Recursos compartidos de archivos de Azure mediante SMB

Azure Files ofrece dos protocolos estándar del sector para el montaje de recursos compartidos de archivos de Azure: el protocolo Bloque de mensajes del servidor (SMB) y el protocolo Network File System (NFS). Azure Files le permite seleccionar el protocolo del sistema de archivos más adecuado para su carga de trabajo. Los recursos compartidos de archivos de Azure no admiten el acceso a un recurso compartido de archivos de Azure individual con los protocolos SMB y NFS, aunque se pueden crear recursos compartidos de archivos SMB y NFS dentro de la misma cuenta de almacenamiento. En general, Azure Files ofrece recursos compartidos de archivos de nivel empresarial que se pueden escalar verticalmente para satisfacer sus necesidades de almacenamiento y a los que pueden acceder simultáneamente miles de clientes.

En este artículo se tratan los recursos compartidos de archivos SMB de Azure. Para obtener información sobre los recursos compartidos de archivos de Azure mediante NFS, consulte el artículo sobre Recursos compartidos de archivos de Azure mediante NFS.

Escenarios frecuentes

Los recursos compartidos de archivos SMB se usan para diversas aplicaciones, incluidos recursos compartidos de archivos de usuario final y recursos compartidos de archivos que respaldan las bases de datos y las aplicaciones. Los recursos compartidos de archivos SMB se suelen usar en los escenarios siguientes:

  • Recursos compartidos de archivos de usuario final, como recursos compartidos de equipo, directorios particulares, etc.
  • Almacenamiento auxiliar para aplicaciones basadas en Windows, como bases de datos de SQL Server o aplicaciones de línea de negocio escritas para las API del sistema de archivos local Win32 o .NET.
  • Desarrollo de aplicaciones y servicios nuevos, sobre todo si esa aplicación o servicio tiene como requisito una E/S aleatoria y almacenamiento jerárquico.

Características

Azure Files admite las características principales de SMB y Azure que se requieren para las implementaciones de producción de recursos compartidos de archivos SMB:

  • Listas de control de acceso discrecional (DACL) y unión a un dominio de AD.
  • Copia de seguridad sin servidor integrada con Azure Backup.
  • Aislamiento de red con puntos de conexión privados de Azure.
  • Alto rendimiento de red con SMB multicanal (solo recursos compartidos de archivos premium).
  • Cifrado de canal SMB que incluye AES-256-GCM, AES-128-GCM y AES-128-CCM.
  • Compatibilidad con versiones anteriores mediante instantáneas de recurso compartido integradas de VSS.
  • Eliminación temporal automática en los recursos compartidos de archivos de Azure para evitar eliminaciones accidentales.
  • Opcionalmente, recursos compartidos de archivos accesibles desde Internet con SMB 3.0 y versiones posteriores seguro para Internet.

Los recursos compartidos de archivos SMB pueden montarse directamente en el entorno local o también se pueden almacenar en caché en el entorno local con Azure File Sync.

Seguridad

Todos los datos almacenados en Azure Files se cifran en reposo mediante el cifrado de servicio de almacenamiento (SSE) de Azure. El cifrado del servicio de almacenamiento funciona de forma similar a BitLocker en Windows: los datos se cifran bajo el nivel del sistema de archivos. Dado que los datos se cifran bajo el sistema de archivos del recurso compartido de archivos de Azure, ya que se codifican en el disco, no es necesario tener acceso a la clave subyacente en el cliente para leer o escribir en dicho recurso compartido. El cifrado en reposo se aplica a los protocolos SMB y NFS.

De forma predeterminada, todas las cuentas de Azure Storage tienen habilitado el cifrado en tránsito. Esto significa que, al montar un recurso compartido de archivos a través de SMB (o acceder a él a través del protocolo FileREST), Azure Files solo permitirá la conexión si se realiza con una versión SMB 3.x con cifrado o HTTPS. Los clientes que no admiten SMB 3.x con cifrado del canal SMB no podrán montar el recurso compartido de archivos de Azure si está habilitado el cifrado en tránsito.

Azure Files admite AES-256-GCM con SMB 3.1.1 cuando se usa con Windows Server 2022 o Windows 11. SMB 3.1.1 también admite AES-128-GCM y SMB 3.0 admite AES-128-CCM. AES-128-GCM se negocia de forma predeterminada en Windows 10, versión 21H1, por motivos de rendimiento.

Puede deshabilitar el cifrado en tránsito para una cuenta de almacenamiento de Azure. Cuando el cifrado está deshabilitado, Azure Files también permite el uso de SMB 2.1 y SMB 3.x sin cifrado. La razón principal para deshabilitar el cifrado en tránsito es admitir una aplicación heredada que debe ejecutarse en un sistema operativo anterior, como Windows Server 2008 R2 o una distribución de Linux anterior. Azure Files solo permite conexiones SMB 2.1 dentro de la misma región de Azure del recurso compartido de archivos de Azure. Un cliente SMB 2.1 fuera de la región de Azure del recurso compartido de archivos de Azure (por ejemplo, en un entorno local o en una región de Azure diferente) no podrá acceder al recurso compartido de archivos.

Configuración del protocolo SMB

Azure Files ofrece varias configuraciones que afectan al comportamiento, rendimiento y seguridad del protocolo SMB. Se configuran para todos los recursos compartidos de archivos de Azure dentro de una cuenta de almacenamiento.

SMB multicanal

SMB multicanal permite que un cliente SMB 3.x establezca varias conexiones de red a un recurso compartido de archivos SMB. Azure Files admite SMB multicanal en recursos compartidos de archivos prémium (recursos compartidos de archivos en el tipo de cuenta de almacenamiento FileStorage). No hay ningún costo adicional por habilitar SMB multicanal en Azure Files. SMB multicanal ahora está habilitado de forma predeterminada en todas las regiones de Azure.

Para ver el estado de SMB multicanal, vaya a la cuenta de almacenamiento que contiene los recursos compartidos de archivos prémium y seleccione Recursos compartidos de archivos en el encabezado Almacenamiento de datos de la tabla de contenido de la cuenta de almacenamiento. El estado de SMB multicanal se puede ver en la sección Configuración del recurso compartido de archivos.

Captura de pantalla de la sección Recursos compartidos de archivos en la cuenta de almacenamiento que resalta la configuración de SMB multicanal

Para habilitar o deshabilitar SMB multicanal, seleccione el estado actual (Habilitado o Deshabilitado en función del estado). El cuadro de diálogo resultante proporciona un botón de alternancia para habilitar o deshabilitar SMB multicanal. Seleccione el estado deseado y seleccione Guardar.

Una captura de pantalla del cuadro de diálogo para habilitar o deshabilitar la característica SMB multicanal.

Habilitación de SMB multicanal en sistemas operativos anteriores

Para la compatibilidad con SMB multicanal en Azure Files es necesario asegurar que Windows tenga aplicadas todas las revisiones pertinentes. En varias versiones anteriores de Windows, como Windows Server 2016, Windows 10 versión 1607 y Windows 10 versión 1507, es necesario establecer claves del Registro adicionales para que todas las correcciones multicanal de SMB pertinentes se apliquen en instalaciones totalmente revisadas. Si ejecuta una versión de Windows que es más reciente que estas tres versiones, no se necesita ninguna acción adicional.

Windows Server 2016 y Windows 10, versión 1607

Para habilitar todas las correcciones multicanal de SMB para Windows Server 2016 y Windows 10 versión 1607, ejecute el siguiente comando de PowerShell:

Set-ItemProperty `
    -Path "HKLM:SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides" `
    -Name "2291605642" `
    -Value 1 `
    -Force

Windows 10, versión 1507

Para habilitar todas las correcciones multicanal de SMB para Windows 10 versión 1507, ejecute el siguiente comando de PowerShell:

Set-ItemProperty `
    -Path "HKLM:\SYSTEM\CurrentControlSet\Services\MRxSmb\KBSwitch" `
    -Name "{FFC376AE-A5D2-47DC-A36F-FE9A46D53D75}" `
    -Value 1 `
    -Force

Configuración de seguridad de SMB

Azure Files expone una configuración que le permite alternar el protocolo SMB para que sea más compatible o más seguro, en función de los requisitos de la organización. De manera predeterminada, Azure Files está configurado para ser compatible al máximo, por lo que tenga en cuenta que restringir esta configuración puede hacer que algunos clientes no puedan conectarse.

Azure Files expone la siguiente configuración:

  • Versiones de SMB: qué versiones de SMB se permiten. Las versiones admitidas del protocolo son SMB 3.1.1, SMB 3.0 y SMB 2.1. De forma predeterminada, se admiten todas las versiones de SMB, salvo en el caso de SMB 2.1 si está habilitada la opción para requerir la transferencia segura, ya que SMB 2.1 no admite el cifrado en tránsito.
  • Métodos de autenticación: qué métodos de autenticación SMB se permiten. Los métodos de autenticación admitidos son NTLMv2 (solo clave de cuenta de almacenamiento) y Kerberos. De forma predeterminada, se admiten todos los métodos de autenticación. La eliminación de NTLMv2 impide el uso de la clave de la cuenta de almacenamiento para montar el recurso compartido de archivos de Azure. Azure Files no admite el uso de la autenticación NTLM para las credenciales de dominio.
  • Cifrado de vales Kerberos: qué algoritmos de cifrado se permiten. Los algoritmos de cifrado admitidos son AES-256 (recomendado) y RC4-HMAC.
  • Cifrado del canal SMB: qué algoritmos de cifrado del canal SMB se permiten. Los algoritmos de cifrado admitidos son AES-256-GCM, AES-128-GCM y AES-128-CCM. Si selecciona solo AES-256-GCM, deberá indicar a los clientes que lo usen abriendo un terminal de PowerShell como administrador en cada cliente y ejecutando Set-SmbClientConfiguration -EncryptionCiphers "AES_256_GCM" -Confirm:$false. No se admite el uso de AES-256-GCM en clientes Windows anteriores a Windows 11/Windows Server 2022.

Puede ver y cambiar la configuración de seguridad de SMB mediante Azure Portal, PowerShell o la CLI. Seleccione la pestaña deseada para ver los pasos sobre cómo obtener y establecer la configuración de seguridad de SMB. Tenga en cuenta que esta configuración se comprueba cuando se establece una sesión SMB y, si no se cumple, se produce un error en la configuración de la sesión de SMB con el error "STATUS_ACCESS_DENIED".

Para ver o cambiar la configuración de seguridad de SMB mediante Azure Portal, siga estos pasos:

  1. Busque Cuentas de almacenamiento y seleccione la cuenta de almacenamiento cuya configuración de seguridad quiere ver.

  2. Seleccione Almacenamiento de datos>Recursos compartido de archivos.

  3. En Configuración del recurso compartido de archivos, seleccione el valor asociado a Seguridad. Si no ha modificado la configuración de seguridad, tiene como valor predeterminado Compatibilidad máxima.

    Una captura de pantalla que muestra dónde cambiar la configuración de seguridad de SMB.

  4. En Perfil, seleccione Compatibilidad máxima, Maximum security (Seguridad máxima) o Personalizado. Si selecciona Personalizado, podrá crear un perfil personalizado para las versiones del protocolo SMB, el cifrado de canales SMB, los mecanismos de autenticación y el cifrado de vales de Kerberos.

    Captura de pantalla que muestra el cuadro de diálogo para cambiar la configuración de seguridad de SMB para las versiones del protocolo SMB, el cifrado del canal SMB, los mecanismos de autenticación y el cifrado de vales de Kerberos.

Después de especificar la configuración de seguridad deseada, seleccione Guardar.

Limitaciones

Los recursos compartidos de archivos SMB en Azure Files admiten un subconjunto de características compatibles con el protocolo SMB y el sistema de archivos NTFS. Aunque la mayoría de los casos de uso y de las aplicaciones no requieren estas características, es posible que algunas aplicaciones no funcionen correctamente con Azure Files si dependen de características no admitidas. No se admiten las características siguientes:

Disponibilidad regional

Los recursos compartidos de archivos SMB de Azure están disponibles en todas las regiones de Azure, incluidas todas las públicas y soberanas. Los recursos compartidos de archivos SMB premium están disponibles en un subconjunto de regiones.

Pasos siguientes