Compartilhamentos de arquivos do Azure SMB

Os Arquivos do Azure oferecem dois protocolos padrão do setor para montar o compartilhamento de arquivo do Azure: o protocolo SMB e o protocolo NFS (Network File System). O serviço Arquivos do Azure permite que você escolha o protocolo do sistema de arquivos mais adequado à sua carga de trabalho. Os compartilhamentos de arquivos do Azure não são compatíveis para acessar um compartilhamento de arquivos individual do Azure com os protocolos SMB e NFS, embora você possa criar compartilhamentos de arquivos SMB e NFS dentro da mesma conta de armazenamento. Para todos os compartilhamentos de arquivo, os Arquivos do Azure oferecem compartilhamentos de arquivo de nível empresarial que podem ser escalados verticalmente para atender às suas necessidades de armazenamento e podem ser acessados simultaneamente por milhares de clientes.

Este artigo aborda os compartilhamentos de arquivos SMB do Azure. Para obter informações sobre compartilhamentos de arquivos NFS do Azure, confira Compartilhamentos de arquivos NFS do Azure.

Cenários comuns

Os compartilhamentos de arquivo SMB são usados para uma variedade de aplicativos, incluindo compartilhamentos de arquivo do usuário final e compartilhamentos de arquivo que fazem o backup de bancos de dados e aplicativos. Os compartilhamentos de arquivo SMB geralmente são usados nos seguintes cenários:

  • Compartilhamentos de arquivo do usuário final, como compartilhamentos de equipe, diretórios principais etc.
  • Armazenamento de backup para aplicativos baseados no Windows, como bancos de dados SQL Server ou aplicativos de linha de negócios escritos para APIs de sistema de arquivos local Win32 ou .NET.
  • Desenvolvimento de novos aplicativos e serviços, principalmente se esse aplicativo ou serviço tiver um requisito de E/S aleatória e armazenamento hierárquico.

Recursos

O Arquivos do Azure é compatível com os principais recursos de SMB e do Azure necessários para implantações de produção de compartilhamentos de arquivo SMB:

  • Ingresso no domínio do AD e DACLs (listas de controle de acesso) discricionárias.
  • Backup integrado sem servidor com Backup do Azure.
  • Isolamento de rede com pontos de extremidade privados do Azure.
  • Alta taxa de transferência de rede usando o SMB Multichannel (somente compartilhamentos de arquivo premium).
  • Criptografia de canal SMB, incluindo AES-256-GCM, AES-128-GCM e AES-128-CCM.
  • Compatibilidade com a versão anterior por meio de instantâneos de compartilhamento integrados do VSS.
  • Exclusão temporária automática em compartilhamentos de arquivo do Azure para evitar exclusões acidentais.
  • Opcionalmente, compartilhamentos de arquivo acessíveis pela Internet com SMB 3.0+ seguro para a Internet.

Os compartilhamentos de arquivo SMB podem ser montados diretamente no local ou também podem ser armazenados em cache localmente com Sincronização de Arquivos do Azure.

Segurança

Todos os dados armazenados nos Arquivos do Azure são criptografados em repouso usando a SSE (Criptografia do Serviço de Armazenamento) do Azure. A criptografia do serviço de armazenamento funciona de maneira semelhante ao BitLocker no Windows: os dados são criptografados abaixo do nível do sistema de arquivos. Como os dados são criptografados abaixo do sistema de arquivos do compartilhamento de arquivo do Azure, pois eles são codificados no disco, você não precisa ter acesso à chave subjacente no cliente para fazer a leitura ou gravação no compartilhamento de arquivo do Azure. A criptografia em repouso aplica-se aos protocolos SMB e NFS.

Por padrão, todas as contas de armazenamento do Azure têm criptografia em trânsito habilitada. Isso significa que quando você montar um compartilhamento de arquivo via SMB ou acessá-lo por meio do protocolo FileREST, o Arquivos do Azure só permitirá a conexão se for feita com o SMB 3.x e com criptografia ou HTTPS. Os clientes que não são compatíveis com SMB 3 com a criptografia SMB não poderão montar o compartilhamento de arquivo do Azure se a criptografia em trânsito estiver habilitada.

Os arquivos do Azure dão suporte ao AES-256-GCM com SMB 3.1.1 quando usados com o Windows Server 2022 ou Windows 11. O SMB 3.1.1 também oferece compatibilidade com o AES-128-GCM, e o SMB 3.0 oferece compatibilidade com o AES-128-CCM. O AES-128-GCM é negociado por padrão no Windows 10 versão 21H1 por motivos de desempenho.

Você pode desabilitar a criptografia em trânsito para uma conta de armazenamento do Azure. Quando a criptografia estiver desabilitada, o Arquivos do Azure também permitirá o SMB 2.1, o SMB 3.x sem criptografia. O principal motivo para desabilitar a criptografia em trânsito é dar suporte a um aplicativo herdado que deve ser executado em um sistema operacional mais antigo, como o Windows Server 2008 R2 ou a distribuição mais antiga do Linux. Os Arquivos do Azure só permitem conexões SMB 2.1 na mesma região do Azure que o compartilhamento de arquivo do Azure. Um cliente SMB 2.1 fora da região do Azure do compartilhamento de arquivo do Azure, como local ou em uma região diferente do Azure, não será capaz de acessar o compartilhamento de arquivo.

Configurações de protocolo SMB

Os Arquivos do Azure oferecem várias configurações que afetam o comportamento, o desempenho e a segurança do protocolo SMB. Eles são configurados para todos os compartilhamentos de arquivos do Azure em uma conta de armazenamento.

SMB Multichannel

O SMB Multichannel habilita que um cliente SMB 3.x estabeleça múltiplas conexões de rede para um compartilhamento de arquivo SMB. Os Arquivos do Azure dão suporte ao SMB Multichannel em compartilhamentos de arquivos Premium (compartilhamentos de arquivos no tipo de conta de armazenamento FileStorage). Não há nenhum custo adicional para habilitar o SMB Multichannel em Arquivos do Azure. O SMB Multichannel agora está habilitado por padrão em todas as regiões do Azure.

Para exibir o status do SMB Multichannel, navegue até a conta de armazenamento que contém os compartilhamentos de arquivos Premium e selecione Compartilhamentos de arquivos no cabeçalho Armazenamento de dados no Sumário da conta de armazenamento. O status do SMB Multichannel pode ser visto na seção Configurações de compartilhamento de arquivos.

Uma captura de tela da seção compartilhamentos de arquivos na conta de armazenamento realçando a configuração do SMB Multichannel

Para habilitar ou desabilitar o SMB Multichannel, selecione o status atual (Habilitado ou Desabilitado, dependendo do status). A caixa de diálogo resultante fornece uma alternância para habilitar ou desabilitar o SMB Multichannel. Escolha o valor desejado e selecione Salvar.

Uma captura de tela da caixa de diálogo para habilitar/desabilitar o recurso do SMB Multichannel.

Habilitar o SMB Multichannel em sistemas operacionais mais antigos

O suporte para protocolo SMB de vários canais em Arquivos do Azure requer a garantia de que o Windows tem todos os patches relevantes aplicados. Várias versões mais antigas do Windows, incluindo o Windows Server 2016, o Windows 10 versão 1607 e o Windows 10 versão 1507, exigem chaves de registro adicionais para serem definidas para que todas as correções do protocolo SMB de vários canais relevantes sejam aplicadas em instalações totalmente corrigidas. Se você estiver executando uma versão do Windows que seja mais recente do que essas três versões, nenhuma outra ação será necessária.

Windows Server 2016 e Windows 10 versão 1607

Para habilitar todas as correções de protocolo SMB para o Windows Server 2016 e o Windows 10 versão 1607, execute o seguinte comando do PowerShell:

Set-ItemProperty `
    -Path "HKLM:SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides" `
    -Name "2291605642" `
    -Value 1 `
    -Force

Windows 10, versão 1507

Para habilitar todas as correções do protocolo SMB de vários canais para o Windows 10 versão 1507, execute o seguinte comando do PowerShell:

Set-ItemProperty `
    -Path "HKLM:\SYSTEM\CurrentControlSet\Services\MRxSmb\KBSwitch" `
    -Name "{FFC376AE-A5D2-47DC-A36F-FE9A46D53D75}" `
    -Value 1 `
    -Force

Configurações de segurança do SMB

Os Arquivos do Azure expõem configurações que permitem alternar o protocolo SMB para ser mais compatível ou mais seguro, dependendo dos requisitos da sua organização. Por padrão, os Arquivos do Azure são configurados para serem compatíveis ao máximo, portanto, tenha em mente que restringir essas configurações pode fazer com que alguns clientes não consigam se conectar.

Os Arquivos do Azure expõem as seguintes configurações:

  • Versões SMB: quais versões do SMB são permitidas. As versões de protocolo compatíveis são SMB 3.1.1, SMB 3.0 e SMB 2.1. Por padrão, todas as versões do SMB são permitidas, embora o SMB 2.1 não seja permitido se "exigir trânsito seguro" estiver habilitado, pois ele não permite criptografia em trânsito.
  • Métodos de autenticação: quais métodos de autenticação SMB são permitidos. Os métodos de autenticação com suporte são NTLMv2 (somente chave de conta de armazenamento) e Kerberos. Por padrão, todos os métodos de autenticação são permitidos. A remoção do NTLMv2 não permite o uso da chave de conta de armazenamento para montar o compartilhamento de arquivo do Azure. O Arquivos do Azure não dá suporte ao uso da autenticação NTLM para credenciais de domínio.
  • Criptografia de tíquete Kerberos: quais algoritmos de criptografia são permitidos. Os algoritmos de criptografia compatíveis são AES-256 (recomendado) e RC4-HMAC.
  • Criptografia de canal SMB: quais algoritmos de criptografia de canal SMB são permitidos. Os algoritmos de criptografia compatíveis são AES-256-GCM, AES-128-GCM e AES-128-CCM. Se você selecionar apenas o AES-256-GCM, precisará instruir os clientes que se conectam a usá-lo abrindo um terminal do PowerShell como administrador em cada cliente e executando Set-SmbClientConfiguration -EncryptionCiphers "AES_256_GCM" -Confirm:$false. Não há suporte para o uso do AES-256-GCM em clientes Windows anteriores ao Windows 11/Windows Server 2022.

Você pode visualizar e alterar as configurações de segurança de SMB usando o portal do Azure, o PowerShell ou a CLI. Escolha a guia desejada para ver as etapas sobre como obter e definir as configurações de segurança do SMB. Observe que essas configurações são verificadas quando uma sessão SMB é estabelecida e, se não atendida, a instalação da sessão SMB falha com o erro "STATUS_ACCESS_DENIED".

Para exibir ou alterar as configurações de segurança do SMB usando o portal do Azure, siga estas etapas:

  1. Pesquise por Contas de armazenamento e selecione a conta de armazenamento cujas configurações de segurança deseja exibir.

  2. Selecione Armazenamento de dados>Compartilhamentos de dados.

  3. Nas Configurações de compartilhamento de arquivos, selecione o valor associado a Segurança. Se você ainda não modificou as configurações de segurança, o padrão para esse valor é Compatibilidade máxima.

    Uma captura de tela mostrando onde alterar as configurações de segurança do SMB.

  4. Em Perfil, selecione Compatibilidade máxima, Segurança máxima ou Personalizado. Selecionar Personalizado permite que você crie um perfil personalizado para versões do protocolo SMB, criptografia de canal do SMB, mecanismos de autenticação e criptografia de tíquete Kerberos.

    Uma captura de tela mostrando a caixa de diálogo para alterar as configurações de segurança SMB para versões de protocolo SMB, criptografia de canal SMB, mecanismos de autenticação e criptografia de tíquete Kerberos.

Depois de inserir as configurações de segurança desejadas, selecione Salvar.

Limitações

Os compartilhamentos de arquivo SMB no Arquivos do Azure são compatíveis com um subconjunto de recursos compatível com o protocolo SMB e com o sistema de arquivos NTFS. Embora a maioria dos casos de uso e aplicativos não exijam esses recursos, alguns aplicativos podem não funcionar corretamente com o Arquivos do Azure se dependerem de recursos incompatíveis. Não há suporte aos seguintes recursos:

Disponibilidade regional

Os compartilhamentos de arquivo SMB do Azure estão disponíveis em cada região do Azure, incluindo todas as regiões públicas e soberanas. Os compartilhamentos de arquivo SMB premium estão disponíveis em um subconjunto de regiões.

Próximas etapas