Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of mappen te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen om mappen te wijzigen.
Firewallregels van Azure Storage bieden gedetailleerde controle over netwerktoegang tot het openbare eindpunt van uw opslagaccount. Standaard staan opslagaccounts verbindingen toe vanuit elk netwerk, maar u kunt de toegang beperken door netwerkregels te configureren die definiëren welke bronnen verbinding kunnen maken met uw opslagaccount.
U kunt vier typen netwerkregels configureren:
- Regels voor virtuele netwerken: verkeer van specifieke subnetten in virtuele Azure-netwerken toestaan
- IP-netwerkregels: verkeer van specifieke openbare IP-adresbereiken toestaan
- Regels voor resource-exemplaren: verkeer van specifieke Azure-resource-exemplaren toestaan die niet kunnen worden geïsoleerd via virtueel netwerk of IP-regels
- Uitzonderingen voor vertrouwde services: verkeer toestaan van specifieke Azure-services die buiten uw netwerkgrens werken
Wanneer netwerkregels zijn geconfigureerd, heeft alleen verkeer van expliciet toegestane bronnen toegang tot uw opslagaccount via het openbare eindpunt. Al het andere verkeer wordt geweigerd.
Notitie
Clients die aanvragen van toegestane bronnen indienen, moeten ook voldoen aan de autorisatievereisten van het opslagaccount. Zie Toegang tot gegevens in Azure Storage autoriseren voor meer informatie over accountautorisatie.
Regels voor virtuele netwerken
U kunt verkeer van subnetten inschakelen in elk virtueel Azure-netwerk. Het virtuele netwerk kan afkomstig zijn van elk abonnement binnen elke Microsoft Entra-tenant in elke Azure-regio. Als u verkeer van een subnet wilt inschakelen, voegt u een regel voor een virtueel netwerk toe. U kunt maximaal 400 regels voor virtuele netwerken per opslagaccount toevoegen.
In de instellingen van het virtuele netwerk van het subnet moet u ook een service-eindpunt voor een virtueel netwerk inschakelen. Dit eindpunt is ontworpen om een veilige en directe verbinding met uw opslagaccount te bieden.
Wanneer u netwerkregels maakt met behulp van Azure Portal, worden deze service-eindpunten automatisch gemaakt terwijl u elk doelsubnet selecteert. PowerShell en Azure CLI bieden opdrachten die u kunt gebruiken om ze handmatig te maken. Zie Service-eindpunten van Virtual Network voor meer informatie over service-eindpunten.
In de volgende tabel wordt elk type service-eindpunt beschreven dat u voor Azure Storage kunt inschakelen:
| Service-eindpunt | Resourcenaam | Beschrijving |
|---|---|---|
| Azure Storage-eindpunt | Microsoft.Opslag | Biedt connectiviteit met opslagaccounts in dezelfde regio als het virtuele netwerk. |
| Azure Storage-service-eindpunt voor meerdere regio's | Microsoft.Storage.Global | Biedt connectiviteit met opslagaccounts in elke regio. |
Notitie
U kunt slechts één van deze eindpunttypen koppelen aan een subnet. Als een van deze eindpunten al is gekoppeld aan het subnet, moet u dat eindpunt verwijderen voordat u het andere eindpunt toevoegt.
Zie Een regel voor een virtueel netwerk maken voor Azure Storage voor meer informatie over het configureren van een regel voor een virtueel netwerk en het inschakelen van service-eindpunten.
Toegang vanuit een gekoppelde regio
Service-eindpunten werken ook tussen virtuele netwerken en service-exemplaren in een gekoppelde regio.
Het configureren van service-eindpunten tussen virtuele netwerken en service-exemplaren in een gekoppelde regio kan een belangrijk onderdeel zijn van uw plan voor herstel na noodgevallen. Service-eindpunten maken continuïteit mogelijk tijdens een regionale failover en bieden toegang tot alleen-lezen geografisch redundante opslagexemplaren (RA-GRS). Regels voor virtuele netwerken die toegang verlenen vanuit een virtueel netwerk aan een opslagaccount, verlenen ook toegang tot elk RA-GRS exemplaar.
Bij het plannen van herstel na noodgevallen tijdens een regionale storing, maakt u vooraf de virtuele netwerken in de gekoppelde regio. Schakel service-eindpunten in voor Azure Storage met netwerkregels die toegang verlenen vanuit deze alternatieve virtuele netwerken. Pas deze regels vervolgens toe op uw geografisch redundante opslagaccounts.
IP-netwerkregels
Voor clients en services die zich niet in een virtueel netwerk bevinden, kunt u verkeer inschakelen door IP-netwerkregels te maken. Elke IP-netwerkregel maakt verkeer van een specifiek openbaar IP-adresbereik mogelijk. Als een client van een on-premises netwerk bijvoorbeeld toegang nodig heeft tot opslaggegevens, kunt u een regel maken die het openbare IP-adres van die client bevat. Elk opslagaccount ondersteunt maximaal 400 IP-netwerkregels.
Zie Een IP-netwerkregel maken voor Azure Storage voor meer informatie over het maken van IP-netwerkregels.
Als u een service-eindpunt voor een subnet inschakelt, gebruikt verkeer van dat subnet geen openbaar IP-adres om te communiceren met een opslagaccount. In plaats daarvan gebruikt al het verkeer een privé-IP-adres als het bron-IP-adres. Als gevolg hiervan hebben IP-netwerkregels die verkeer van deze subnetten toestaan, geen effect meer.
SAS-tokens die toegang verlenen tot een specifiek IP-adres, dienen om de toegang van de tokenhouder te beperken, maar ze verlenen geen nieuwe toegang buiten geconfigureerde netwerkregels.
Belangrijk
Sommige beperkingen zijn van toepassing op IP-adresbereiken. Zie Beperkingen voor IP-netwerkregels voor een lijst met beperkingen.
Toegang vanuit een on-premises netwerk
U kunt verkeer van een on-premises netwerk inschakelen met behulp van een IP-netwerkregel. Eerst moet u de internetgerichte IP-adressen identificeren die door uw netwerk worden gebruikt. Neem contact op met de netwerkbeheerder voor hulp.
Als u Azure ExpressRoute van uw locatie gebruikt, moet u de NAT-IP-adressen identificeren die worden gebruikt voor Microsoft-peering. De serviceprovider of de klant levert de NAT IP-adressen.
Als u toegang tot uw serviceresources wilt toestaan, moet u deze openbare IP-adressen toestaan in de firewallinstelling voor resource-IP-adressen.
Regels voor Azure-resourcesystemen
Sommige Azure-resources kunnen niet worden geïsoleerd via een virtueel netwerk of ip-adresregel. U kunt verkeer van deze resources inschakelen door een netwerkregel voor het resource-exemplaar te maken. De Azure-roltoewijzingen van het resource-exemplaar bepalen de typen bewerkingen die het resource-exemplaar kan uitvoeren op opslagaccountgegevens. Resource-exemplaren moeten afkomstig zijn van dezelfde tenant als uw opslagaccount, maar ze kunnen deel uitmaken van elk abonnement binnen de tenant.
Zie Een netwerkregel voor een resource-exemplaar maken voor Azure Storage voor meer informatie over het configureren van een regel voor een resource-exemplaar.
Uitzonderingen voor vertrouwde Azure-services
Als u verkeer van een Azure-service buiten de netwerkgrens wilt inschakelen, kunt u een uitzondering voor netwerkbeveiliging toevoegen. Dit kan handig zijn wanneer een Azure-service werkt vanuit een netwerk dat u niet kunt opnemen in uw virtuele netwerk of IP-netwerkregels. Sommige services moeten bijvoorbeeld mogelijk resourcelogboeken en metrische gegevens lezen in uw account. U kunt leestoegang toestaan voor de logboekbestanden, metrische tabellen of beide door een uitzondering voor netwerkregels te maken. Deze services maken verbinding met uw opslagaccount met behulp van sterke verificatie.
Zie Uitzonderingen voor netwerkbeveiliging beheren voor meer informatie over het toevoegen van een uitzondering voor netwerkbeveiliging.
Zie Vertrouwde Azure-services voor een volledige lijst met Azure-services waarvoor u verkeer kunt inschakelen.
Beperkingen en overwegingen
Voordat u netwerkbeveiliging voor uw opslagaccounts implementeert, moet u alle beperkingen en overwegingen controleren. Zie Beperkingen en beperkingen voor de configuratie van azure Storage-firewalls en virtuele netwerken voor een volledige lijst.