Azure Depolama güvenlik duvarlarını ve sanal ağları yapılandırma

Azure Depolama, çok katmanlı bir güvenlik modeline sahiptir. Bu model, kullandığınız ağ veya kaynakların türüne ve alt kümesine dayalı olarak, uygulamalarınızın ve kuruluş ortamlarınızdaki depolama hesaplarınıza erişim düzeyini denetlemenize olanak tanır.

Ağ kurallarını yapılandırdığınızda, yalnızca belirtilen ağ kümesi üzerinden veya belirtilen Azure kaynakları üzerinden veri isteyen uygulamalar bir depolama hesabına erişebilir. Depolama hesabınıza erişimi belirtilen IP adreslerinden, IP aralıklarından, Bir Azure sanal ağındaki alt ağlardan veya bazı Azure hizmetlerinin kaynak örneklerinden gelen isteklerle sınırlayabilirsiniz.

Depolama hesaplarının İnternet üzerinden erişilebilen bir genel uç noktası vardır. Depolama hesabınız için özel uç noktalar da oluşturabilirsiniz. Özel uç noktalar oluşturmak, sanal ağınızdan depolama hesabına bir özel IP adresi atar. Özel bir bağlantı üzerinden sanal ağınızla depolama hesabınız arasındaki trafiğin güvenliğini sağlar.

Azure Depolama güvenlik duvarı, depolama hesabınızın genel uç noktası için erişim denetimi sağlar. Özel uç noktaları kullanırken genel uç nokta üzerinden tüm erişimi engellemek için güvenlik duvarını da kullanabilirsiniz. Güvenlik duvarı yapılandırmanız, güvenilen Azure platform hizmetlerinin depolama hesabına erişmesini de sağlar.

Ağ kuralları etkin olduğunda depolama hesabına erişen bir uygulama, istek için uygun yetkilendirmeyi gerektirir. Yetkilendirme, bloblar, tablolar, dosya paylaşımları ve kuyruklar için Microsoft Entra kimlik bilgileriyle, geçerli bir hesap erişim anahtarıyla veya paylaşılan erişim imzası (SAS) belirteci ile desteklenir. Blob kapsayıcısını anonim erişim için yapılandırdığınızda, bu kapsayıcıdaki verileri okuma isteklerinin yetkilendirilmiş olması gerekmez. Güvenlik duvarı kuralları etkin kalır ve anonim trafiği engeller.

Depolama hesabınız için güvenlik duvarı kurallarının açılması, istekler bir Azure sanal ağı içinde çalışan bir hizmetten veya izin verilen genel IP adreslerinden gelmediği sürece gelen veri isteklerini varsayılan olarak engeller. Engellenen istekler arasında diğer Azure hizmetlerinden, Azure portalından ve günlük ve ölçüm hizmetlerinden gelen istekler bulunur.

Hizmet örneğini barındıran alt ağdan gelen trafiğe izin vererek bir sanal ağ içinden çalışan Azure hizmetlerine erişim vekleyebilirsiniz. Ayrıca, bu makalede açıklanan özel durumlar mekanizması aracılığıyla sınırlı sayıda senaryoyu etkinleştirebilirsiniz. Azure portalı üzerinden depolama hesabından verilere erişmek için, ayarladığınız güvenilen sınır (IP veya sanal ağ) içindeki bir makinede olmanız gerekir.

Not

Azure ile etkileşim kurmak için Azure Az PowerShell modülünü kullanmanızı öneririz. Başlamak için bkz. Azure PowerShell'i yükleme. Az PowerShell modülüne nasıl geçeceğinizi öğrenmek için bkz. Azure PowerShell’i AzureRM’den Az’ye geçirme.

Senaryolar

Depolama hesabınızın güvenliğini sağlamak için, önce varsayılan olarak genel uç nokta üzerindeki tüm ağlardan (İnternet trafiği dahil) gelen trafiğe erişimi reddedecek bir kural yapılandırmanız gerekir. Ardından, belirli sanal ağlardan gelen trafiğe erişim izni veren kurallar yapılandırmanız gerekir. Ayrıca, belirli genel İnternet IP adresi aralıklarından gelen trafiğe erişim izni vermek için kurallar yapılandırarak belirli İnternet veya şirket içi istemcilerden gelen bağlantıları etkinleştirebilirsiniz. Bu yapılandırma, uygulamalarınız için güvenli bir ağ sınırı oluşturmanıza yardımcı olur.

Belirli sanal ağlardan ve genel IP adresi aralıklarından aynı depolama hesabından erişime izin veren güvenlik duvarı kurallarını birleştirebilirsiniz. Mevcut depolama hesaplarına veya yeni depolama hesapları oluşturduğunuzda depolama güvenlik duvarı kuralları uygulayabilirsiniz.

Depolama güvenlik duvarı kuralları, depolama hesabının genel uç noktasına uygulanır. Depolama hesabının özel uç noktaları için trafiğe izin vermek için herhangi bir güvenlik duvarı erişim kuralına ihtiyacınız yoktur. Özel uç noktanın oluşturulmasını onaylama işlemi, özel uç noktayı barındıran alt ağdan gelen trafiğe örtük erişim verir.

Önemli

Azure Depolama güvenlik duvarı kuralları yalnızca veri düzlemi işlemleri için geçerlidir. Denetim düzlemi işlemleri güvenlik duvarı kurallarında belirtilen kısıtlamalara tabi değildir.

Blob kapsayıcı işlemleri gibi bazı işlemler hem denetim düzlemi hem de veri düzlemi aracılığıyla gerçekleştirilebilir. Bu nedenle, Azure portalından kapsayıcıları listeleme gibi bir işlem gerçekleştirmeye çalışırsanız, başka bir mekanizma tarafından engellenmediği sürece işlem başarılı olur. Azure Depolama Gezgini gibi bir uygulamadan blob verilerine erişme girişimleri güvenlik duvarı kısıtlamaları tarafından denetlenmektedir.

Veri düzlemi işlemlerinin listesi için bkz . Azure Depolama REST API Başvurusu. Denetim düzlemi işlemlerinin listesi için bkz . Azure Depolama Kaynak Sağlayıcısı REST API Başvurusu.

Azure Depolama'ya ağ erişimini yapılandırma

Depolama hesabınızdaki verilere erişimi ağ uç noktaları üzerinden veya aşağıdakiler dahil olmak üzere herhangi bir birleşimde güvenilen hizmetler veya kaynaklar aracılığıyla denetleyebilirsiniz:

Sanal ağ uç noktaları hakkında

Depolama hesapları için iki tür sanal ağ uç noktası vardır:

Sanal ağ hizmet uç noktaları geneldir ve İnternet üzerinden erişilebilir. Azure Depolama güvenlik duvarı, bu tür genel uç noktalar üzerinden depolama hesabınıza erişimi denetleme olanağı sağlar. Depolama hesabınıza genel ağ erişimini etkinleştirdiğinizde, tüm gelen veri istekleri varsayılan olarak engellenir. Yalnızca depolama hesabı güvenlik duvarı ayarlarınızda yapılandırdığınız izin verilen kaynaklardan veri isteyen uygulamalar verilerinize erişebilir. Kaynaklar, bir istemcinin kaynak IP adresini veya sanal ağ alt ağını ya da istemcilerin veya hizmetlerin verilerinize erişebildiği bir Azure hizmetini veya kaynak örneğini içerebilir. Engellenen istekler, güvenlik duvarı yapılandırmanızda erişime açıkça izin vermediğiniz sürece diğer Azure hizmetlerinden, Azure portalından ve günlük ve ölçüm hizmetlerinden gelen istekleri içerir.

Özel uç nokta, Microsoft omurga ağı üzerinden bir depolama hesabına erişmek için sanal ağınızdan bir özel IP adresi kullanır. Özel uç nokta ile sanal ağınız ile depolama hesabınız arasındaki trafik özel bir bağlantı üzerinden güvenli hale getirilir. Depolama güvenlik duvarı kuralları, özel uç noktalara değil yalnızca depolama hesabının genel uç noktalarına uygulanır. Özel uç noktanın oluşturulmasını onaylama işlemi, özel uç noktayı barındıran alt ağdan gelen trafiğe örtük erişim verir. Erişim kurallarını daraltmak istiyorsanız özel uç noktalar üzerindeki trafiği denetlemek için Ağ İlkeleri'ni kullanabilirsiniz. Özel uç noktaları özel olarak kullanmak istiyorsanız, genel uç nokta üzerinden tüm erişimi engellemek için güvenlik duvarını kullanabilirsiniz.

Ortamınızdaki her uç nokta türünü ne zaman kullanacağınıza karar vermenize yardımcı olması için bkz . Özel Uç Noktaları ve Hizmet Uç Noktalarını Karşılaştırma.

Depolama hesabınız için ağ güvenliğine yaklaşma

Depolama hesabınızın güvenliğini sağlamak ve uygulamalarınız için güvenli bir ağ sınırı oluşturmak için:

  1. Depolama hesabı güvenlik duvarındaki Genel ağ erişimi ayarı altında depolama hesabı için tüm genel ağ erişimini devre dışı bırakarak başlayın.

  2. Mümkün olduğunda, istemcilerin bulunduğu ve verilerinize erişim gerektiren sanal ağ alt ağlarında özel uç noktalardan depolama hesabınıza özel bağlantılar yapılandırın.

  3. İstemci uygulamaları genel uç noktalar üzerinden erişim gerektiriyorsa, Genel ağ erişimi ayarını Seçili sanal ağlardan ve IP adreslerinden etkin olarak değiştirin. Ardından, gerektiği gibi:

    1. Erişime izin vermek istediğiniz sanal ağ alt ağlarını belirtin.
    2. Şirket içi ağlar gibi erişime izin vermek istediğiniz istemcilerin genel IP adresi aralıklarını belirtin.
    3. Seçili Azure kaynak örneklerinden erişime izin verin.
    4. Verileri yedekleme gibi işlemler için gereken güvenilen hizmetlerden erişime izin vermek için özel durumlar ekleyin.
    5. Günlüğe kaydetme ve ölçümler için özel durumlar ekleyin.

Ağ kurallarını uyguladıktan sonra, bunlar tüm istekler için zorlanır. Belirli bir IP adresine erişim veren SAS belirteçleri, belirteç sahibinin erişimini sınırlamaya hizmet eder, ancak yapılandırılmış ağ kurallarının ötesinde yeni erişim vermez.

Kısıtlamalar ve dikkat edilmesi gerekenler

Depolama hesaplarınız için ağ güvenliğini uygulamadan önce, bu bölümde ele alınan önemli kısıtlamaları ve dikkat edilmesi gerekenleri gözden geçirin.

  • Azure Depolama güvenlik duvarı kuralları yalnızca veri düzlemi işlemleri için geçerlidir. Denetim düzlemi işlemleri güvenlik duvarı kurallarında belirtilen kısıtlamalara tabi değildir.
  • IP ağ kuralları kısıtlamaları'nı gözden geçirin.
  • Azure portalı, Azure Depolama Gezgini ve AzCopy gibi araçları kullanarak verilere erişmek için ağ güvenlik kurallarını yapılandırırken oluşturduğunuz güvenilen sınır içindeki bir makinede olmanız gerekir.
  • Ağ kuralları REST ve SMB dahil olmak üzere Azure Depolama için tüm ağ protokollerinde uygulanır.
  • Ağ kuralları, bağlama ve çıkarma işlemleri ve disk G/Ç'si dahil olmak üzere sanal makine (VM) disk trafiğini etkilemez, ancak sayfa bloblarına REST erişimini korumaya yardımcı olur.
  • Özel durum oluşturarak VM'leri yedeklemek ve geri yüklemek için ağ kuralları uygulanmış depolama hesaplarında yönetilmeyen diskler kullanabilirsiniz. Yönetilen diskler Azure tarafından yönetildiği için güvenlik duvarı özel durumları geçerli değildir.
  • Klasik depolama hesapları güvenlik duvarlarını ve sanal ağları desteklemez.
  • Bir sanal ağ kuralına dahil edilen bir alt ağı silerseniz, depolama hesabının ağ kurallarından kaldırılır. Aynı ada sahip yeni bir alt ağ oluşturursanız depolama hesabına erişimi olmaz. Erişime izin vermek için, depolama hesabının ağ kurallarında yeni alt ağı açıkça yetkilendirmeniz gerekir.
  • İstemci uygulamasında bir hizmet uç noktasına başvururken, önbelleğe alınmış bir IP adresine bağımlılık almaktan kaçınmanız önerilir. Depolama hesabı IP adresi değiştirilebilir ve önbelleğe alınmış bir IP adresine güvenmek beklenmeyen davranışa neden olabilir. Buna ek olarak, DNS kaydının yaşam süresine (TTL) uygun olmanız ve bu kaydı geçersiz kılmaktan kaçınmanız önerilir. DNS TTL'nin geçersiz kılınması beklenmeyen davranışlara neden olabilir.
  • Tasarım gereği güvenilen hizmetlerden depolama hesabına erişim, diğer ağ erişimi kısıtlamaları arasında en yüksek önceliğe sahiptir. Daha önce seçili sanal ağlardan ve IP adreslerinden Etkin olarak ayarladıktan sonra Genel ağ erişimini Devre Dışı olarak ayarlarsanız, güvenilen hizmetler listesindeki Azure hizmetlerinin bu depolama hesabına erişmesine izin ver de dahil olmak üzere daha önce yapılandırdığınız tüm kaynak örnekleri ve özel durumlar etkin kalır. Sonuç olarak, bu kaynaklar ve hizmetler depolama hesabına erişmeye devam edebilir.

Yetkilendirme

Ağ kuralları aracılığıyla erişim verilen istemcilerin verilere erişmek için depolama hesabının yetkilendirme gereksinimlerini karşılamaya devam etmesi gerekir. Yetkilendirme, bloblar ve kuyruklar için Microsoft Entra kimlik bilgileriyle, geçerli bir hesap erişim anahtarıyla veya paylaşılan erişim imzası (SAS) belirteci ile desteklenir.

Anonim genel erişim için bir blob kapsayıcısı yapılandırdığınızda, bu kapsayıcıdaki verileri okuma isteklerinin yetkilendirilmesine gerek yoktur, ancak güvenlik duvarı kuralları geçerli kalır ve anonim trafiği engeller.

Varsayılan ağ erişim kuralını değiştirme

Varsayılan olarak, depolama hesapları herhangi bir ağ üzerindeki istemcilerden gelen bağlantıları kabul eder. Seçili ağlara erişimi sınırlayabilir veya tüm ağlardan gelen trafiği engelleyebilir ve yalnızca özel bir uç nokta üzerinden erişime izin vekleyebilirsiniz.

Varsayılan kuralı reddetmek için ayarlamanız gerekir, aksi zaman ağ kurallarının hiçbir etkisi yoktur. Ancak bu ayarı değiştirmek, uygulamanızın Azure Depolama'ya bağlanma becerisini etkileyebilir. Bu ayarı değiştirmeden önce izin verilen tüm ağlara erişim izni verdiğinizden veya özel uç nokta üzerinden erişim ayarladığınızdan emin olun.

Not

Azure ile etkileşim kurmak için Azure Az PowerShell modülünü kullanmanızı öneririz. Başlamak için bkz. Azure PowerShell'i yükleme. Az PowerShell modülüne nasıl geçeceğinizi öğrenmek için bkz. Azure PowerShell’i AzureRM’den Az’ye geçirme.

  1. Güvenli hale getirmek istediğiniz depolama hesabına gidin.

  2. Güvenlik + ağ altında ayarlarını bulun.

  3. İzin vermek istediğiniz genel ağ erişimi türünü seçin:

    • Tüm ağlardan gelen trafiğe izin vermek için Etkinleştirildi ögesini seçin.

    • Yalnızca belirli sanal ağlardan gelen trafiğe izin vermek için Seçili sanal ağlardan ve IP adreslerinden Etkinleştirildi ögesini seçin.

    • Tüm ağlardan gelen trafiği engellemek için Devre dışı'yı seçin.

  4. Yaptığınız değişiklikleri uygulamak için Kaydet'i seçin.

Dikkat

Tasarım gereği güvenilen hizmetlerden depolama hesabına erişim, diğer ağ erişimi kısıtlamaları arasında en yüksek önceliğe sahiptir. Daha önce seçili sanal ağlardan ve IP adreslerinden Etkin olarak ayarladıktan sonra Genel ağ erişimini Devre Dışı olarak ayarlarsanız, güvenilen hizmetler listesindeki Azure hizmetlerinin bu depolama hesabına erişmesine izin ver de dahil olmak üzere daha önce yapılandırdığınız tüm kaynak örnekleri ve özel durumlar etkin kalır. Sonuç olarak, bu kaynaklar ve hizmetler depolama hesabına erişmeye devam edebilir.

Sanal ağdan erişim izni verin

Depolama hesaplarını yalnızca belirli alt ağlardan erişime izin verecek şekilde yapılandırabilirsiniz. İzin verilen alt ağlar, farklı bir Microsoft Entra kiracısına ait olanlar da dahil olmak üzere aynı abonelikteki veya farklı bir abonelikteki bir sanal ağa ait olabilir. Bölgeler arası hizmet uç noktalarıyla, izin verilen alt ağlar depolama hesabından farklı bölgelerde de olabilir.

Sanal ağ içinde Azure Depolama için bir hizmet uç noktasını etkinleştirebilirsiniz. Hizmet uç noktası, trafiği sanal ağdan Azure Depolama hizmetine en uygun yol üzerinden yönlendirir. Her istekle birlikte alt ağın ve sanal ağın kimlikleri de iletilir. Yöneticiler daha sonra bir sanal ağdaki belirli alt ağlardan isteklerin alınmasına izin veren depolama hesabı için ağ kurallarını yapılandırabilir. Bu ağ kuralları aracılığıyla erişim verilen istemcilerin verilere erişmek için depolama hesabının yetkilendirme gereksinimlerini karşılamaya devam etmesi gerekir.

Her depolama hesabı en fazla 400 sanal ağ kuralını destekler. Bu kuralları IP ağ kurallarıyla birleştirebilirsiniz.

Önemli

İstemci uygulamasında bir hizmet uç noktasına başvururken, önbelleğe alınmış bir IP adresine bağımlılık almaktan kaçınmanız önerilir. Depolama hesabı IP adresi değiştirilebilir ve önbelleğe alınmış bir IP adresine güvenmek beklenmeyen davranışa neden olabilir.

Buna ek olarak, DNS kaydının yaşam süresine (TTL) uygun olmanız ve bu kaydı geçersiz kılmaktan kaçınmanız önerilir. DNS TTL'nin geçersiz kılınması beklenmeyen davranışlara neden olabilir.

Gerekli izinler

Depolama hesabına sanal ağ kuralı uygulamak için, kullanıcının eklenen alt ağlar için uygun izinlere sahip olması gerekir. Depolama Hesabı Katkıda Bulunanı veya Azure kaynak sağlayıcısı işlemine Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action izni olan bir kullanıcı, özel bir Azure rolü kullanarak bir kural uygulayabilir.

Depolama hesabı ve erişim elde eden sanal ağlar, farklı bir Microsoft Entra kiracısının parçası olan abonelikler de dahil olmak üzere farklı aboneliklerde olabilir.

Farklı bir Microsoft Entra kiracısının parçası olan sanal ağlardaki alt ağlara erişim izni veren kuralların yapılandırılması şu anda yalnızca PowerShell, Azure CLI ve REST API'leri aracılığıyla desteklenmektedir. Bu tür kuralları Azure portalı üzerinden yapılandıramazsınız, ancak bunları portalda görüntüleyebilirsiniz.

Azure Depolama bölgeler arası hizmet uç noktaları

Azure Depolama için bölgeler arası hizmet uç noktaları Nisan 2023'te genel kullanıma sunuldu. Sanal ağlar ve herhangi bir bölgedeki depolama hizmeti örnekleri arasında çalışır. Bölgeler arası hizmet uç noktalarıyla alt ağlar artık başka bir bölgedekiler de dahil olmak üzere herhangi bir depolama hesabıyla iletişim kurmak için genel IP adresi kullanmaz. Bunun yerine, alt ağlardan depolama hesaplarına gelen tüm trafik, kaynak IP olarak özel bir IP adresi kullanır. Sonuç olarak, bu alt ağlardan gelen trafiğe izin vermek için IP ağ kurallarını kullanan depolama hesaplarının artık bir etkisi olmaz.

Sanal ağlar ve hizmet örnekleri arasında hizmet uç noktalarının eşleştirilmiş bir bölgede yapılandırılması olağanüstü durum kurtarma planınızın önemli bir parçası olabilir. Hizmet uç noktaları bölgesel yük devretme sırasında sürekliliğe ve salt okunur coğrafi olarak yedekli depolama (RA-GRS) örneklerine erişim sağlar. Bir sanal ağdan depolama hesabına erişim izni veren ağ kuralları da herhangi bir RA-GRS örneğine erişim verir.

Bölgesel bir kesinti sırasında olağanüstü durum kurtarmayı planlarken, eşleştirilmiş bölgede önceden sanal ağları oluşturun. Bu alternatif sanal ağlardan erişim veren ağ kurallarıyla Azure Depolama için hizmet uç noktalarını etkinleştirin. Ardından bu kuralları coğrafi olarak yedekli depolama hesaplarınıza uygulayın.

Yerel ve bölgeler arası hizmet uç noktaları aynı alt ağda bir arada olamaz. Mevcut hizmet uç noktalarını bölgeler arası uç noktalarla değiştirmek için mevcut Microsoft.Storage uç noktaları silin ve bölgeler arası uç noktalar (Microsoft.Storage.Global olarak) yeniden oluşturun.

Sanal ağ kurallarını yönetme

Depolama hesapları için sanal ağ kurallarını Azure portalı, PowerShell veya Azure CLI v2 aracılığıyla yönetebilirsiniz.

Depolama hesabınıza başka bir Microsoft Entra kiracısında bulunan bir sanal ağdan veya alt ağdan erişimi etkinleştirmek istiyorsanız PowerShell veya Azure CLI kullanmanız gerekir. Azure portalı diğer Microsoft Entra kiracılarında alt ağları göstermez.

  1. Güvenli hale getirmek istediğiniz depolama hesabına gidin.

  2. 'ı seçin.

  3. Seçili ağlardan erişime izin verme seçeneğini belirleyin.

  4. Yeni bir ağ kuralı kullanarak bir sanal ağa erişim vermek için Sanal ağlar'ın altında Varolan sanal ağı ekle'yi seçin. Sanal ağlar ve Alt ağlar seçeneklerini ve ardından Ekle'yi seçin.

    Yeni bir sanal ağ oluşturmak ve erişim vermek için Yeni sanal ağ ekle'yi seçin. Yeni sanal ağı oluşturmak için gerekli bilgileri sağlayın ve oluştur'u seçin.

    Azure Depolama için bir hizmet uç noktası daha önce seçili sanal ağ ve alt ağlar için yapılandırılmadıysa, bunu bu işlemin bir parçası olarak yapılandırabilirsiniz.

    Şu anda, kural oluşturma sırasında yalnızca aynı Microsoft Entra kiracısına ait sanal ağlar seçim için görünür. Başka bir kiracıya ait bir sanal ağdaki alt ağa erişim vermek için PowerShell, Azure CLI veya REST API'lerini kullanın.

  5. Bir sanal ağı veya alt ağ kuralını kaldırmak için üç noktayı (...) seçerek sanal ağ veya alt ağın bağlam menüsünü açın ve ardından Kaldır'ı seçin.

  6. Yaptığınız değişiklikleri uygulamak için Kaydet'i seçin.

Önemli

Bir ağ kuralına dahil olan bir alt ağı silerseniz, depolama hesabının ağ kurallarından kaldırılır. Aynı ada sahip yeni bir alt ağ oluşturursanız depolama hesabına erişimi olmaz. Erişime izin vermek için, depolama hesabının ağ kurallarında yeni alt ağı açıkça yetkilendirmeniz gerekir.

İnternet IP aralığından erişim izni verme

IP ağ kuralları oluşturarak belirli genel İnternet IP adresi aralıklarından erişime izin vermek için IP ağ kurallarını kullanabilirsiniz. Her depolama hesabı en fazla 400 kuralı destekler. Bu kurallar belirli İnternet tabanlı hizmetlere ve şirket içi ağlara erişim verir ve genel İnternet trafiğini engeller.

IP ağ kuralları için kısıtlamalar

IP adresi aralıkları için aşağıdaki kısıtlamalar geçerlidir:

  • IP ağ kurallarına yalnızca genel İnternet IP adresleri için izin verilir.

    IP kurallarında özel ağlar için ayrılmış IP adresi aralıklarına (RFC 1918'de tanımlandığı gibi) izin verilmez. Özel ağlar 10, 172.16 ile 172.31 ve 192.168 arasında başlayan adresleri içerir.

  • İzin verilen internet adresi aralıklarını, 16.17.18.0/24 biçiminde CIDR gösterimini kullanarak veya 16.17.18.19 gibi tek tek IP adresleri olarak sağlamanız gerekir.

  • /31 veya /32 ön ek boyutlarını kullanan küçük adres aralıkları desteklenmez. Bu aralıkları tek tek IP adresi kurallarını kullanarak yapılandırın.

  • Depolama güvenlik duvarı kurallarının yapılandırılması için yalnızca IPv4 adresleri desteklenir.

Önemli

Aşağıdaki durumlarda IP ağ kurallarını kullanamazsınız:

  • Depolama hesabıyla aynı Azure bölgesindeki istemcilere erişimi kısıtlamak için. IP ağ kurallarının, depolama hesabıyla aynı Azure bölgesinden gelen istekler üzerinde hiçbir etkisi yoktur. Aynı bölge isteklerine izin vermek için Sanal ağ kurallarını kullanın.
  • Hizmet uç noktası olan bir sanal ağda bulunan eşleştirilmiş bir bölgedeki istemcilere erişimi kısıtlamak için.
  • Depolama hesabıyla aynı bölgede dağıtılan Azure hizmetlerine erişimi kısıtlamak için. Depolama hesabıyla aynı bölgede dağıtılan servisler iletişim için özel Azure IP adreslerini kullanır. Bu nedenle, belirli Azure hizmetlerine erişimi genel giden IP adresi aralığına göre kısıtlayamazsınız.

Şirket içi ağlardan erişimi yapılandırma

Bir IP ağ kuralı kullanarak şirket içi ağlarınızdan depolama hesabınıza erişim vermek için, ağınızın kullandığı İnternet'e yönelik IP adreslerini tanımlamanız gerekir. Yardım için ağ yöneticinize başvurun.

Azure ExpressRoute'u şirket içinden kullanıyorsanız Microsoft eşlemesi için kullanılan NAT IP adreslerini tanımlamanız gerekir. NAT IP adreslerini hizmet sağlayıcısı veya müşteri sağlar.

Hizmet kaynaklarınıza erişime izin vermek için, kaynak IP'leri için güvenlik duvarı ayarında bu genel IP adreslerine izin vermelisiniz.

IP ağ kurallarını yönetme

Depolama hesapları için IP ağ kurallarını Azure portalı, PowerShell veya Azure CLI v2 aracılığıyla yönetebilirsiniz.

  1. Güvenli hale getirmek istediğiniz depolama hesabına gidin.

  2. 'ı seçin.

  3. Seçili ağlardan erişime izin verme seçeneğini belirleyin.

  4. İnternet IP aralığına erişim vermek için Güvenlik Duvarı>Adres Aralığı'nın altına IP adresini veya adres aralığını (CIDR biçiminde) girin.

  5. IP ağ kuralını kaldırmak için adres aralığının yanındaki sil simgesini ( ) seçin.

  6. Yaptığınız değişiklikleri uygulamak için Kaydet'i seçin.

Azure kaynak örneklerinden erişim verme

Bazı durumlarda, bir uygulama sanal ağ veya IP adresi kuralı aracılığıyla yalıtılabilen Azure kaynaklarına bağımlı olabilir. Ancak yine de depolama hesabı erişiminin güvenliğini sağlamak ve yalnızca uygulamanızın Azure kaynaklarıyla kısıtlamak istiyorsunuz. Bir kaynak örneği kuralı oluşturarak depolama hesaplarını güvenilen Azure hizmetlerinin belirli kaynak örneklerine erişime izin verecek şekilde yapılandırabilirsiniz.

Kaynak örneğinin Azure rol atamaları, bir kaynak örneğinin depolama hesabı verilerinde gerçekleştirebileceği işlem türlerini belirler. Kaynak örnekleri depolama hesabınızla aynı kiracıdan olmalıdır, ancak kiracıdaki herhangi bir aboneliğe ait olabilir.

Azure portalında kaynak ağ kuralları ekleyebilir veya kaldırabilirsiniz:

  1. Azure Portal’ında oturum açın.

  2. Depolama hesabınızı bulun ve hesaba genel bakış bilgilerini görüntüleyin.

  3. 'ı seçin.

  4. Güvenlik duvarları ve sanal ağlar'ın altında, Seçili ağlar için erişime izin verme seçeneğini belirleyin.

  5. Kaynak örneklerini bulmak için aşağı kaydırın. Kaynak türü açılan listesinde kaynak örneğinizin kaynak türünü seçin.

  6. Örnek adı açılan listesinde kaynak örneğini seçin. Tüm kaynak örneklerini etkin kiracıya, aboneliğe veya kaynak grubuna eklemeyi de seçebilirsiniz.

  7. Yaptığınız değişiklikleri uygulamak için Kaydet'i seçin. Kaynak örneği, ağ ayarları sayfasının Kaynak örnekleri bölümünde görünür.

Kaynak örneğini kaldırmak için kaynak örneğinin yanındaki sil simgesini ( ) seçin.

Güvenilen Azure hizmetlerine erişim izni verme

Bazı Azure hizmetleri, ağ kurallarınıza ekleyemezsiniz ağlardan çalışır. Bu tür güvenilen Azure hizmetlerinin bir alt kümesine depolama hesabına erişim izni verirken, diğer uygulamalar için ağ kurallarını koruyabilirsiniz. Bu güvenilir hizmetler daha sonra depolama hesabınıza bağlanmak için güçlü kimlik doğrulaması kullanır.

Bir ağ kuralı özel durumu oluşturarak güvenilen Azure hizmetlerine erişim vekleyebilirsiniz. Bu makalenin Özel durumları yönet bölümünde adım adım yönergeler sağlanır.

Microsoft Entra kiracınızda kayıtlı kaynaklar için güvenilir erişim

Bazı hizmetlerin kaynakları, günlük yazma veya yedekleme çalıştırma gibi seçili işlemler için depolama hesabınıza erişebilir. Bu hizmetlerin depolama hesabınızla aynı Microsoft Entra kiracısında bulunan bir aboneliğe kaydedilmesi gerekir. Aşağıdaki tabloda her hizmet ve izin verilen işlemler açıklanmaktadır.

Hizmet Kaynak sağlayıcısı adı İzin verilen işlemler
Azure Backup Microsoft.RecoveryServices Hizmet olarak altyapı (IaaS) sanal makinelerinde yönetilmeyen disklerin yedeklemelerini ve geri yüklemelerini çalıştırın (yönetilen diskler için gerekli değildir). Daha fazla bilgi edinin.
Azure Data Box Microsoft.DataBox Verileri Azure'a aktarma. Daha fazla bilgi edinin.
Azure DevTest Labs Microsoft.DevTestLab Özel görüntüler oluşturun ve yapıtları yükleyin. Daha fazla bilgi edinin.
Azure Event Grid Microsoft.EventGrid Azure Blob Depolama olay yayımlamayı etkinleştirin ve depolama kuyruklarında yayımlamaya izin verin.
Azure Event Hubs Microsoft.EventHub Event Hubs Capture kullanarak verileri arşivle. Daha fazla bilgi edinin.
Azure Dosya Eşitleme Microsoft.StorageSync Şirket içi dosya sunucunuzu Azure dosya paylaşımları için bir önbelleğe dönüştürün. Bu özellik birden çok siteli eşitlemeye, hızlı olağanüstü durum kurtarmaya ve bulut tarafı yedeklemeye olanak tanır. Daha fazla bilgi edinin.
Azure HDInsight Microsoft.HDInsight Yeni bir HDInsight kümesi için varsayılan dosya sisteminin ilk içeriğini sağlayın. Daha fazla bilgi edinin.
Azure İçeri/Dışarı Aktarma Microsoft.ImportExport Verileri Azure Depolama'ya aktarın veya Azure Depolama'dan dışarı aktarın. Daha fazla bilgi edinin.
Azure İzleyici Microsoft.Insights Kaynak günlükleri, Uç Nokta için Microsoft Defender verileri, Microsoft Entra oturum açma ve denetim günlükleri ve Microsoft Intune günlükleri gibi izleme verilerini güvenli bir depolama hesabına yazın. Daha fazla bilgi edinin.
Azure ağ hizmetleri Microsoft.Network Azure Ağ İzleyicisi ve Azure Traffic Manager hizmetleri de dahil olmak üzere ağ trafiği günlüklerini depolayın ve analiz edin. Daha fazla bilgi edinin.
Azure Site Recovery Microsoft.SiteRecovery Güvenlik duvarı etkin önbellek, kaynak veya hedef depolama hesapları kullanırken Azure IaaS sanal makinelerinde olağanüstü durum kurtarma için çoğaltmayı etkinleştirin. Daha fazla bilgi edinin.

Yönetilen kimliğe dayalı güvenilir erişim

Aşağıdaki tabloda, söz konusu hizmetlerin kaynak örnekleri uygun izne sahipse depolama hesabı verilerinize erişebilen hizmetler listelenmektedir.

Hizmet Kaynak sağlayıcısı adı Purpose
Azure FarmBeats Microsoft.AgFoodPlatform/farmBeats Depolama hesaplarına erişimi etkinleştirir.
Azure API Management Microsoft.ApiManagement/service İlkeler aracılığıyla güvenlik duvarlarının arkasındaki depolama hesaplarına erişimi etkinleştirir. Daha fazla bilgi edinin.
Microsoft Otonom Sistemler Microsoft.AutonomousSystems/workspaces Depolama hesaplarına erişimi etkinleştirir.
Redis için Azure Önbelleği Microsoft.Cache/Redis Depolama hesaplarına erişimi etkinleştirir. Daha fazla bilgi edinin.
Azure Yapay Zeka Arama Microsoft.Search/searchServices Dizin oluşturma, işleme ve sorgulama için depolama hesaplarına erişim sağlar.
Azure Yapay Zeka Hizmetleri Microsoft.CognitiveService/accounts Depolama hesaplarına erişimi etkinleştirir. Daha fazla bilgi edinin.
Azure Container Registry Microsoft.ContainerRegistry/registries ACR Görevleri özellik paketi aracılığıyla, kapsayıcı görüntüleri oluştururken depolama hesaplarına erişim sağlar.
Microsoft Maliyet Yönetimi Microsoft.CostManagementExports Güvenlik duvarının arkasındaki depolama hesaplarına dışarı aktarmayı etkinleştirir. Daha fazla bilgi edinin.
Azure Databricks Microsoft.Databricks/accessConnectors Depolama hesaplarına erişimi etkinleştirir.
Azure Data Factory Microsoft.DataFactory/factories Data Factory çalışma zamanı aracılığıyla depolama hesaplarına erişim sağlar.
Azure Backup Vault Microsoft.DataProtection/BackupVaults Depolama hesaplarına erişimi etkinleştirir.
Azure Veri Paylaşımı Microsoft.DataShare/accounts Depolama hesaplarına erişimi etkinleştirir.
PostgreSQL için Azure Veritabanı Microsoft.DBForPostgreSQL Depolama hesaplarına erişimi etkinleştirir.
Azure IoT Hub Microsoft.Devices/IotHubs IoT hub'ından alınan verilerin Blob Depolama'ya yazılmasına izin verir. Daha fazla bilgi edinin.
Azure DevTest Labs Microsoft.DevTestLab/labs Depolama hesaplarına erişimi etkinleştirir.
Azure Event Grid Microsoft.EventGrid/domains Depolama hesaplarına erişimi etkinleştirir.
Azure Event Grid Microsoft.EventGrid/partnerTopics Depolama hesaplarına erişimi etkinleştirir.
Azure Event Grid Microsoft.EventGrid/systemTopics Depolama hesaplarına erişimi etkinleştirir.
Azure Event Grid Microsoft.EventGrid/topics Depolama hesaplarına erişimi etkinleştirir.
Microsoft Fabric Microsoft.Fabric Depolama hesaplarına erişimi etkinleştirir.
Azure Healthcare APIs Microsoft.HealthcareApis/services Depolama hesaplarına erişimi etkinleştirir.
Azure Healthcare APIs Microsoft.HealthcareApis/workspaces Depolama hesaplarına erişimi etkinleştirir.
Azure IoT Central Microsoft.IoTCentral/IoTApps Depolama hesaplarına erişimi etkinleştirir.
Azure Key Vault Yönetilen HSM Microsoft.keyvault/managedHSMs Depolama hesaplarına erişimi etkinleştirir.
Azure Logic Apps Microsoft.Logic/integrationAccounts Mantıksal uygulamaların depolama hesaplarına erişmesini sağlar. Daha fazla bilgi edinin.
Azure Logic Apps Microsoft.Logic/workflows Mantıksal uygulamaların depolama hesaplarına erişmesini sağlar. Daha fazla bilgi edinin.
Azure Machine Learning Studio Microsoft.MachineLearning/registries Yetkili Azure Machine Learning çalışma alanlarının Blob Depolama'ya deneme çıkışı, modeller ve günlükler yazmasına ve verileri okumasına olanak tanır. Daha fazla bilgi edinin.
Azure Machine Learning Microsoft.MachineLearningServices Yetkili Azure Machine Learning çalışma alanlarının Blob Depolama'ya deneme çıkışı, modeller ve günlükler yazmasına ve verileri okumasına olanak tanır. Daha fazla bilgi edinin.
Azure Machine Learning Microsoft.MachineLearningServices/workspaces Yetkili Azure Machine Learning çalışma alanlarının Blob Depolama'ya deneme çıkışı, modeller ve günlükler yazmasına ve verileri okumasına olanak tanır. Daha fazla bilgi edinin.
Azure Media Services Microsoft.Media/mediaservices Depolama hesaplarına erişimi etkinleştirir.
Azure Geçişi Microsoft.Migrate/migrateprojects Depolama hesaplarına erişimi etkinleştirir.
Azure Spatial Anchors Microsoft.MixedReality/remoteRenderingAccounts Depolama hesaplarına erişimi etkinleştirir.
Azure ExpressRoute Microsoft.Network/expressRoutePorts Depolama hesaplarına erişimi etkinleştirir.
Microsoft Power Platform Microsoft.PowerPlatform/enterprisePolicies Depolama hesaplarına erişimi etkinleştirir.
Microsoft Project Arcadia Microsoft.ProjectArcadia/workspaces Depolama hesaplarına erişimi etkinleştirir.
Azure Veri Kataloğu Microsoft.ProjectBabylon/accounts Depolama hesaplarına erişimi etkinleştirir.
Microsoft Purview Microsoft.Purview/accounts Depolama hesaplarına erişimi etkinleştirir.
Azure Site Recovery Microsoft.RecoveryServices/vaults Depolama hesaplarına erişimi etkinleştirir.
Güvenlik Merkezi Microsoft.Security/dataScanners Depolama hesaplarına erişimi etkinleştirir.
Singularity Microsoft.Singularity/accounts Depolama hesaplarına erişimi etkinleştirir.
Azure SQL Veritabanı Microsoft.Sql Güvenlik duvarının arkasındaki depolama hesaplarına denetim verileri yazmaya izin verir.
Azure SQL Sunucuları Microsoft.Sql/servers Güvenlik duvarının arkasındaki depolama hesaplarına denetim verileri yazmaya izin verir.
Azure Synapse Analytics Microsoft.Sql Deyimi veya PolyBase (ayrılmış bir havuzda) openrowset ya da sunucusuz bir havuzdaki işlev ve dış tablolar aracılığıyla COPY belirli SQL veritabanlarından verilerin içeri ve dışarı aktarılmasına izin verir. Daha fazla bilgi edinin.
Azure Stream Analytics Microsoft.StreamAnalytics Akış işinden alınan verilerin Blob Depolama'ya yazılmasına izin verir. Daha fazla bilgi edinin.
Azure Stream Analytics Microsoft.StreamAnalytics/streamingjobs Akış işinden alınan verilerin Blob Depolama'ya yazılmasına izin verir. Daha fazla bilgi edinin.
Azure Synapse Analytics Microsoft.Synapse/workspaces Azure Depolama'daki verilere erişimi etkinleştirir.
Azure Video Indexer Microsoft.VideoIndexer/Accounts Depolama hesaplarına erişimi etkinleştirir.

Hesabınızda hiyerarşik ad alanı özelliği etkinleştirilmediyse, her kaynak örneği için yönetilen kimliğe açıkça bir Azure rolü atayarak izin vekleyebilirsiniz. Bu durumda, örneğin erişim kapsamı yönetilen kimliğe atanan Azure rolüne karşılık gelir.

Hiyerarşik ad alanı özelliğinin etkinleştirildiği bir hesap için aynı tekniği kullanabilirsiniz. Ancak, yönetilen kimliği depolama hesabının içerdiği herhangi bir dizin veya blobun erişim denetimi listesine (ACL) eklerseniz Azure rolü atamanız gerekmez. Bu durumda, örneğin erişim kapsamı yönetilen kimliğin erişime sahip olduğu dizine veya dosyaya karşılık gelir.

Erişim vermek için Azure rollerini ve ACL'leri birlikte de birleştirebilirsiniz. Daha fazla bilgi edinmek için bkz . Azure Data Lake Storage'da erişim denetimi modeli.

Belirli kaynaklara erişim vermek için kaynak örneği kurallarını kullanmanızı öneririz.

Özel durumları yönetme

Depolama analizi gibi bazı durumlarda, ağ sınırının dışından okuma kaynak günlüklerine ve ölçümlere erişim gerekir. Depolama hesabına erişmek için güvenilen hizmetleri yapılandırdığınızda, ağ kuralı özel durumu oluşturarak günlük dosyaları, ölçüm tabloları veya her ikisi için okuma erişimine izin vekleyebilirsiniz. Ağ kuralı özel durumlarını Azure portalı, PowerShell veya Azure CLI v2 aracılığıyla yönetebilirsiniz.

Depolama analiziyle çalışma hakkında daha fazla bilgi edinmek için bkz . Günlükleri ve ölçüm verilerini toplamak için Azure Depolama analizini kullanma.

  1. Güvenli hale getirmek istediğiniz depolama hesabına gidin.

  2. 'ı seçin.

  3. Seçili ağlardan erişime izin verme seçeneğini belirleyin.

  4. Özel Durumlar'ın altında, vermek istediğiniz özel durumları seçin.

  5. Yaptığınız değişiklikleri uygulamak için Kaydet'i seçin.

Sonraki adımlar

Azure ağ hizmeti uç noktaları hakkında daha fazla bilgi edinin. Azure Depolama güvenliğine daha ayrıntılı bir şekilde bakın.