Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El perímetro de seguridad de red permite a las organizaciones definir un límite de aislamiento de red lógico para los recursos de PaaS, como Azure Files que se implementan fuera de sus redes virtuales. Esta característica restringe el acceso de red pública a los recursos de PaaS fuera del perímetro. Sin embargo, puede excluir el acceso mediante reglas de acceso explícitas para el tráfico entrante y saliente público. Esto ayuda a evitar la filtración de datos no deseados de los recursos de almacenamiento. Dentro de un perímetro de seguridad de red, los recursos miembros pueden comunicarse libremente entre sí. Las reglas perimetrales de seguridad de red invalidan la configuración de firewall propia de la cuenta de almacenamiento. El acceso desde dentro del perímetro tiene prioridad más alta sobre otras restricciones de red.
Puede encontrar la lista de servicios que se incorporan al perímetro de seguridad de red aquí. Si un servicio no aparece en la lista, aún no se incorpora. Para permitir el acceso a un recurso específico desde un servicio no incorporado, puede crear una regla basada en suscripciones para el perímetro de seguridad de red. Una regla basada en suscripciones concede acceso a todos los recursos de esa suscripción. Para más información sobre cómo agregar una regla de acceso basada en suscripciones, consulte esta documentación.
Modos de acceso
Al incorporar cuentas de almacenamiento a un perímetro de seguridad de red, puede comenzar en el modo de Transición (anteriormente modo de aprendizaje) o bien ir directamente al modo Aplicado. El modo de transición (el modo de acceso predeterminado) permite que la cuenta de almacenamiento vuelva a sus reglas de firewall existentes o a la configuración de servicios de confianza si una regla perimetral aún no permite una conexión. El modo aplicado bloquea estrictamente todo el tráfico entrante y saliente público, a menos que una regla de perímetro de seguridad de red lo permita explícitamente, lo que garantiza la máxima protección para la cuenta de almacenamiento. En el modo aplicado, no se respetan las excepciones de servicio de confianza de Azure. Los recursos de Azure pertinentes o suscripciones específicas deben permitirse explícitamente a través de reglas perimetrales. Para más información, consulte Transición a un perímetro de seguridad de red en Azure.
Importante
Las cuentas de almacenamiento operativo en modo de transición solo deben servir como paso de transición. Los actores malintencionados pueden aprovechar los recursos no seguros para filtrar datos. Por lo tanto, es fundamental realizar la transición a una configuración totalmente segura lo antes posible con el modo de acceso establecido en Forzado.
Prioridad de red
Cuando una cuenta de almacenamiento forma parte de un perímetro de seguridad de red, las reglas de acceso del perfil pertinente invalidan la configuración de firewall propia de la cuenta, convirtiéndose en el guardián de red de nivel superior. El acceso permitido o denegado por el perímetro tiene prioridad, y la configuración de redes permitidas de la cuenta de almacenamiento se omite cuando la cuenta de almacenamiento está asociada en modo reforzado. Al quitar la cuenta de almacenamiento de un perímetro de seguridad de red, el control vuelve a su firewall habitual. Los perímetros de seguridad de red no afectan al tráfico del punto de conexión privado. Las conexiones a través de private link siempre se realizan correctamente. En el caso de los servicios internos de Azure (servicios de confianza), solo se permiten los servicios incorporados explícitamente al perímetro de seguridad de red mediante reglas de acceso perimetral. De lo contrario, su tráfico se bloquea de forma predeterminada, incluso si se confía en las reglas de firewall de la cuenta de almacenamiento. En el caso de los servicios que aún no están incorporados, las alternativas incluyen reglas de nivel de suscripción para nombres de dominio entrantes y completos (FQDN) para el acceso saliente o a través de vínculos privados.
Importante
El tráfico del punto de conexión privado se considera altamente seguro y, por lo tanto, no está sujeto a reglas perimetrales de seguridad de red. El resto del tráfico, incluidos los servicios de confianza, está sujeto a reglas perimetrales de seguridad de red si la cuenta de almacenamiento está asociada a un perímetro.
Cobertura funcional en el perímetro de seguridad de la red
Cuando una cuenta de almacenamiento está asociada a un perímetro de seguridad de red, se admiten todas las operaciones estándar del plano de datos para blobs, archivos, tablas y colas, a menos que se especifiquen con las limitaciones conocidas. Puede restringir las operaciones basadas en HTTPS para Azure Files, Azure Blob Storage, Azure Data Lake Storage Gen2, Azure Table Storage y Azure Queue Storage mediante el perímetro de seguridad de red.
En las tablas siguientes se describen el soporte del perímetro de seguridad de la red y el protocolo solo para Azure Files. Si busca cobertura de características para Azure Blob Storage y otros servicios de Azure Storage, consulte este artículo.
En la siguiente tabla se describe el soporte para el cumplimiento del perímetro de seguridad de red entrante para Azure Files.
| Feature | Compatibilidad con el estado | Recomendaciones |
|---|---|---|
| Private Link | Compatible con todos los protocolos (REST, SMB, NFS) | Las reglas de Private Link tienen prioridad sobre el perímetro de seguridad de red. El tráfico entrante de Private Link siempre se aceptará, independientemente de la configuración del perímetro de seguridad de red. |
| Azure Files REST con OAuth | Compatible | Soporte completo |
| REST de Azure Files con autenticación de Clave Compartida o SAS | Admite únicamente reglas IP de entrada | La clave compartida y SAS no son protocolos basados en OAuth, por lo que no pueden llevar información sobre el perímetro de origen o la suscripción. Por lo tanto, no se respetarán las reglas de perímetro de entrada y suscripción. Se admiten reglas ip (hasta 200 reglas). |
| SMB de Azure Files con NTLM o Kerberos | Admite únicamente reglas IP de entrada | NTLM o Kerberos no son protocolos basados en OAuth, por lo que no pueden llevar información sobre el perímetro de origen o la suscripción. Por lo tanto, no se respetarán las reglas de perímetro de entrada y suscripción. Se admiten reglas ip (hasta 200 reglas). |
| Azure Files NFS | Todo el tráfico entrante denegado | Se denegará todo el tráfico entrante excepto Private Link si coloca la cuenta de almacenamiento en un perímetro de seguridad de red en modo aplicado. Se admite el tráfico saliente para claves administradas por el cliente (CMK). |
En la tabla siguiente se describe la compatibilidad de integración con el perímetro de seguridad de red para Azure Files.
| Feature | Compatibilidad con el estado | Recomendaciones |
|---|---|---|
| Claves administradas por el cliente | Compatible con todos los protocolos (REST, SMB, NFS) | Si coloca el almacén de claves que hospeda la CMK en un perímetro de seguridad de red, debe colocar la cuenta de almacenamiento en el mismo perímetro o, de lo contrario, configurar el perfil perimetral de seguridad de red de Key Vault para permitir que la cuenta de almacenamiento se comunique con él. |
| Azure Backup | No está soportado. Azure Backup aún no está incorporado al perímetro de seguridad de red | Evite usar el perímetro de seguridad de red para las cuentas de almacenamiento mediante Azure Backup hasta que se complete la incorporación. |
| Azure File Sync | No es completamente compatible. Azure File Sync tiene una limitación conocida con los perímetros de seguridad de red. | Para conectar un recurso del servicio de sincronización de almacenamiento a la cuenta de almacenamiento, primero debe configurar el servicio de sincronización de almacenamiento para usar identidades administradas. A continuación, configure una regla de perfil de entrada perimetral de seguridad de red para permitir la suscripción del servicio de sincronización de almacenamiento. Los servicios de sincronización de almacenamiento no se pueden asociar a perímetros. |
Advertencia
En el caso de las cuentas de almacenamiento asociadas a un perímetro de seguridad de red, para que los escenarios de claves administradas por el cliente (CMK) funcionen, asegúrese de que azure Key Vault sea accesible desde el perímetro al que está asociada la cuenta de almacenamiento.
Asociación de un perímetro de seguridad de red a una cuenta de almacenamiento
Para asociar un perímetro de seguridad de red a una cuenta de almacenamiento, siga estas instrucciones comunes para todos los recursos de PaaS.
Pasos siguientes
- Más información sobre los puntos de conexión de servicio de red de Azure.
- Habilite registros de diagnóstico para el perímetro de seguridad de la red.