tráfego para pontos de extremidade privados de uma conta de armazenamento. O processo de aprovar a criação de um ponto de extremidade privado concede acesso implícito ao tráfego da sub-rede que hospeda o ponto de extremidade privado.
Importante
As regras de firewall do Armazenamento do Azure se aplicam apenas a operações de plano de dados. As operações do Painel de controle não estão sujeitas às restrições especificadas nas regras de firewall.
Algumas operações, como as operações de contêineres de blob, podem ser executadas por meio do painel de controle e do plano de dados. Portanto, se você tentar executar uma operação, como listar contêineres no portal do Azure, a operação será bem-sucedida, a menos que seja bloqueada por outro mecanismo. As tentativas de acessar dados de blob de um aplicativo como o Gerenciador de Armazenamento do Azure são controladas pelas restrições do firewall.
Para obter uma lista de operações de plano de dados, confira a Referência da API REST do Armazenamento do Azure. Para obter uma lista das operações do painel de controle, confira a Referência da API REST do Provedor de Recursos de Armazenamento do Azure.
Configurar o acesso à rede para o Armazenamento do Azure
Você pode controlar o acesso aos dados em sua conta de armazenamento por meio de pontos de extremidade de rede ou por meio de serviços ou recursos confiáveis em qualquer combinação, incluindo:
- Permissão para o acesso de sub-redes de rede virtual selecionadas usando pontos de extremidade privados.
- Permissão para o acesso de sub-redes de rede virtual selecionadas usando pontos de extremidade de serviço.
- Permissão para o acesso a partir de endereços ou intervalos de IP públicos específicos.
- Permissão para o acesso a partir de instâncias de recursos do Azure selecionadas.
- Permissão para o acesso de serviços confiáveis do Azure (usando Gerenciar exceções).
- Configuração de exceções para serviços de registro e métricas.
Sobre os pontos de extremidade de rede virtual
Há dois tipos de pontos de extremidade de rede virtual para contas de armazenamento:
Os pontos de extremidade de serviço de rede virtual são públicos e acessíveis pela Internet. O firewall do Armazenamento do Azure oferece a capacidade de controlar o acesso à conta de armazenamento nos pontos de extremidade públicos. Ao habilitar o acesso à rede pública para a conta de armazenamento, todas as solicitações de entrada de dados são bloqueadas por padrão. Somente os aplicativos que solicitarem dados de fontes permitidas que você definir nas configurações de firewall da conta de armazenamento poderão acessar seus dados. As fontes podem incluir o endereço IP de origem ou a sub-rede de rede virtual de um cliente, ou um serviço ou instância de recurso do Azure por meio do qual clientes ou serviços acessam seus dados. As solicitações bloqueadas incluem as de outros serviços do Azure, do portal do Azure e de serviços de registro em log e métricas, a menos que você permita explicitamente o acesso na configuração do firewall.
Um ponto de extremidade privado usa um endereço IP privado da rede virtual para acessar uma conta de armazenamento na rede de backbone da Microsoft. Com um ponto de extremidade privado, o tráfego entre sua rede virtual e a conta de armazenamento é protegido por um link privado. As regras de firewall de armazenamento só se aplicam aos pontos de extremidade públicos de uma conta de armazenamento, não aos pontos de extremidade privados. O processo de aprovar a criação de um ponto de extremidade privado concede acesso implícito ao tráfego da sub-rede que hospeda o ponto de extremidade privado. Você pode usar as Políticas de Rede para controlar o tráfego em pontos de extremidade privados se quiser refinar as regras de acesso. Se quiser usar exclusivamente pontos de extremidade privados, você pode usar o firewall para bloquear todo o acesso por meio do ponto de extremidade público.
Para ajudar você a decidir quando usar cada tipo de ponto de extremidade em seu ambiente, confira Comparar Pontos de Extremidade Privados e Pontos de Extremidade de Serviço.
Como abordar a segurança de rede para a conta de armazenamento
Para proteger a conta de armazenamento e criar um limite de rede seguro para os aplicativos:
Comece desabilitando todo o acesso à rede pública para a conta de armazenamento na configuração Acesso à rede pública no firewall da conta de armazenamento.
Sempre que possível, configure links privados para a conta de armazenamento a partir de pontos de extremidade privados em sub-redes de rede virtual onde residem os clientes que precisam acessar seus dados.
Se os aplicativos clientes exigirem acesso pelos pontos de extremidade públicos, altere a configuração Acesso à rede pública para Habilitado nas redes virtuais e endereços IP selecionados. Em seguida, conforme necessário:
- Especifique as sub-redes de rede virtual das quais você deseja permitir o acesso.
- Especifique os intervalos de endereços IP públicos dos clientes dos quais deseja permitir o acesso, como os que estão em redes locais.
- Permita o acesso a partir de instâncias de recursos do Azure selecionadas.
- Adicione exceções para permitir o acesso de serviços confiáveis necessários para operações como o backup de dados.
- Adicione exceções para registro em log e métricas.
Depois de aplicar regras de rede, elas serão impostas para todas as solicitações. Os tokens SAS que concedem acesso a um serviço de endereço IP específico limitam o acesso do proprietário do token, mas não concedem um novo acesso além das regras de rede configuradas.
perímetro de segurança de rede (versão prévia)
O perímetro de segurança da rede (versão prévia) permite que os administradores definam um limite de isolamento de rede lógica para recursos de PaaS (por exemplo, Armazenamento de Blobs do Azure e Banco de Dados SQL do Azure) que são implantados fora das redes virtuais. O recurso restringe o acesso à rede pública aos recursos de PaaS fora do perímetro. No entanto, você pode isentar o acesso usando regras de acesso explícitas para tráfego público de entrada e saída. O acesso a uma conta de armazenamento de dentro de um perímetro de segurança de rede tem maior precedência do que outras restrições de acesso à rede, por padrão.
Atualmente, o perímetro de segurança de rede está em versão prévia pública para Blobs do Azure, Arquivos do Azure (REST), Tabelas do Azure e Filas do Azure. Consulte Transição para um perímetro de segurança de rede.
A lista de serviços que foram integrados ao perímetro de segurança de rede pode ser encontrada aqui.
Para serviços que não estão nesta lista, pois ainda não foram integrados ao perímetro de segurança de rede, se você quiser permitir o acesso, poderá usar uma regra baseada em assinatura no perímetro de segurança de rede. Todos os recursos dentro dessa assinatura terão acesso a esse perímetro de segurança de rede. Para obter mais informações sobre como adicionar uma regra de acesso baseada em assinatura, consulte aqui.
Importante
O tráfego de ponto de extremidade privado é considerado altamente seguro e, portanto, não está sujeito a regras do perímetro de segurança de rede. Todo o outro tráfego, incluindo serviços confiáveis, estará sujeito às regras do perímetro de segurança de rede se a conta de armazenamento estiver associada a um perímetro.
Limitações
Esta versão prévia não dá suporte aos seguintes serviços, operações e protocolos em uma conta de armazenamento:
- Replicação de objeto para o Armazenamento de Blobs do Azure
- Gerenciamento do ciclo de vida para o Armazenamento de Blobs do Azure
- Protocolo de transferência de arquivo SSH (SFTP) no Armazenamento de Blobs do Azure
- Protocolo NFS (sistema de arquivos de rede) com Armazenamento de Blobs do Azure e Arquivos do Azure.
- O protocolo SMB com arquivos do Azure só pode ser obtido por meio da lista de permissões de IP no momento.
- Inventário de Blobs do Azure
Recomendamos que você não habilite o perímetro de segurança de rede se precisar usar qualquer um desses serviços, operações ou protocolos. Isso é para evitar possíveis riscos de perda de dados ou exfiltração de dados.
Aviso
Para contas de armazenamento associadas a um perímetro de segurança de rede, para que os cenários de CMK (chaves gerenciadas pelo cliente) funcionem, verifique se o Azure Key Vault está acessível dentro do perímetro ao qual a conta de armazenamento foi associada.
Associar um perímetro de segurança de rede a uma conta de armazenamento
Para associar um perímetro de segurança de rede a uma conta de armazenamento, siga estas instruções comuns para todos os recursos de PaaS.
Restrições e considerações
Antes de implementar a segurança de rede para suas contas de armazenamento, examine as restrições e considerações importantes discutidas nesta seção.
- As regras de firewall do Armazenamento do Azure se aplicam apenas a operações de plano de dados. As operações do Painel de controle não estão sujeitas às restrições especificadas nas regras de firewall.
- Examine as Restrições para regras de rede IP.
- Para acessar os dados usando ferramentas como o portal do Azure, o Gerenciador de Armazenamento do Azure e o AzCopy, você deve estar em um computador dentro do limite confiável estabelecido ao configurar as regras de segurança de rede.
- As regras de rede são impostas em todos os protocolos de rede para o Armazenamento do Microsoft Azure, incluindo REST e SMB.
- As regras de rede não afetam o tráfego de disco da VM (máquina virtual), incluindo operações de montagem e desmontagem e E/S de disco, mas ajudam a proteger o acesso REST aos blobs de páginas.
- Você pode usar discos não gerenciados em contas de armazenamento com regras de rede aplicadas para fazer backup e restaurar VMs criando uma exceção. As exceções de firewall não se aplicam a discos gerenciados, pois o Azure já os gerencia.
- As contas de armazenamento clássicas não dão suporte a firewalls e redes virtuais.
- Se você excluir uma sub-rede que esteja incluída em uma regra de rede virtual, ela será removida das regras de rede da conta de armazenamento. Se você criar uma sub-rede nova com o mesmo nome, ela não terá acesso à conta de armazenamento. Para permitir o acesso, você precisa autorizar explicitamente a nova sub-rede nas regras de rede da conta de armazenamento.
- Ao fazer referência a um ponto de extremidade de serviço em um aplicativo cliente, é recomendável evitar a dependência de um endereço IP armazenado em cache. O endereço IP da conta de armazenamento está sujeito a alterações, e confiar em um endereço IP armazenado em cache pode resultar em um comportamento inesperado. Além disso, é recomendável respeite a vida útil (TTL) do registro DNS e evite substituí-la. A substituição do TTL do DNS pode resultar em um comportamento inesperado.
- O acesso a uma conta de armazenamento de serviços confiáveis tem maior precedência do que outras restrições de acesso à rede, por padrão. Se você definir o Acesso à rede pública como Desabilitado depois de já ter definido como Habilitado de redes virtuais selecionadas e endereços IP, todas as instâncias de recurso e exceções que você configurou anteriormente, incluindo Permitir que os serviços do Azure na lista de serviços confiáveis acessem essa conta de armazenamento, permanecerão em vigor. Com isso, esses recursos e serviços ainda poderão ter acesso à conta de armazenamento.
Autorização
Os clientes com acesso concedido por meio de regras de rede devem continuar a atender aos requisitos de autorização da conta de armazenamento para acessar os dados. A autorização é compatível com as credenciais do Microsoft Entra para blobs e filas, com uma chave de acesso de conta válida ou um token de assinatura de acesso compartilhado (SAS).
Ao configurar um contêiner de blob para acesso público anônimo, as solicitações de leitura de dados nesse contêiner não precisam ser autorizadas, mas as regras de firewall permanecem em vigor e bloquearão o tráfego anônimo.
Alterar a regra de acesso de rede padrão
Por padrão, as contas de armazenamento aceitam conexões de clientes em qualquer rede. É possível limitar o acesso a redes selecionadas ou impedir o tráfego de todas as redes e permitir o acesso somente por meio de um ponto de extremidade privado.
Não se esqueça de definir a regra padrão para negar ou as regras de rede não terão efeito. Alterar essa configuração poderá afetar a capacidade do aplicativo de se conectar ao Armazenamento do Microsoft Azure. Certifique-se de conceder acesso a todas as redes permitidas ou configurar o acesso por meio de um ponto de extremidade privado antes de alterar essa configuração.
Observação
Recomendamos que você use o módulo Az PowerShell do Azure para interagir com o Azure. Para começar, consulte Instalar o Azure PowerShell. Para saber como migrar para o módulo Az PowerShell, confira Migrar o Azure PowerShell do AzureRM para o Az.
Vá até a conta de armazenamento que você deseja proteger.
No menu de serviço, em Segurança + rede, selecione Rede.
Escolha qual acesso à rede está habilitado por meio do ponto de extremidade público da conta de armazenamento:
Selecione Habilitado em todas as redes ou Habilitado em redes virtuais e endereços IP selecionados. Se você selecionar a segunda opção, será solicitado que você adicione redes virtuais e intervalos de endereços IP.
Para restringir o acesso de entrada e ao mesmo tempo permitir o acesso de saída, selecione Desabilitado.
Selecione Salvar para salvar suas alterações.
Conceder acesso de uma rede virtual
Você pode configurar as contas de armazenamento para permitir o acesso somente de sub-redes específicas. As sub-redes permitidas podem pertencer a uma rede virtual na mesma assinatura ou em uma assinatura diferente, incluindo as que pertencem a um locatário diferente do Microsoft Entra. Com pontos de extremidade de serviço entre regiões, as sub-redes permitidas também podem estar em regiões diferentes da conta de armazenamento.
Você deve habilitar um ponto de extremidade de serviço do Armazenamento do Microsoft Azure dentro da rede virtual. O ponto de extremidade de serviço roteia o tráfego da rede virtual por meio de um caminho ideal para o serviço de Armazenamento do Azure. As identidades da rede virtual e da sub-rede também são transmitidas com cada solicitação. Em seguida, os administradores poderão configurar as regras de rede para a conta de armazenamento que permite que as solicitações sejam recebidas de sub-redes específicas em uma rede virtual. Os clientes com o acesso concedido por meio dessas regras de rede devem continuar a atender aos requisitos de autorização da conta de armazenamento para acessar os dados.
Cada conta de armazenamento dá suporte a até 400 regras de rede virtual. Você pode combinar essas regras com regras de rede IP.
Importante
Ao fazer referência a um ponto de extremidade de serviço em um aplicativo cliente, é recomendável evitar a dependência de um endereço IP armazenado em cache. O endereço IP da conta de armazenamento está sujeito a alterações, e confiar em um endereço IP armazenado em cache pode resultar em um comportamento inesperado.
Além disso, é recomendável respeite a vida útil (TTL) do registro DNS e evite substituí-la. A substituição do TTL do DNS pode resultar em um comportamento inesperado.
Permissões necessárias
Para aplicar uma regra da rede virtual a uma conta de armazenamento, o usuário deverá ter permissão para as sub-redes que estão sendo adicionadas. Um Colaborador da Conta de Armazenamento ou um usuário que tenha permissão para a Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action
operação de provedor de recursos do Azure pode aplicar uma regra usando uma função personalizada do Azure.
A conta de armazenamento e o acesso concedido às redes virtuais podem estar em assinaturas diferentes, incluindo assinaturas que são parte do mesmo locatário do Microsoft Entra.
A configuração de regras que concedem acesso a sub-redes em redes virtuais que fazem parte de um locatário diferente do Microsoft Entra atualmente só é compatível por meio do PowerShell, da CLI do Azure e de APIs REST. Você não pode configurar essas regras por meio do portal do Azure, embora possa exibi-las no portal.
Pontos de extremidade de serviço entre regiões do Armazenamento do Azure
Os pontos de extremidade de serviço entre regiões para o Armazenamento do Microsoft Azure ficaram em disponibilidade geral em abril de 2023. Eles funcionam entre redes virtuais e instâncias de serviço de armazenamento em qualquer região. Com pontos de extremidade de serviço entre regiões, as sub-redes não usarão mais um endereço IP público para se comunicar com qualquer conta de armazenamento, incluindo aquelas em outra região. Em vez disso, todo o tráfego de sub-redes para contas de armazenamento usará um endereço IP privado como um IP de origem. Como resultado, todas as contas de armazenamento que usam regras de rede IP para permitir o tráfego dessas sub-redes não terão mais efeito.
Configurar pontos de extremidade de serviço entre redes virtuais e instâncias de serviço em uma região emparelhada pode ser uma parte importante do seu plano de recuperação de desastre. Pontos de extremidade de serviço permitem continuidade durante um failover regional e acesso a instâncias de armazenamento com redundância geográfica somente leitura (RA-GRS). As regras de rede que concedem acesso de uma rede virtual para uma conta de armazenamento também concedem acesso a qualquer instância de RA-GRS.
Ao planejar a recuperação de desastre durante uma interrupção regional, crie as redes virtuais na região emparelhada com antecedência. Habilite pontos de extremidade de serviço para o Armazenamento do Microsoft Azure, com as regras de rede concedendo acesso dessas redes virtuais alternativas. Em seguida, aplica essas regras às contas de armazenamento com redundância geográfica.
Os pontos de extremidade de serviço locais e entre regiões não podem coexistir na mesma sub-rede. Para substituir os pontos de extremidade de serviço existentes por entre regiões, exclua os pontos de extremidade existentes Microsoft.Storage
e recrie-os como pontos de extremidade entre regiões (Microsoft.Storage.Global
).
Gerenciando regras da rede virtual e de acesso
Você pode gerenciar as regras da rede virtual e de acesso para contas de armazenamento através do portal do Azure, do PowerShell ou da CLI do Azure v2.
Se você quiser habilitar o acesso à sua conta de armazenamento a partir de uma rede virtual ou sub-rede em um locatário diferente do Microsoft Entra, deverá usar o PowerShell ou a CLI do Azure. O portal do Azure não mostra sub-redes em outros locatários do Microsoft Entra.
Vá para a conta de armazenamento para a qual você deseja configurar regras de acesso e rede virtual.
No menu de serviço, em Segurança + rede, selecione Rede.
Verifique se você optou por habilitar o acesso à rede pública de redes virtuais e endereços IP selecionados.
Para permitir acesso à rede virtual com uma nova regra de rede, em Redes virtuais, selecione Adicionar rede virtual existente. Selecione as opções em Redes virtuais e Sub-redes e depois selecione Adicionar. Para criar uma nova rede virtual e conceder acesso, clique em Adicionar nova rede virtual. Forneça as informações necessárias para criar a nova rede virtual e, em seguida, selecione Criar. Atualmente, somente as redes virtuais que pertencem ao mesmo locatário do Microsoft Entra são mostradas para seleção durante a criação de regras. Para conceder acesso a uma sub-rede em uma rede virtual que pertence a outro locatário, use o PowerShell, a CLI do Azure ou a API REST.
Para remover uma regra de rede virtual ou de sub-rede, clique em (…) para abrir o menu de contexto da rede virtual ou sub-rede e clique em Remover.
Selecione Salvar para salvar suas alterações.
Importante
Se você excluir uma sub-rede que foi incluída em uma regra de rede, ela será removida das regras de rede da conta de armazenamento. Se você criar uma sub-rede nova com o mesmo nome, ela não terá acesso à conta de armazenamento. Para permitir o acesso, você precisa autorizar explicitamente a nova sub-rede nas regras de rede da conta de armazenamento.
Conceder acesso de um intervalo de IP de Internet
Você pode usar regras de rede IP para permitir o acesso de intervalos de endereços IP públicos da Internet específicos criando regras de rede IP. Cada conta de armazenamento dá suporte a até 400 regras. Essas regras concedem acesso a serviços específicos baseados na Internet e redes locais e bloqueia o tráfego geral da Internet.
Restrições para regras de rede IP
As restrições a seguir se aplicam a intervalos de endereços IP:
As regras de rede IP são permitidas apenas para endereços IP públicos da internet.
Intervalos de endereços IP reservados para redes privadas (conforme definido em RFC 1918) não são permitidos nas regras de IP. Redes privadas incluem endereços que começam com 10, 172.16 a 172.31 e 192.168.
Forneça intervalos de endereços de Internet permitidos usando a notação CIDR no formulário 16.17.18.0/24 ou como endereços IP individuas como 16.17.18.19.
Intervalos de endereços pequenos que usam tamanhos de prefixo /31 ou /32 não têm suporte. Esses intervalos devem ser configurados usando regras de endereço IP individuais.
Somente endereços IPv4 são compatíveis com a configuração de regras de firewall de armazenamento.
Importante
As regras de rede IP não podem ser usadas nos seguintes casos:
- Para restringir o acesso a clientes na mesma região do Azure que a conta de armazenamento. As regras de rede IP não terão efeito sobre solicitações originadas da mesma região do Azure que a conta de armazenamento. Use as regras de rede Virtual para permitir solicitações da mesma região.
- Para restringir o acesso a clientes em uma região emparelhada que está em uma rede virtual que tem um ponto de extremidade de serviço.
- Para restringir o acesso aos serviços do Azure implantados na mesma região que a conta de armazenamento. Os serviços implantados na mesma região que a conta de armazenamento usam endereços IP privados do Azure para comunicação. Portanto, você não pode restringir o acesso a serviços específicos do Azure com base nos respectivos intervalos de endereços IP de saída públicos.
Configurando o acesso de redes locais
Para conceder acesso de suas redes locais para sua conta de armazenamento com uma regra de rede IP, você deve identificar os endereços IP voltados para Internet usados por sua rede. Entre em contato com o administrador de rede para obter ajuda.
Se você estiver usando o Azure ExpressRoute do seu local, será necessário identificar os endereços IP NAT usados para emparelhamento da Microsoft. O provedor de serviços ou o cliente fornece os endereços IP NAT.
Para permitir o acesso aos recursos do serviço, você deve permitir estes endereços IP públicos na configuração do firewall de IPs do recurso.
Gerenciando regras de rede IP
Você pode gerenciar as regras de rede IP para contas de armazenamento através do portal do Azure, do PowerShell ou da CLI do Azure v2.
Vá para a conta de armazenamento para a qual você deseja gerenciar regras de rede IP.
No menu de serviço, em Segurança + rede, selecione Rede.
Verifique se você optou por habilitar o acesso à rede pública de redes virtuais e endereços IP selecionados.
Para conceder acesso a um intervalo de IP de Internet, insira o endereço IP ou o intervalo de endereços (no formato CIDR) em Firewall>Intervalos de Endereços.
Para remover uma regra de rede IP, clique no ícone de excluir ( ) próximo do intervalo de endereços.
Selecione Salvar para salvar suas alterações.
Permitir acesso de instâncias de recursos do Azure
Em alguns casos, um aplicativo pode depender de recursos do Azure que não podem ser isolados por meio de uma rede virtual ou de uma regra de endereço IP. No entanto, você ainda gostaria de proteger e restringir o acesso à conta de armazenamento somente aos recursos do Azure de seu aplicativo. Você pode configurar contas de armazenamento para permitir o acesso a instâncias de recursos específicas de serviços confiáveis do Azure criando uma regra de instância de recurso.
As atribuições de função do Azure da instância de recurso determinam os tipos de operações que uma instância de recurso pode executar nos dados da conta de armazenamento. As instâncias de recurso devem ser do mesmo locatário como sua conta de armazenamento, mas podem pertencer a qualquer assinatura no locatário.
Você pode adicionar ou remover regras de rede de recursos no portal do Azure:
Entre no portal do Azure.
Localize sua conta de armazenamento e exiba a visão geral dela.
No menu de serviço, em Segurança + rede, selecione Rede.
Verifique se você optou por habilitar o acesso à rede pública de redes virtuais e endereços IP selecionados.
Role para baixo para localizar Instâncias de recurso. Na lista suspensa Tipo de recurso, escolha o tipo de recurso de sua instância de recurso.
Na lista suspensa Nome da instância, escolha a instância de recurso. Você também pode optar por incluir todas as instâncias de recurso no locatário atual, na assinatura ou no grupo de recursos.
Selecione Salvar para salvar suas alterações. A instância de recurso aparece na seção Instâncias de recurso da página de configurações de rede.
Para remover a instância de recurso, selecione o ícone excluir ( ) ao lado da instância de recurso.
Conceder acesso a serviços confiáveis do Azure
Alguns serviços do Azure operam a partir de redes que não podem ser incluídas em suas regras de rede. Você pode conceder, a um subconjunto desses serviços confiáveis do Azure, acesso à conta de armazenamento, mantendo as regras de rede para outros aplicativos. Esses serviços confiáveis usarão a autenticação forte para se conectar à sua conta de armazenamento.
Você pode conceder acesso a serviços confiáveis do Azure criando uma exceção de regra de rede. A seção Gerenciar exceções deste artigo fornece diretrizes passo a passo.
Acesso confiável para recursos registrados em seu locatário do Microsoft Entra
Recursos de alguns serviços podem acessar sua conta de armazenamento para operações selecionadas, como gravar logs ou executar backups. Esses serviços precisam ser registrados em uma assinatura localizada no mesmo locatário do Microsoft Entra que sua conta de armazenamento. A tabela a seguir descreve cada serviço e as operações permitidas.
Serviço | Nome do provedor de recursos | Operações permitidas |
---|---|---|
Serviço de Backup do Azure | Microsoft.RecoveryServices |
Execute backups e restaurações de discos não gerenciados em máquinas virtuais de IaaS (infraestrutura como serviço) (não necessárias para discos gerenciados). Saiba mais. |
Azure Data Box | Microsoft.DataBox |
Importar dados para o Azure. Saiba mais. |
Azure DevTest Labs | Microsoft.DevTestLab |
Crie imagens personalizadas e instale artefatos. Saiba mais. |
Grade de Eventos do Azure | Microsoft.EventGrid |
Habilite a publicação de eventos do Armazenamento de Blobs do Azure e permita a publicação em filas de armazenamento. |
Hubs de eventos do Azure | Microsoft.EventHub |
Arquivar dados com a Captura de Hubs de Eventos do Azure. Saiba mais. |
Sincronização de Arquivos do Azure | Microsoft.StorageSync |
Transforme o servidor de arquivos local em um cache para compartilhamentos de arquivos do Azure. Essa funcionalidade permite sincronização de vários sites, recuperação rápida de desastres e backup do lado da nuvem. Saiba mais. |
Azure HDInsight | Microsoft.HDInsight |
Provisione o conteúdo inicial do sistema de arquivos padrão para um novo cluster HDInsight. Saiba mais. |
Importação/Exportação do Azure | Microsoft.ImportExport |
Importe dados para o Armazenamento do Microsoft Azure ou exporte dados do Armazenamento do Microsoft Azure. Saiba mais. |
Azure Monitor | Microsoft.Insights |
Grave dados de monitoramento em uma conta de armazenamento protegida, incluindo logs de recursos, dados do Microsoft Defender para Ponto de Extremidade, logs de entrada e de auditoria do Microsoft Entra e logs do Microsoft Intune. Saiba mais. |
Serviços de rede do Azure | Microsoft.Network |
Armazene e analise logs de tráfego de rede, incluindo por meio do Observador de Rede e serviços do Gerenciador de Tráfego do Azure. Saiba mais. |
Azure Site Recovery | Microsoft.SiteRecovery |
Habilite a replicação para recuperação de desastre de máquinas virtuais de IaaS do Azure ao usar as contas de armazenamento de cache, origem ou destino habilitadas para firewall. Saiba mais. |
Acesso confiável com base em uma identidade gerenciada
A tabela a seguir lista os serviços que podem ter acesso aos dados da sua conta de armazenamento se as instâncias de recurso desses serviços receberem a permissão apropriada.
Serviço | Nome do provedor de recursos | Finalidade |
---|---|---|
Azure FarmBeats | Microsoft.AgFoodPlatform/farmBeats |
Habilita o acesso a contas de armazenamento. |
Gerenciamento de API do Azure | Microsoft.ApiManagement/service |
Habilita o acesso a contas de armazenamento por trás de firewalls por meio de políticas. Saiba mais. |
Sistemas Autônomos da Microsoft | Microsoft.AutonomousSystems/workspaces |
Habilita o acesso a contas de armazenamento. |
Cache do Azure para Redis | Microsoft.Cache/Redis |
Habilita o acesso a contas de armazenamento. Saiba mais. |
Pesquisa de IA do Azure | Microsoft.Search/searchServices |
Habilita o acesso a contas de armazenamento para indexação, processamento e consulta. |
Serviços de IA do Azure | Microsoft.CognitiveService/accounts |
Habilita o acesso a contas de armazenamento. Saiba mais. |
Registro de Contêiner do Azure | Microsoft.ContainerRegistry/registries |
Por meio do conjunto de recursos de Tarefas do ACR, habilita o acesso a contas de armazenamento quando estiver criando imagens de contêiner. |
Gerenciamento de Custos da Microsoft | Microsoft.CostManagementExports |
Habilita a exportação para contas de armazenamento por trás de um firewall. Saiba mais. |
Azure Databricks | Microsoft.Databricks/accessConnectors |
Habilita o acesso a contas de armazenamento. |
Fábrica de dados do Azure | Microsoft.DataFactory/factories |
Habilita o acesso a contas de armazenamento por meio do runtime do Data Factory. |
Cofre de Backup do Azure | Microsoft.DataProtection/BackupVaults |
Habilita o acesso a contas de armazenamento. |
Azure Data Share | Microsoft.DataShare/accounts |
Habilita o acesso a contas de armazenamento. |
Banco de Dados do Azure para PostgreSQL | Microsoft.DBForPostgreSQL |
Habilita o acesso a contas de armazenamento. |
Hub IoT do Azure | Microsoft.Devices/IotHubs |
Permite que os dados de um hub IoT sejam gravados no Armazenamento de Blobs. Saiba mais. |
Azure DevTest Labs | Microsoft.DevTestLab/labs |
Habilita o acesso a contas de armazenamento. |
Grade de Eventos do Azure | Microsoft.EventGrid/domains |
Habilita o acesso a contas de armazenamento. |
Grade de Eventos do Azure | Microsoft.EventGrid/partnerTopics |
Habilita o acesso a contas de armazenamento. |
Grade de Eventos do Azure | Microsoft.EventGrid/systemTopics |
Habilita o acesso a contas de armazenamento. |
Grade de Eventos do Azure | Microsoft.EventGrid/topics |
Habilita o acesso a contas de armazenamento. |
Microsoft Fabric | Microsoft.Fabric |
Habilita o acesso a contas de armazenamento. |
APIs de Serviços de Saúde do Azure | Microsoft.HealthcareApis/services |
Habilita o acesso a contas de armazenamento. |
APIs de Serviços de Saúde do Azure | Microsoft.HealthcareApis/workspaces |
Habilita o acesso a contas de armazenamento. |
Azure IoT Central | Microsoft.IoTCentral/IoTApps |
Habilita o acesso a contas de armazenamento. |
Sobre o HSM Gerenciado do Azure Key Vault | Microsoft.keyvault/managedHSMs |
Habilita o acesso a contas de armazenamento. |
Aplicativos Lógicos do Azure | Microsoft.Logic/integrationAccounts |
Permite que os aplicativos lógicos acessem contas de armazenamento. Saiba mais. |
Aplicativos Lógicos do Azure | Microsoft.Logic/workflows |
Permite que os aplicativos lógicos acessem contas de armazenamento. Saiba mais. |
Azure Machine Learning Studio | Microsoft.MachineLearning/registries |
Habilita os espaços de trabalho autorizados do Azure Machine Learning a gravar a saída, os modelos e os logs do experimento no Armazenamento de Blobs e leitura dos dados. Saiba mais. |
Azure Machine Learning | Microsoft.MachineLearningServices |
Habilita os espaços de trabalho autorizados do Azure Machine Learning a gravar a saída, os modelos e os logs do experimento no Armazenamento de Blobs e leitura dos dados. Saiba mais. |
Azure Machine Learning | Microsoft.MachineLearningServices/workspaces |
Habilita os espaços de trabalho autorizados do Azure Machine Learning a gravar a saída, os modelos e os logs do experimento no Armazenamento de Blobs e leitura dos dados. Saiba mais. |
Serviços de Mídia do Azure | Microsoft.Media/mediaservices |
Habilita o acesso a contas de armazenamento. |
Migrações para Azure | Microsoft.Migrate/migrateprojects |
Habilita o acesso a contas de armazenamento. |
Azure ExpressRoute | Microsoft.Network/expressRoutePorts |
Habilita o acesso a contas de armazenamento. |
Microsoft Power Platform | Microsoft.PowerPlatform/enterprisePolicies |
Habilita o acesso a contas de armazenamento. |
Projeto Arcadia da Microsoft | Microsoft.ProjectArcadia/workspaces |
Habilita o acesso a contas de armazenamento. |
Catálogo de Dados do Azure | Microsoft.ProjectBabylon/accounts |
Habilita o acesso a contas de armazenamento. |
Microsoft Purview | Microsoft.Purview/accounts |
Habilita o acesso a contas de armazenamento. |
Azure Site Recovery | Microsoft.RecoveryServices/vaults |
Habilita o acesso a contas de armazenamento. |
Central de Segurança | Microsoft.Security/dataScanners |
Habilita o acesso a contas de armazenamento. |
Singularidade | Microsoft.Singularity/accounts |
Habilita o acesso a contas de armazenamento. |
Banco de Dados SQL do Azure | Microsoft.Sql |
Permite gravar dados de auditoria em contas de armazenamento por trás do firewall. |
Servidores SQL do Azure | Microsoft.Sql/servers |
Permite gravar dados de auditoria em contas de armazenamento por trás do firewall. |
Azure Synapse Analytics | Microsoft.Sql |
Permite a importação e a exportação de dados de bancos de dado SQL específicos usando a instrução COPY ou PolyBase (no pool dedicado) ou a função openrowset e tabelas externas no pool sem servidor. Saiba mais. |
Stream Analytics do Azure | Microsoft.StreamAnalytics |
Permite que os dados de um trabalho de streaming sejam gravados no Armazenamento de Blobs. Saiba mais. |
Stream Analytics do Azure | Microsoft.StreamAnalytics/streamingjobs |
Permite que os dados de um trabalho de streaming sejam gravados no Armazenamento de Blobs. Saiba mais. |
Azure Synapse Analytics | Microsoft.Synapse/workspaces |
Habilita o acesso a dados no Armazenamento do Microsoft Azure |
Azure Video Indexer | Microsoft.VideoIndexer/Accounts |
Habilita o acesso a contas de armazenamento. |
Se a sua conta não tiver o recurso de namespace hierárquico habilitado, você poderá conceder permissão atribuindo explicitamente uma função do Azure à identidade gerenciada de cada instância de recurso. Nesse caso, o escopo de acesso para a instância corresponde à função do Azure atribuída à identidade gerenciada.
Você pode usar a mesma técnica para uma conta que tenha a habilitação do recurso de namespace hierárquico. No entanto, você não precisa atribuir uma função do Azure se adicionar a identidade gerenciada à ACL (lista de controle de acesso) de qualquer diretório ou blob contido na conta de armazenamento. Nesse caso, o escopo de acesso da instância corresponde ao diretório ou ao arquivo ao qual a identidade gerenciada recebeu acesso.
Você também pode combinar funções e ACLs do Azure para conceder acesso. Para saber mais, consulte Modelo de controle de acesso no Azure Data Lake Storage.
A maneira recomendada para conceder acesso a recursos específicos é usar regras de instância de recurso.
Gerenciar exceções
Em alguns casos, como análise de armazenamento, o acesso para ler as métricas e logs de recurso é necessário de fora do limite de rede. Ao configurar o acesso de serviços confiáveis à conta de armazenamento, você pode permitir o acesso de leitura aos arquivos de log, às tabelas de métricas ou a ambos criando uma exceção de regra de rede. Você pode gerenciar as exceções de regra da rede através do portal do Azure, do PowerShell ou da CLI do Azure v2.
Para saber mais sobre como trabalhar com a análise de armazenamento, consulte Usar a análise de armazenamento do Azure para coletar dados de logs e métricas.
Vá para a conta de armazenamento para a qual você deseja gerenciar exceções.
No menu de serviço, em Segurança + rede, selecione Rede.
Verifique se você optou por habilitar o acesso à rede pública de redes virtuais e endereços IP selecionados.
Em Exceções, selecione as exceções que deseja conceder.
Selecione Salvar para salvar suas alterações.
Próximas etapas
- Saiba mais sobre os Pontos de extremidade de serviço da rede do Azure.
- Aprofunde-se nas recomendações de segurança para o armazenamento de Blobs do Azure.