Configurar as firewalls e as redes virtuais do Armazenamento do Microsoft Azure
O Armazenamento do Microsoft Azure proporciona um modelo de segurança em camadas. Este modelo permite-lhe proteger e controlar o nível de acesso às contas de armazenamento que as suas aplicações e ambientes empresariais exigem, com base no tipo e subconjunto de redes ou recursos utilizados.
Quando você configura regras de rede, somente os aplicativos que solicitam dados pelo conjunto especificado de redes ou pelo conjunto especificado de recursos do Azure podem acessar uma conta de armazenamento. Você pode limitar o acesso à sua conta de armazenamento a solicitações provenientes de endereços IP especificados, intervalos de IP, sub-redes em uma rede virtual do Azure ou instâncias de recursos de alguns serviços do Azure.
As contas de armazenamento têm um ponto de extremidade público acessível pela Internet. Você também pode criar pontos de extremidade privados para sua conta de armazenamento. A criação de pontos de extremidade privados atribui um endereço IP privado da sua rede virtual à conta de armazenamento. Ajuda a proteger o tráfego entre a sua rede virtual e a conta de armazenamento através de uma ligação privada.
O firewall do Armazenamento do Azure fornece controle de acesso para o ponto de extremidade público de sua conta de armazenamento. Você também pode usar o firewall para bloquear todo o acesso através do ponto de extremidade público quando estiver usando pontos de extremidade privados. Sua configuração de firewall também permite que serviços confiáveis da plataforma Azure acessem a conta de armazenamento.
Um aplicativo que acessa uma conta de armazenamento quando as regras de rede estão em vigor ainda requer autorização adequada para a solicitação. A autorização é suportada com credenciais do Microsoft Entra para blobs, tabelas, compartilhamentos de arquivos e filas, com uma chave de acesso de conta válida ou com um token de assinatura de acesso compartilhado (SAS). Quando você configura um contêiner de blob para acesso anônimo, as solicitações para ler dados nesse contêiner não precisam ser autorizadas. As regras de firewall permanecem em vigor e bloquearão o tráfego anônimo.
Ativar regras de firewall para sua conta de armazenamento bloqueia solicitações de entrada de dados por padrão, a menos que as solicitações sejam originadas de um serviço que opera em uma rede virtual do Azure ou de endereços IP públicos permitidos. As solicitações bloqueadas incluem as de outros serviços do Azure, do portal do Azure e de serviços de registro em log e métricas.
Você pode conceder acesso aos serviços do Azure que operam a partir de uma rede virtual permitindo o tráfego da sub-rede que hospeda a instância de serviço. Você também pode habilitar um número limitado de cenários por meio do mecanismo de exceções descrito neste artigo. Para acessar dados da conta de armazenamento por meio do portal do Azure, você precisa estar em uma máquina dentro do limite confiável (IP ou rede virtual) que você configurou.
Nota
Recomendamos que utilize o módulo Azure Az do PowerShell para interagir com o Azure. Para começar, consulte Instalar o Azure PowerShell. Para saber como migrar para o módulo do Az PowerShell, veja Migrar o Azure PowerShell do AzureRM para o Az.
Cenários
Para proteger sua conta de armazenamento, você deve primeiro configurar uma regra para negar acesso ao tráfego de todas as redes (incluindo o tráfego da Internet) no ponto de extremidade público, por padrão. Em seguida, você deve configurar regras que concedam acesso ao tráfego de redes virtuais específicas. Você também pode configurar regras para conceder acesso ao tráfego de intervalos de endereços IP da Internet públicos selecionados, habilitando conexões de clientes específicos da Internet ou locais. Essa configuração ajuda você a criar um limite de rede seguro para seus aplicativos.
Você pode combinar regras de firewall que permitem o acesso de redes virtuais específicas e de intervalos de endereços IP públicos na mesma conta de armazenamento. Você pode aplicar regras de firewall de armazenamento a contas de armazenamento existentes ou ao criar novas contas de armazenamento.
As regras de firewall de armazenamento aplicam-se ao ponto de extremidade público de uma conta de armazenamento. Você não precisa de nenhuma regra de acesso ao firewall para permitir o tráfego de pontos de extremidade privados de uma conta de armazenamento. O processo de aprovação da criação de um ponto de extremidade privado concede acesso implícito ao tráfego da sub-rede que hospeda o ponto de extremidade privado.
Importante
As regras de firewall do Armazenamento do Azure só se aplicam a operações de plano de dados. As operações do plano de controle não estão sujeitas às restrições especificadas nas regras de firewall.
Algumas operações, como operações de contêiner de blob, podem ser realizadas através do plano de controle e do plano de dados. Portanto, se você tentar executar uma operação como listar contêineres do portal do Azure, a operação terá êxito, a menos que seja bloqueada por outro mecanismo. As tentativas de acessar dados de blob de um aplicativo como o Gerenciador de Armazenamento do Azure são controladas pelas restrições de firewall.
Para obter uma lista de operações de plano de dados, consulte a Referência da API REST do Armazenamento do Azure. Para obter uma lista de operações do plano de controle, consulte a Referência da API REST do Provedor de Recursos de Armazenamento do Azure.
Configurar o acesso de rede ao Armazenamento do Azure
Pode controlar o acesso aos dados na sua conta de armazenamento através de terminais de rede ou através de serviços ou recursos fidedignos em qualquer combinação, incluindo:
- Permitir o acesso a partir de sub-redes de rede virtual selecionadas utilizando pontos finais privados.
- Permitir o acesso a partir de sub-redes de rede virtual selecionadas utilizando pontos finais de serviço.
- Permitir o acesso a partir de intervalos ou endereços IP públicos específicos.
- Permitir o acesso a partir de instâncias de recursos do Azure selecionadas.
- Permitir acesso de serviços confiáveis do Azure (usando Gerenciar exceções).
- Configure exceções para serviços de registro em log e métricas.
Sobre pontos de extremidade de rede virtual
Há dois tipos de pontos de extremidade de rede virtual para contas de armazenamento:
Os pontos finais do serviço de rede virtual são públicos e acessíveis através da Internet. O firewall do Armazenamento do Azure fornece a capacidade de controlar o acesso à sua conta de armazenamento sobre esses pontos de extremidade públicos. Quando você habilita o acesso à rede pública à sua conta de armazenamento, todas as solicitações de dados recebidas são bloqueadas por padrão. Somente os aplicativos que solicitam dados de fontes permitidas que você define nas configurações de firewall da conta de armazenamento poderão acessar seus dados. As fontes podem incluir o endereço IP de origem ou a sub-rede de rede virtual de um cliente ou uma instância de serviço ou recurso do Azure através da qual os clientes ou serviços acedem aos seus dados. As solicitações bloqueadas incluem as de outros serviços do Azure, do portal do Azure e de serviços de registro em log e métricas, a menos que você permita explicitamente o acesso em sua configuração de firewall.
Um ponto de extremidade privado usa um endereço IP privado de sua rede virtual para acessar uma conta de armazenamento pela rede de backbone da Microsoft. Com um ponto de extremidade privado, o tráfego entre sua rede virtual e a conta de armazenamento é protegido por um link privado. As regras de firewall de armazenamento só se aplicam aos pontos de extremidade públicos de uma conta de armazenamento, não aos pontos de extremidade privados. O processo de aprovação da criação de um ponto de extremidade privado concede acesso implícito ao tráfego da sub-rede que hospeda o ponto de extremidade privado. Você pode usar as Diretivas de Rede para controlar o tráfego sobre pontos de extremidade privados se quiser refinar as regras de acesso. Se você quiser usar exclusivamente pontos de extremidade privados, poderá usar o firewall para bloquear todo o acesso por meio do ponto de extremidade público.
Para ajudá-lo a decidir quando usar cada tipo de ponto de extremidade em seu ambiente, consulte Comparar pontos de extremidade privados e pontos de extremidade de serviço.
Como abordar a segurança de rede para sua conta de armazenamento
Para proteger sua conta de armazenamento e criar um limite de rede seguro para seus aplicativos:
Comece desativando todo o acesso à rede pública para a conta de armazenamento na configuração Acesso à rede pública no firewall da conta de armazenamento.
Sempre que possível, configure links privados para sua conta de armazenamento a partir de pontos de extremidade privados em sub-redes de rede virtual onde residem os clientes que exigem acesso aos seus dados.
Se os aplicativos cliente exigirem acesso pelos pontos de extremidade públicos, altere a configuração Acesso à rede pública para Habilitado a partir de redes virtuais e endereços IP selecionados. Em seguida, conforme necessário:
- Especifique as sub-redes de rede virtual a partir das quais você deseja permitir o acesso.
- Especifique os intervalos de endereços IP públicos dos clientes dos quais você deseja permitir o acesso, como aqueles em redes locais.
- Permitir o acesso a partir de instâncias de recursos do Azure selecionadas.
- Adicione exceções para permitir o acesso de serviços confiáveis necessários para operações como backup de dados.
- Adicione exceções para registro em log e métricas.
Depois de aplicar as regras de rede, elas são aplicadas para todas as solicitações. Os tokens SAS que concedem acesso a um endereço IP específico servem para limitar o acesso do detentor do token, mas não concedem novo acesso além das regras de rede configuradas.
Perímetro de Segurança de Rede (Pré-visualização)
O perímetro de segurança de rede (visualização) permite que as organizações definam um limite lógico de isolamento de rede para recursos PaaS (por exemplo, Armazenamento de Blobs do Azure e Banco de Dados SQL) implantados fora de suas redes virtuais. O recurso restringe o acesso da rede pública a recursos de PaaS fora do perímetro. No entanto, você pode isentar o acesso usando regras de acesso explícitas para tráfego público de entrada e saída. Por design, o acesso a uma conta de armazenamento a partir de um perímetro de segurança de rede tem a maior precedência sobre outras restrições de acesso à rede.
Atualmente, o perímetro de segurança de rede está em pré-visualização pública para Blobs do Azure, Arquivos do Azure (REST), Tabelas do Azure e Filas do Azure. Consulte Transição para um perímetro de segurança de rede.
A lista de serviços que foram integrados ao perímetro de segurança de rede pode ser encontrada aqui.
Para serviços que não estão nessa lista, pois ainda não foram integrados ao perímetro de segurança de rede, se você quiser permitir o acesso, poderá usar uma regra baseada em assinatura no perímetro de segurança de rede. Todos os recursos dentro dessa assinatura terão acesso a esse perímetro de segurança de rede. Para obter mais informações sobre como adicionar regra de acesso baseada em assinatura, consulte aqui.
Importante
O tráfego de ponto final privado é considerado altamente seguro e, portanto, não está sujeito às regras de perímetro de segurança de rede. Todo o outro tráfego, incluindo serviços confiáveis, estará sujeito às regras de perímetro de segurança de rede se a conta de armazenamento estiver associada a um perímetro.
Limitações
Esta pré-visualização não suporta os seguintes serviços, operações e protocolos numa conta de armazenamento:
- Replicação de objetos para o Armazenamento de Blobs do Azure
- Gerenciamento do ciclo de vida do Armazenamento de Blobs do Azure
- Protocolo de transferência de ficheiros SSH (SFTP) através do Armazenamento de Blobs do Azure
- Protocolo NFS (Network File System) com o Armazenamento de Blobs do Azure e os Arquivos do Azure.
- O protocolo SMB (bloco de mensagens do servidor) com Arquivos do Azure só pode ser alcançado por meio da listagem de permissões de IP no momento.
- Inventário de Blobs do Azure
Recomendamos que você não habilite o perímetro de segurança de rede se precisar usar qualquer um desses serviços, operações ou protocolos. Isso é para evitar qualquer potencial perda de dados ou risco de exfiltração de dados.
Aviso
Para contas de armazenamento associadas a um perímetro de segurança de rede, para que os cenários de chaves gerenciadas pelo cliente (CMK) funcionem, verifique se o Cofre de Chaves do Azure está acessível de dentro do perímetro ao qual a conta de armazenamento foi associada.
Associar um perímetro de segurança de rede a uma conta de armazenamento
Para associar um perímetro de segurança de rede a uma conta de armazenamento, siga estas instruções comuns para todos os recursos de PaaS.
Restrições e considerações
Antes de implementar a segurança de rede para suas contas de armazenamento, revise as restrições e considerações importantes discutidas nesta seção.
- As regras de firewall do Armazenamento do Azure só se aplicam a operações de plano de dados. As operações do plano de controle não estão sujeitas às restrições especificadas nas regras de firewall.
- Analise as Restrições para regras de rede IP.
- Para acessar dados usando ferramentas como o portal do Azure, o Gerenciador de Armazenamento do Azure e o AzCopy, você deve estar em uma máquina dentro do limite confiável que você estabelece ao configurar regras de segurança de rede.
- As regras de rede são impostas em todos os protocolos de rede para o Armazenamento do Azure, incluindo REST e SMB.
- As regras de rede não afetam o tráfego de disco da máquina virtual (VM), incluindo operações de montagem e desmontagem e E/S de disco, mas ajudam a proteger o acesso REST aos blobs de página.
- Você pode usar discos não gerenciados em contas de armazenamento com regras de rede aplicadas para fazer backup e restaurar VMs criando uma exceção. As exceções de firewall não são aplicáveis a discos gerenciados, porque o Azure já os gerencia.
- As contas de armazenamento clássicas não suportam firewalls e redes virtuais.
- Se você excluir uma sub-rede incluída em uma regra de rede virtual, ela será removida das regras de rede da conta de armazenamento. Se você criar uma nova sub-rede com o mesmo nome, ela não terá acesso à conta de armazenamento. Para permitir o acesso, você deve autorizar explicitamente a nova sub-rede nas regras de rede para a conta de armazenamento.
- Ao fazer referência a um ponto de extremidade de serviço em um aplicativo cliente, é recomendável evitar depender de um endereço IP armazenado em cache. O endereço IP da conta de armazenamento está sujeito a alterações e confiar em um endereço IP armazenado em cache pode resultar em um comportamento inesperado. Além disso, é recomendável que você honre o tempo de vida (TTL) do registro DNS e evite substituí-lo. Substituir o TTL DNS pode resultar em um comportamento inesperado.
- Por predefinição, o acesso a uma conta de armazenamento a partir de serviços fidedignos tem maior precedência sobre outras restrições de acesso da rede. Se você definir Acesso à rede pública como Desabilitado depois de defini-lo anteriormente como Habilitado a partir de redes virtuais e endereços IP selecionados, todas as instâncias de recursos e exceções que você configurou anteriormente, incluindo Permitir que os serviços do Azure na lista de serviços confiáveis acessem essa conta de armazenamento, permanecerão em vigor. Como resultado, esses recursos e serviços ainda podem ter acesso à conta de armazenamento.
Autorização
Os clientes com acesso concedido por meio de regras de rede devem continuar a atender aos requisitos de autorização da conta de armazenamento para acessar os dados. A autorização é suportada com credenciais do Microsoft Entra para blobs e filas, com uma chave de acesso de conta válida ou com um token de assinatura de acesso compartilhado (SAS).
Quando você configura um contêiner de blob para acesso público anônimo, as solicitações de leitura de dados nesse contêiner não precisam ser autorizadas, mas as regras de firewall permanecem em vigor e bloquearão o tráfego anônimo.
Change the default network access rule (Alterar a regra de acesso de rede predefinida)
Por predefinição, as contas de armazenamento aceitam ligações de clientes em qualquer rede. Você pode limitar o acesso a redes selecionadas ou impedir o tráfego de todas as redes e permitir o acesso somente por meio de um ponto de extremidade privado.
Você deve definir a regra padrão para negar, ou as regras de rede não têm efeito. No entanto, alterar essa configuração pode afetar a capacidade do seu aplicativo de se conectar ao Armazenamento do Azure. Certifique-se de conceder acesso a quaisquer redes permitidas ou configurar o acesso por meio de um ponto de extremidade privado antes de alterar essa configuração.
Nota
Recomendamos que utilize o módulo Azure Az do PowerShell para interagir com o Azure. Para começar, consulte Instalar o Azure PowerShell. Para saber como migrar para o módulo do Az PowerShell, veja Migrar o Azure PowerShell do AzureRM para o Az.
Aceda à conta de armazenamento que pretende proteger.
No menu de serviço, em Segurança + rede, selecione Rede.
Escolha qual acesso à rede está habilitado por meio do ponto de extremidade público da conta de armazenamento:
Selecione Ativado a partir de todas as redes ou Ativado a partir de redes virtuais e endereços IP selecionados. Se selecionar a segunda opção, ser-lhe-á pedido para adicionar redes virtuais e intervalos de endereços IP.
Para restringir o acesso de entrada e, ao mesmo tempo, permitir o acesso de saída, selecione Desativado.
Selecione Guardar para aplicar as alterações.
Conceder acesso a partir de uma rede virtual
Você pode configurar contas de armazenamento para permitir o acesso somente de sub-redes específicas. As sub-redes permitidas podem pertencer a uma rede virtual na mesma assinatura ou a uma assinatura diferente, incluindo aquelas que pertencem a um locatário diferente do Microsoft Entra. Com pontos de extremidade de serviço entre regiões, as sub-redes permitidas também podem estar em regiões diferentes da conta de armazenamento.
Você pode habilitar um ponto de extremidade de serviço para o Armazenamento do Azure na rede virtual. O ponto de extremidade do serviço roteia o tráfego da rede virtual por meio de um caminho ideal para o serviço de Armazenamento do Azure. As identidades da sub-rede e da rede virtual também são transmitidas com cada pedido. Os administradores podem então configurar regras de rede para a conta de armazenamento que permitam receber solicitações de sub-redes específicas em uma rede virtual. Os clientes a quem foi concedido acesso através destas regras de rede devem continuar a cumprir os requisitos de autorização da conta de armazenamento para aceder aos dados.
Cada conta de armazenamento suporta até 400 regras de rede virtual. Você pode combinar essas regras com regras de rede IP.
Importante
Ao fazer referência a um ponto de extremidade de serviço em um aplicativo cliente, é recomendável evitar depender de um endereço IP armazenado em cache. O endereço IP da conta de armazenamento está sujeito a alterações e confiar em um endereço IP armazenado em cache pode resultar em um comportamento inesperado.
Além disso, é recomendável que você honre o tempo de vida (TTL) do registro DNS e evite substituí-lo. Substituir o TTL DNS pode resultar em um comportamento inesperado.
Permissões obrigatórias
Para aplicar uma regra de rede virtual a uma conta de armazenamento, o usuário deve ter as permissões apropriadas para as sub-redes que estão sendo adicionadas. Um Colaborador da Conta de Armazenamento ou um usuário que tenha permissão para a operação do provedor de recursos do Azure pode aplicar uma regra usando uma função personalizada do Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action
Azure.
A conta de armazenamento e as redes virtuais que obtêm acesso podem estar em assinaturas diferentes, incluindo assinaturas que fazem parte de um locatário diferente do Microsoft Entra.
Atualmente, a configuração de regras que concedem acesso a sub-redes em redes virtuais que fazem parte de um locatário diferente do Microsoft Entra é suportada apenas por meio do PowerShell, da CLI do Azure e das APIs REST. Não é possível configurar essas regras por meio do portal do Azure, embora seja possível exibi-las no portal.
Pontos de extremidade de serviço entre regiões do Armazenamento do Azure
Os pontos de extremidade de serviço entre regiões para o Armazenamento do Azure ficaram disponíveis ao público em geral em abril de 2023. Eles funcionam entre redes virtuais e instâncias de serviço de armazenamento em qualquer região. Com pontos de extremidade de serviço entre regiões, as sub-redes não usam mais um endereço IP público para se comunicar com qualquer conta de armazenamento, incluindo aquelas em outra região. Em vez disso, todo o tráfego de sub-redes para contas de armazenamento usa um endereço IP privado como IP de origem. Como resultado, todas as contas de armazenamento que usam regras de rede IP para permitir o tráfego dessas sub-redes não têm mais efeito.
Configurar pontos de extremidade de serviço entre redes virtuais e instâncias de serviço em uma região emparelhada pode ser uma parte importante do seu plano de recuperação de desastres. Os pontos de extremidade de serviço permitem a continuidade durante um failover regional e o acesso a instâncias de armazenamento com redundância geográfica somente leitura (RA-GRS). As regras de rede que concedem acesso de uma rede virtual a uma conta de armazenamento também concedem acesso a qualquer instância RA-GRS.
Quando estiver planejando a recuperação de desastres durante uma interrupção regional, crie as redes virtuais na região emparelhada com antecedência. Habilite pontos de extremidade de serviço para o Armazenamento do Azure, com regras de rede concedendo acesso dessas redes virtuais alternativas. Em seguida, aplique essas regras às suas contas de armazenamento com redundância geográfica.
Os pontos de extremidade de serviço locais e entre regiões não podem coexistir na mesma sub-rede. Para substituir os pontos de extremidade de serviço existentes por pontos de extremidade entre regiões, exclua os pontos de extremidade existentes Microsoft.Storage
e recrie-os como pontos de extremidade entre regiões (Microsoft.Storage.Global
).
Gerir regras de acesso e rede virtual
Você pode gerenciar regras de rede virtual e acesso para contas de armazenamento por meio do portal do Azure, do PowerShell ou da CLI do Azure v2.
Se quiser habilitar o acesso à sua conta de armazenamento de uma rede virtual ou sub-rede em outro locatário do Microsoft Entra, use o PowerShell ou a CLI do Azure. O portal do Azure não mostra sub-redes em outros locatários do Microsoft Entra.
Vá para a conta de armazenamento para a qual você deseja configurar regras de acesso e rede virtual.
No menu de serviço, em Segurança + rede, selecione Rede.
Verifique se optou por ativar o acesso à rede pública a partir de redes virtuais e endereços IP selecionados.
Para conceder acesso a uma rede virtual usando uma nova regra de rede, em Redes virtuais, selecione Adicionar rede virtual existente. Selecione as opções Redes virtuais e Sub-redes e, em seguida, selecione Adicionar. Para criar uma nova rede virtual e conceder-lhe acesso, selecione Adicionar nova rede virtual. Forneça as informações necessárias para criar a nova rede virtual e selecione Criar. Atualmente, apenas redes virtuais que pertencem ao mesmo locatário do Microsoft Entra aparecem para seleção durante a criação da regra. Para conceder acesso a uma sub-rede em uma rede virtual que pertence a outro locatário, use o PowerShell, a CLI do Azure ou a API REST.
Para remover uma regra de rede virtual ou sub-rede, selecione as reticências (...) para abrir o menu de contexto da rede virtual ou sub-rede e, em seguida, selecione Remover.
Selecione Guardar para aplicar as alterações.
Importante
Se você excluir uma sub-rede incluída em uma regra de rede, ela será removida das regras de rede da conta de armazenamento. Se você criar uma nova sub-rede com o mesmo nome, ela não terá acesso à conta de armazenamento. Para permitir o acesso, você deve autorizar explicitamente a nova sub-rede nas regras de rede para a conta de armazenamento.
Conceder acesso a partir de um intervalo de IP da Internet
Você pode usar regras de rede IP para permitir o acesso de intervalos de endereços IP públicos específicos da Internet criando regras de rede IP. Cada conta de armazenamento suporta até 400 regras. Estas regras concedem acesso a serviços específicos baseados na Internet e a redes locais e bloqueiam o tráfego geral da Internet.
Restrições para regras de rede IP
As seguintes restrições aplicam-se aos intervalos de endereços IP:
As regras de rede IP são permitidas apenas para endereços IP públicos da Internet .
Os intervalos de endereços IP reservados para redes privadas (conforme definido na RFC 1918) não são permitidos nas regras de IP. As redes privadas incluem endereços que começam com 10, 172.16 a 172.31 e 192.168.
Você deve fornecer intervalos de endereços de Internet permitidos usando a notação CIDR no formato 16.17.18.0/24 ou como endereços IP individuais como 16.17.18.19.
Não há suporte para intervalos de endereços pequenos que usam tamanhos de prefixo /31 ou /32. Configure esses intervalos usando regras de endereço IP individuais.
Apenas endereços IPv4 são suportados para a configuração de regras de firewall de armazenamento.
Importante
Não é possível usar regras de rede IP nos seguintes casos:
- Para restringir o acesso a clientes na mesma região do Azure que a conta de armazenamento. As regras de rede IP não têm efeito sobre solicitações originadas da mesma região do Azure que a conta de armazenamento. Use regras de rede virtual para permitir solicitações da mesma região.
- Para restringir o acesso a clientes em uma região emparelhada que estão em uma rede virtual que tem um ponto de extremidade de serviço.
- Para restringir o acesso aos serviços do Azure implantados na mesma região da conta de armazenamento. Os serviços implementados na mesma região que a conta de armazenamento utilizam endereços IP privados do Azure para comunicação. Portanto, você não pode restringir o acesso a serviços específicos do Azure com base em seu intervalo de endereços IP de saída público.
Configurando o acesso a partir de redes locais
Para conceder acesso de suas redes locais à sua conta de armazenamento usando uma regra de rede IP, você deve identificar os endereços IP voltados para a Internet que sua rede usa. Entre em contato com o administrador da rede para obter ajuda.
Se estiver a utilizar o Azure ExpressRoute a partir das suas instalações, tem de identificar os endereços IP NAT utilizados para o emparelhamento da Microsoft. O provedor de serviços ou o cliente fornece os endereços IP NAT.
Para permitir o acesso aos recursos de serviço, você deve permitir esses endereços IP públicos na configuração de firewall para IPs de recursos.
Gerenciando regras de rede IP
Você pode gerenciar regras de rede IP para contas de armazenamento por meio do portal do Azure, do PowerShell ou da CLI do Azure v2.
Vá para a conta de armazenamento para a qual você deseja gerenciar regras de rede IP.
No menu de serviço, em Segurança + rede, selecione Rede.
Verifique se optou por ativar o acesso à rede pública a partir de redes virtuais e endereços IP selecionados.
Para conceder acesso a um intervalo de IP da Internet, introduza o endereço IP ou intervalo de endereços (em formato CIDR) em Intervalo de Endereços de Firewall>.
Para remover uma regra de rede IP, selecione o ícone de exclusão ( ) ao lado do intervalo de endereços.
Selecione Guardar para aplicar as alterações.
Conceder acesso a partir de instâncias de recursos do Azure
Em alguns casos, um aplicativo pode depender de recursos do Azure que não podem ser isolados por meio de uma rede virtual ou de uma regra de endereço IP. Mas você ainda deseja proteger e restringir o acesso da conta de armazenamento apenas aos recursos do Azure do seu aplicativo. Você pode configurar contas de armazenamento para permitir o acesso a instâncias de recursos específicas de serviços confiáveis do Azure criando uma regra de instância de recurso.
As atribuições de função do Azure da instância de recurso determinam os tipos de operações que uma instância de recurso pode executar em dados de conta de armazenamento. As instâncias de recursos devem ser do mesmo locatário que sua conta de armazenamento, mas podem pertencer a qualquer assinatura no locatário.
Você pode adicionar ou remover regras de rede de recursos no portal do Azure:
Inicie sessão no portal do Azure.
Localize sua conta de armazenamento e exiba a visão geral da conta.
No menu de serviço, em Segurança + rede, selecione Rede.
Verifique se optou por ativar o acesso à rede pública a partir de redes virtuais e endereços IP selecionados.
Role para baixo para localizar instâncias de recurso. Na lista suspensa Tipo de recurso, selecione o tipo de recurso da sua instância de recurso.
Na lista suspensa Nome da instância , selecione a instância do recurso. Você também pode optar por incluir todas as instâncias de recursos no locatário atual, na assinatura ou no grupo de recursos.
Selecione Guardar para aplicar as alterações. A instância de recurso aparece na seção Instâncias de recurso da página para configurações de rede.
Para remover a instância do recurso, selecione o ícone de exclusão ( ) ao lado da instância do recurso.
Conceder acesso a serviços confiáveis do Azure
Alguns serviços do Azure operam a partir de redes que não pode incluir nas suas regras de rede. Você pode conceder a um subconjunto desses serviços confiáveis do Azure acesso à conta de armazenamento, mantendo regras de rede para outros aplicativos. Esses serviços confiáveis usarão autenticação forte para se conectar à sua conta de armazenamento.
Você pode conceder acesso a serviços confiáveis do Azure criando uma exceção de regra de rede. A seção Gerenciar exceções deste artigo fornece orientação passo a passo.
Acesso confiável para recursos registrados em seu locatário do Microsoft Entra
Os recursos de alguns serviços podem acessar sua conta de armazenamento para operações selecionadas, como gravar logs ou executar backups. Esses serviços devem ser registrados em uma assinatura localizada no mesmo locatário do Microsoft Entra que sua conta de armazenamento. A tabela a seguir descreve cada serviço e as operações permitidas.
Serviço | Nome do provedor de recursos | Operações permitidas |
---|---|---|
Azure Backup | Microsoft.RecoveryServices |
Execute backups e restaurações de discos não gerenciados em máquinas virtuais IaaS (infraestrutura como serviço) (não necessárias para discos gerenciados). Mais informações. |
Azure Data Box | Microsoft.DataBox |
Importe dados para o Azure. Mais informações. |
Azure DevTest Labs | Microsoft.DevTestLab |
Crie imagens personalizadas e instale artefatos. Mais informações. |
Grelha de Eventos do Azure | Microsoft.EventGrid |
Habilite a publicação de eventos do Armazenamento de Blobs do Azure e permita a publicação em filas de armazenamento. |
Hubs de Eventos do Azure | Microsoft.EventHub |
Arquive dados usando a Captura de Hubs de Eventos. Saiba mais. |
Azure File Sync | Microsoft.StorageSync |
Transforme seu servidor de arquivos local em um cache para compartilhamentos de arquivos do Azure. Esse recurso permite sincronização em vários locais, recuperação rápida de desastres e backup na nuvem. Mais informações. |
Azure HDInsight | Microsoft.HDInsight |
Provisione o conteúdo inicial do sistema de arquivos padrão para um novo cluster HDInsight. Mais informações. |
Importar/Exportar do Microsoft Azure | Microsoft.ImportExport |
Importe dados para o Armazenamento do Azure ou exporte dados do Armazenamento do Azure. Mais informações. |
Azure Monitor | Microsoft.Insights |
Escreva dados de monitorização numa conta de armazenamento segura, incluindo registos de recursos, dados do Microsoft Defender for Endpoint, registos de início de sessão e auditoria do Microsoft Entra e registos do Microsoft Intune. Mais informações. |
Serviços de rede do Azure | Microsoft.Network |
Armazene e analise logs de tráfego de rede, inclusive por meio dos serviços Azure Network Watcher e Azure Traffic Manager. Mais informações. |
Azure Site Recovery | Microsoft.SiteRecovery |
Habilite a replicação para recuperação de desastres de máquinas virtuais IaaS do Azure quando estiver usando cache, contas de armazenamento de origem ou de destino habilitadas para firewall. Mais informações. |
Acesso confiável com base em uma identidade gerenciada
A tabela a seguir lista os serviços que podem acessar os dados da conta de armazenamento se as instâncias de recursos desses serviços tiverem a permissão apropriada.
Serviço | Nome do provedor de recursos | Propósito |
---|---|---|
Azure FarmBeats | Microsoft.AgFoodPlatform/farmBeats |
Permite o acesso a contas de armazenamento. |
API Management do Azure | Microsoft.ApiManagement/service |
Permite o acesso a contas de armazenamento por trás de firewalls por meio de políticas. Mais informações. |
Sistemas Autónomos Microsoft | Microsoft.AutonomousSystems/workspaces |
Permite o acesso a contas de armazenamento. |
Cache do Azure para Redis | Microsoft.Cache/Redis |
Permite o acesso a contas de armazenamento. Mais informações. |
Pesquisa de IA do Azure | Microsoft.Search/searchServices |
Permite o acesso a contas de armazenamento para indexação, processamento e consulta. |
Serviços de IA do Azure | Microsoft.CognitiveService/accounts |
Permite o acesso a contas de armazenamento. Mais informações. |
Registo de Contentores do Azure | Microsoft.ContainerRegistry/registries |
Através do conjunto de recursos ACR Tasks, permite o acesso a contas de armazenamento quando você está criando imagens de contêiner. |
Gerenciamento de custos da Microsoft | Microsoft.CostManagementExports |
Permite exportar para contas de armazenamento atrás de um firewall. Mais informações. |
Azure Databricks | Microsoft.Databricks/accessConnectors |
Permite o acesso a contas de armazenamento. |
Azure Data Factory | Microsoft.DataFactory/factories |
Permite o acesso a contas de armazenamento por meio do tempo de execução do Data Factory. |
Azure Backup Vault | Microsoft.DataProtection/BackupVaults |
Permite o acesso a contas de armazenamento. |
Azure Data Share | Microsoft.DataShare/accounts |
Permite o acesso a contas de armazenamento. |
Base de Dados do Azure para PostgreSQL | Microsoft.DBForPostgreSQL |
Permite o acesso a contas de armazenamento. |
Hub IoT do Azure | Microsoft.Devices/IotHubs |
Permite que dados de um hub IoT sejam gravados no Armazenamento de Blobs. Mais informações. |
Azure DevTest Labs | Microsoft.DevTestLab/labs |
Permite o acesso a contas de armazenamento. |
Grelha de Eventos do Azure | Microsoft.EventGrid/domains |
Permite o acesso a contas de armazenamento. |
Grelha de Eventos do Azure | Microsoft.EventGrid/partnerTopics |
Permite o acesso a contas de armazenamento. |
Grelha de Eventos do Azure | Microsoft.EventGrid/systemTopics |
Permite o acesso a contas de armazenamento. |
Grelha de Eventos do Azure | Microsoft.EventGrid/topics |
Permite o acesso a contas de armazenamento. |
Microsoft Fabric | Microsoft.Fabric |
Permite o acesso a contas de armazenamento. |
APIs de Cuidados de Saúde do Azure | Microsoft.HealthcareApis/services |
Permite o acesso a contas de armazenamento. |
APIs de Cuidados de Saúde do Azure | Microsoft.HealthcareApis/workspaces |
Permite o acesso a contas de armazenamento. |
Azure IoT Central | Microsoft.IoTCentral/IoTApps |
Permite o acesso a contas de armazenamento. |
HSM Gerido do Azure Key Vault | Microsoft.keyvault/managedHSMs |
Permite o acesso a contas de armazenamento. |
Azure Logic Apps | Microsoft.Logic/integrationAccounts |
Permite que aplicativos lógicos acessem contas de armazenamento. Mais informações. |
Azure Logic Apps | Microsoft.Logic/workflows |
Permite que aplicativos lógicos acessem contas de armazenamento. Mais informações. |
Azure Machine Learning Studio | Microsoft.MachineLearning/registries |
Permite que espaços de trabalho autorizados do Azure Machine Learning gravem saídas de experimentos, modelos e logs no Armazenamento de Blobs e leiam os dados. Mais informações. |
Azure Machine Learning | Microsoft.MachineLearningServices |
Permite que espaços de trabalho autorizados do Azure Machine Learning gravem saídas de experimentos, modelos e logs no Armazenamento de Blobs e leiam os dados. Mais informações. |
Azure Machine Learning | Microsoft.MachineLearningServices/workspaces |
Permite que espaços de trabalho autorizados do Azure Machine Learning gravem saídas de experimentos, modelos e logs no Armazenamento de Blobs e leiam os dados. Mais informações. |
Serviços de Multimédia do Azure | Microsoft.Media/mediaservices |
Permite o acesso a contas de armazenamento. |
Azure Migrate | Microsoft.Migrate/migrateprojects |
Permite o acesso a contas de armazenamento. |
Azure ExpressRoute | Microsoft.Network/expressRoutePorts |
Permite o acesso a contas de armazenamento. |
Microsoft Power Platform | Microsoft.PowerPlatform/enterprisePolicies |
Permite o acesso a contas de armazenamento. |
Microsoft Project Arcádia | Microsoft.ProjectArcadia/workspaces |
Permite o acesso a contas de armazenamento. |
Catálogo de Dados do Azure | Microsoft.ProjectBabylon/accounts |
Permite o acesso a contas de armazenamento. |
Microsoft Purview | Microsoft.Purview/accounts |
Permite o acesso a contas de armazenamento. |
Azure Site Recovery | Microsoft.RecoveryServices/vaults |
Permite o acesso a contas de armazenamento. |
Centro de Segurança | Microsoft.Security/dataScanners |
Permite o acesso a contas de armazenamento. |
Singularidade | Microsoft.Singularity/accounts |
Permite o acesso a contas de armazenamento. |
Base de Dados SQL do Azure | Microsoft.Sql |
Permite gravar dados de auditoria em contas de armazenamento por trás de um firewall. |
Azure SQL Servers | Microsoft.Sql/servers |
Permite gravar dados de auditoria em contas de armazenamento por trás de um firewall. |
Azure Synapse Analytics | Microsoft.Sql |
Permite importar e exportar dados de bancos de dados SQL específicos por meio da COPY instrução ou PolyBase (em um pool dedicado), ou da openrowset função e tabelas externas em um pool sem servidor. Mais informações. |
Azure Stream Analytics | Microsoft.StreamAnalytics |
Permite que os dados de um trabalho de streaming sejam gravados no Armazenamento de Blobs. Mais informações. |
Azure Stream Analytics | Microsoft.StreamAnalytics/streamingjobs |
Permite que os dados de um trabalho de streaming sejam gravados no Armazenamento de Blobs. Mais informações. |
Azure Synapse Analytics | Microsoft.Synapse/workspaces |
Permite o acesso a dados no Armazenamento do Azure. |
Azure Video Indexer | Microsoft.VideoIndexer/Accounts |
Permite o acesso a contas de armazenamento. |
Se sua conta não tiver o recurso de namespace hierárquico habilitado, você poderá conceder permissão atribuindo explicitamente uma função do Azure à identidade gerenciada para cada instância de recurso. Nesse caso, o escopo de acesso para a instância corresponde à função do Azure atribuída à identidade gerenciada.
Você pode usar a mesma técnica para uma conta que tenha o recurso de namespace hierárquico habilitado nela. No entanto, não é necessário atribuir uma função do Azure se adicionar a identidade gerenciada à lista de controle de acesso (ACL) de qualquer diretório ou blob que a conta de armazenamento contenha. Nesse caso, o escopo de acesso para a instância corresponde ao diretório ou arquivo ao qual a identidade gerenciada tem acesso.
Você também pode combinar funções do Azure e ACLs juntas para conceder acesso. Para saber mais, consulte Modelo de controle de acesso no Armazenamento do Azure Data Lake.
Recomendamos que você use regras de instância de recurso para conceder acesso a recursos específicos.
Gerir exceções
Em alguns casos, como a análise de armazenamento, o acesso a logs e métricas de recursos de leitura é necessário fora do limite da rede. Ao configurar serviços confiáveis para acessar a conta de armazenamento, você pode permitir acesso de leitura para os arquivos de log, tabelas de métricas ou ambos, criando uma exceção de regra de rede. Você pode gerenciar exceções de regra de rede por meio do portal do Azure, do PowerShell ou da CLI do Azure v2.
Para saber mais sobre como trabalhar com análise de armazenamento, consulte Usar a análise de armazenamento do Azure para coletar logs e dados de métricas.
Vá para a conta de armazenamento para a qual você deseja gerenciar exceções.
No menu de serviço, em Segurança + rede, selecione Rede.
Verifique se optou por ativar o acesso à rede pública a partir de redes virtuais e endereços IP selecionados.
Em Exceções, selecione as exceções que deseja conceder.
Selecione Guardar para aplicar as alterações.
Próximos passos
- Saiba mais sobre os pontos de extremidade do serviço de rede do Azure.
- Aprofunde-se nas recomendações de segurança para o armazenamento de Blob do Azure.