Compartilhamentos de arquivos do Azure SMB

O Azure Files oferece dois protocolos padrão do setor para montar o compartilhamento de arquivos do Azure: o protocolo SMB (Server Message Block) e o protocolo NFS (Network File System). Os Arquivos do Azure permitem que você escolha o protocolo de sistema de arquivos mais adequado para sua carga de trabalho. Os compartilhamentos de arquivos do Azure não oferecem suporte ao acesso a um compartilhamento de arquivos individual do Azure com os protocolos SMB e NFS, embora você possa criar compartilhamentos de arquivos SMB e NFS na mesma conta de armazenamento. Para todos os compartilhamentos de arquivos, o Azure Files oferece compartilhamentos de arquivos de nível empresarial que podem ser dimensionados para atender às suas necessidades de armazenamento e podem ser acessados simultaneamente por milhares de clientes.

Este artigo aborda os compartilhamentos de arquivos do Azure SMB. Para obter informações sobre compartilhamentos de arquivos do Azure NFS, consulte Compartilhamentos de arquivos do Azure NFS.

Cenários comuns

Os compartilhamentos de arquivos SMB são usados para uma variedade de aplicativos, incluindo compartilhamentos de arquivos de usuários finais e compartilhamentos de arquivos que apoiam bancos de dados e aplicativos. Os compartilhamentos de arquivos SMB geralmente são usados nos seguintes cenários:

  • Compartilhamentos de arquivos do usuário final, como compartilhamentos de equipe, diretórios base, etc.
  • Armazenamento de backup para aplicativos baseados no Windows, como bancos de dados SQL Server ou aplicativos de linha de negócios escritos para APIs de sistema de arquivos locais Win32 ou .NET.
  • Desenvolvimento de novos aplicativos e serviços, especialmente se esse aplicativo ou serviço tiver um requisito de E/S aleatória e armazenamento hierárquico.

Funcionalidades

O Azure Files suporta os principais recursos do SMB e do Azure necessários para implantações de produção de compartilhamentos de arquivos SMB:

  • Ingresso no domínio do AD e listas de controle de acesso discricionário (DACLs).
  • Backup sem servidor integrado com o Backup do Azure.
  • Isolamento de rede com pontos de extremidade privados do Azure.
  • Alta taxa de transferência de rede usando SMB Multichannel (somente compartilhamentos de arquivos premium).
  • Criptografia de canal SMB, incluindo AES-256-GCM, AES-128-GCM e AES-128-CCM.
  • Suporte a versões anteriores através de snapshots de compartilhamento integrados VSS.
  • Exclusão suave automática em compartilhamentos de arquivos do Azure para evitar exclusões acidentais.
  • Opcionalmente, partilhas de ficheiros acessíveis pela Internet com SMB 3.0+ seguro para a Internet.

Os compartilhamentos de arquivos SMB podem ser montados diretamente no local ou também podem ser armazenados em cache no local com o Azure File Sync.

Segurança

Todos os dados armazenados nos Arquivos do Azure são criptografados em repouso usando a criptografia do serviço de armazenamento do Azure (SSE). A criptografia do serviço de armazenamento funciona de forma semelhante ao BitLocker no Windows: os dados são criptografados abaixo do nível do sistema de arquivos. Como os dados são criptografados sob o sistema de arquivos do compartilhamento de arquivos do Azure, como são codificados em disco, você não precisa ter acesso à chave subjacente no cliente para ler ou gravar no compartilhamento de arquivos do Azure. A criptografia em repouso aplica-se aos protocolos SMB e NFS.

Por padrão, todas as contas de armazenamento do Azure têm a criptografia em trânsito habilitada. Isso significa que, quando você monta um compartilhamento de arquivos por SMB (ou acessa-o por meio do protocolo FileREST), os Arquivos do Azure só permitirão a conexão se ela for feita com SMB 3.x com criptografia ou HTTPS. Os clientes que não oferecem suporte ao SMB 3.x com criptografia de canal SMB não poderão montar o compartilhamento de arquivos do Azure se a criptografia em trânsito estiver habilitada.

O Azure Files dá suporte a AES-256-GCM com SMB 3.1.1 quando usado com o Windows Server 2022 ou Windows 11. SMB 3.1.1 também suporta AES-128-GCM e SMB 3.0 suporta AES-128-CCM. AES-128-GCM é negociado por padrão no Windows 10, versão 21H1 por motivos de desempenho.

Você pode desabilitar a criptografia em trânsito para uma conta de armazenamento do Azure. Quando a criptografia estiver desabilitada, os Arquivos do Azure também permitirão SMB 2.1 e SMB 3.x sem criptografia. A principal razão para desabilitar a criptografia em trânsito é oferecer suporte a um aplicativo herdado que deve ser executado em um sistema operacional mais antigo, como o Windows Server 2008 R2 ou uma distribuição Linux mais antiga. Os Arquivos do Azure só permitem conexões SMB 2.1 dentro da mesma região do Azure que o compartilhamento de arquivos do Azure; um cliente SMB 2.1 fora da região do Azure do compartilhamento de arquivos do Azure, como no local ou em uma região diferente do Azure, não poderá acessar o compartilhamento de arquivos.

Configurações do protocolo SMB

Os Arquivos do Azure oferecem várias configurações que afetam o comportamento, o desempenho e a segurança do protocolo SMB. Eles são configurados para todos os compartilhamentos de arquivos do Azure em uma conta de armazenamento.

SMB Multicanal

O SMB Multicanal permite que um cliente SMB 3.x estabeleça várias ligações de rede a uma partilha de ficheiros SMB. O Azure Files dá suporte a SMB Multichannel em compartilhamentos de arquivos premium (compartilhamentos de arquivos no tipo de conta de armazenamento FileStorage). Não há custo adicional para habilitar o SMB Multichannel nos Arquivos do Azure. Na maioria das regiões do Azure, o SMB Multichannel é desabilitado por padrão.

Para visualizar o status do SMB Multichannel, navegue até a conta de armazenamento que contém seus compartilhamentos de arquivos premium e selecione Compartilhamentos de arquivos no título Armazenamento de dados no sumário da conta de armazenamento. O status do SMB Multichannel pode ser visto na seção Configurações de compartilhamento de arquivos.

Uma captura de tela da seção de compartilhamentos de arquivos com na conta de armazenamento destacando a configuração SMB Multichannel

Para ativar ou desativar o SMB Multichannel, selecione o estado atual (Ativado ou Desativado, dependendo do estado). A caixa de diálogo resultante fornece uma alternância para habilitar ou desabilitar o SMB Multichannel. Selecione o estado desejado e selecione Salvar.

Uma captura de tela da caixa de diálogo para ativar/desativar o recurso SMB Multichannel.

Habilite o SMB Multichannel em sistemas operacionais mais antigos

O suporte para SMB Multichannel nos Arquivos do Azure requer a garantia de que o Windows tenha todos os patches relevantes aplicados. Várias versões mais antigas do Windows, incluindo Windows Server 2016, Windows 10 versão 1607 e Windows 10 versão 1507, exigem chaves de registro adicionais a serem definidas para que todas as correções SMB Multichannel relevantes sejam aplicadas em instalações totalmente corrigidas. Se estiver a executar uma versão do Windows mais recente do que estas três versões, não é necessária qualquer ação adicional.

Windows Server 2016 e Windows 10 versão 1607

Para habilitar todas as correções SMB Multichannel para Windows Server 2016 e Windows 10 versão 1607, execute o seguinte comando do PowerShell:

Set-ItemProperty `
    -Path "HKLM:SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides" `
    -Name "2291605642" `
    -Value 1 `
    -Force

Windows 10 versão 1507

Para habilitar todas as correções SMB Multichannel para o Windows 10 versão 1507, execute o seguinte comando do PowerShell:

Set-ItemProperty `
    -Path "HKLM:\SYSTEM\CurrentControlSet\Services\MRxSmb\KBSwitch" `
    -Name "{FFC376AE-A5D2-47DC-A36F-FE9A46D53D75}" `
    -Value 1 `
    -Force

Configurações de segurança SMB

Os Arquivos do Azure expõem configurações que permitem alternar o protocolo SMB para ser mais compatível ou mais seguro, dependendo dos requisitos da sua organização. Por padrão, os Arquivos do Azure são configurados para serem compatíveis ao máximo, portanto, lembre-se de que restringir essas configurações pode fazer com que alguns clientes não consigam se conectar.

Arquivos do Azure expõe as seguintes configurações:

  • Versões SMB: Quais versões do SMB são permitidas. As versões de protocolo suportadas são SMB 3.1.1, SMB 3.0 e SMB 2.1. Por padrão, todas as versões do SMB são permitidas, embora o SMB 2.1 não seja permitido se "exigir transferência segura" estiver habilitado, porque o SMB 2.1 não suporta criptografia em trânsito.
  • Métodos de autenticação: quais métodos de autenticação SMB são permitidos. Os métodos de autenticação suportados são NTLMv2 (somente chave de conta de armazenamento) e Kerberos. Por padrão, todos os métodos de autenticação são permitidos. A remoção do NTLMv2 não permite o uso da chave da conta de armazenamento para montar o compartilhamento de arquivos do Azure. Os Arquivos do Azure não oferecem suporte ao uso da autenticação NTLM para credenciais de domínio.
  • Criptografia de tíquete Kerberos: quais algoritmos de criptografia são permitidos. Os algoritmos de encriptação suportados são AES-256 (recomendado) e RC4-HMAC.
  • Criptografia de canal SMB: quais algoritmos de criptografia de canal SMB são permitidos. Os algoritmos de encriptação suportados são AES-256-GCM, AES-128-GCM e AES-128-CCM. Se você selecionar apenas AES-256-GCM, precisará dizer aos clientes conectados para usá-lo abrindo um terminal do PowerShell como administrador em cada cliente e executando Set-SmbClientConfiguration -EncryptionCiphers "AES_256_GCM" -Confirm:$falseo . O uso do AES-256-GCM não é suportado em clientes Windows anteriores ao Windows 11/Windows Server 2022.

Você pode exibir e alterar as configurações de segurança do SMB usando o portal do Azure, o PowerShell ou a CLI. Selecione a guia desejada para ver as etapas sobre como obter e definir as configurações de segurança SMB. Observe que essas configurações são verificadas quando uma sessão SMB é estabelecida e, se não for atendida, a configuração da sessão SMB falhará com o erro "STATUS_ACCESS_DENIED".

Para exibir ou alterar as configurações de segurança do SMB usando o portal do Azure, siga estas etapas:

  1. Procure contas de armazenamento e selecione a conta de armazenamento para a qual pretende ver as definições de segurança.

  2. Selecione Armazenamento de dados >Partilhas de ficheiros.

  3. Em Configurações de compartilhamento de arquivos, selecione o valor associado à Segurança. Se você não tiver modificado as configurações de segurança, esse valor será Compatibilidade máxima.

    Uma captura de tela mostrando onde alterar as configurações de segurança SMB.

  4. Em Perfil, selecione Compatibilidade máxima, Segurança máxima ou Personalizado. Selecionar Personalizado permite criar um perfil personalizado para versões do protocolo SMB, criptografia de canal SMB, mecanismos de autenticação e criptografia de tíquete Kerberos.

    Uma captura de tela mostrando a caixa de diálogo para alterar as configurações de segurança SMB para versões do protocolo SMB, criptografia de canal SMB, mecanismos de autenticação e criptografia de tíquete Kerberos.

Depois de inserir as configurações de segurança desejadas, selecione Salvar.

Limitações

Os compartilhamentos de arquivos SMB nos Arquivos do Azure dão suporte a um subconjunto de recursos suportados pelo protocolo SMB e pelo sistema de arquivos NTFS. Embora a maioria dos casos de uso e aplicativos não exijam esses recursos, alguns aplicativos podem não funcionar corretamente com os Arquivos do Azure se dependerem de recursos sem suporte. As seguintes caraterísticas não são suportadas:

Disponibilidade regional

Os compartilhamentos de arquivos do Azure SMB estão disponíveis em todas as regiões do Azure, incluindo todas as regiões públicas e soberanas. Os compartilhamentos de arquivos SMB Premium estão disponíveis em um subconjunto de regiões.

Próximos passos