فرض إصدار الحد الأدنى المطلوب من أمان طبقة النقل (TLS) للطلبات إلى حساب تخزين

يتم تشفير الاتصال بين تطبيق العميل وحساب Azure Storage باستخدام بروتوكول أمان طبقة النقل (TLS). بروتوكول أمان طبقة النقل هو بروتوكول تشفير قياسي يضمن الخصوصية وتكامل البيانات بين العملاء والخدمات عبر الإنترنت. للحصول على مزيدٍ من المعلومات عن TLS، راجع أمان طبقة النقل.

يدعم Azure Storage حاليًّا ثلاثة إصدارات من بروتوكول TLS: 1.0 و 1.1 و 1.2. يستخدم Azure storage TLS 1.2 على نقاط نهاية HTTPs العامة، ولكن TLS 1.0 وTLS 1.1 لا يزالان مدعومين للتوافق مع الإصدارات السابقة.

تلميح

يعتمد Azure Storage على تنفيذ Windows ل SSL الذي لا يستند إلى OpenSSL وبالتالي لا يتعرض للثغرات الأمنية ذات الصلة ب OpenSSL.

تتيح حسابات Azure Storage للعملاء إرسال البيانات واستلامها باستخدام الإصدار الأقدم من TLS و TLS 1.0 وما فوق. لفرض إجراءات أمان أكثر صرامة، يمكنك تكوين حساب التخزين الخاص بك لمطالبة العملاء بإرسال واستقبال البيانات باستخدام إصدار أحدث من TLS. إذا كان حساب التخزين يتطلب إصدارًا أدنى من TLS، فستفشل أي طلبات يتم إجراؤها باستخدام إصدار أقدم.

توضح هذه المقالة كيفية استخدام إطار عمل DRAG (الكشف-الإصلاح-التدقيق-الحوكمة) لإدارة TLS الآمنة لحسابات التخزين الخاصة بك بشكل مستمر.

للحصول على معلومات عن كيفية تحديد إصدار معين من TLS عند إرسال طلب من تطبيق عميل، راجع تكوين أمان طبقة النقل (TLS) لتطبيق عميل.

إشعار

تعتمد مجموعة التشفير المستخدمة عند إرسال العملاء للبيانات وتلقيها من حساب تخزين على إصدار TLS المستخدم. لا يمكن تكوين حساب تخزين لمنع استخدام شفرات معينة، بخلاف طلب الحد الأدنى من إصدار TLS. إذا كنت تحتاج إلى القدرة على السماح فقط بم مجموعات تشفير محددة عند الاتصال بحساب التخزين الخاص بك، ففكر في استخدام Azure Application Gateway. لمزيد من المعلومات حول استخدام Application Gateway لهذا الغرض، راجع تكوين إصدارات نهج TLS ومجموعات التشفير على Azure Application Gateway.

اكتشف إصدار TLS الذي تستخدمه تطبيقات العميل

عند فرض حد أدنى من إصدار TLS لحساب التخزين الخاص بك، فإنك تخاطر برفض الطلبات من العملاء الذين يرسلون البيانات بإصدار أقدم من TLS. لفهم كيفية تأثير تكوين الحد الأدنى من إصدار TLS على تطبيقات العميل، توصي Microsoft بتمكين التسجيل لحساب Azure Storage الخاص بك وتحليل السجلات بعد فترة زمنية لاكتشاف إصدارات تطبيقات عميل TLS التي تستخدمها.

لتسجيل الطلبات إلى حساب Azure Storage وتحديد إصدار TLS المستخدم من قبل العميل، يمكنك استخدام تسجيل Azure Storage في Azure Monitor. للحصول على مزيدٍ من المعلومات، راجع مراقبة تخزين Azure.

يدعم تسجيل Azure Storage في Azure Monitor استخدام استعلامات السجل لتحليل بيانات السجل. للاستعلام عن السجلات، يمكنك استخدام مساحة عمل Azure Log Analytics. لمعرفة المزيد عن استعلامات السجل، راجع البرنامج التعليمي: بدء استخدام استعلامات Log Analytics.

لتسجيل بيانات Azure Storage باستخدام Azure Monitor وتحليلها باستخدام Azure Log Analytics، يجب عليك أولاً إنشاء إعداد تشخيص يشير إلى أنواع الطلبات وخدمات التخزين التي تريد تسجيل البيانات لها. لإنشاء إعداد تشخيص في مدخل Azure، اتبع الخطوات التالية:

1. أنشئ مساحة عمل Log Analytics جديدة في الاشتراك الذي يحتوي على حساب Azure Storage الخاص بك. بعد تكوين تسجيل الدخول لحساب التخزين خاصتك، ستكون السجلات متاحة في مساحة عمل Log Analytics. لمزيد من المعلومات، راجع إنشاء مساحة عمل "Log Analytics" في مدخل ةMicrosoft Azure.

2. انتقل إلى حساب التخزين خاصتك في مدخل Microsoft Azure.

3. في قسم Monitoring، حدد Diagnostic settings.

4. حدد خدمة Azure Storage التي تريد تسجيل الطلبات الخاصة بها. على سبيل المثال، اختر Blob لتسجيل الطلبات إلى تخزين Blob.

5. حدد Add diagnostic setting.

6. أدخل اسمًا لإعداد التشخيص.

7. ضمن تفاصيل الفئة، في قسم السجل، اختر أنواع الطلبات المراد تسجيلها. يمكنك تسجيل طلبات القراءة والكتابة والحذف. على سبيل المثال، سيؤدي اختيار StorageRead وStorageWrite إلى تسجيل طلبات القراءة والكتابة إلى الخدمة المحددة.

8. ضمن تفاصيل الوجهة، حدد إرسال إلى Log Analytics. حدد اشتراكك ومساحة عمل Log Analytics التي أنشأتها مسبقًا، كما هو موضح في الصورة التالية.

   

بعد إنشاء إعداد التشخيص، تُسَجل الطلبات إلى حساب التخزين لاحقًا وفقًا لذلك الإعداد. لمزيد من المعلومات، راجع إنشاء إعداد تشخيصي لجمع سجلات الموارد والمقاييس في Azure.

للحصول على مرجع للحاويات المتوفرة في سجلات تخزين Azure في Azure Monitor، راجع سجلات الموارد.

الاستعلام عن الطلبات المسجلة بإصدار TLS

تتضمن سجلات Azure Storage في Azure Monitor إصدار TLS المستخدم لإرسال طلب إلى حساب التخزين. استخدم خاصية TlsVersion للتحقق من إصدار TLS لطلب مسجل.

لتحديد عدد الطلبات التي تم إجراؤها مقابل تخزين كائن ثنائي كبير الحجم بإصدارات مختلفة من TLS على مدار الأيام السبعة الماضية، افتح مساحة عمل Log Analytics. بعد ذلك، الصق الاستعلام التالي في استعلام سجل جديد وقم بتشغيله. تذكَّر استبدال قيم العناصر النائبة في الأقواس بالقيم الخاصة بك:

StorageBlobLogs
| where TimeGenerated > ago(7d) and AccountName == "<account-name>"
| summarize count() by TlsVersion

تُظهر النتائج عدد الطلبات التي تم إجراؤها مع كل إصدار من TLS:

استعلام عن الطلبات المسجلة عن طريق عنوان IP للمتصل ورأس وكيل المستخدم

تتضمن سجلات Azure Storage في Azure Monitor أيضًا عنوان IP للمتصل ورأس وكيل المستخدم لمساعدتك في تقييم تطبيقات العميل التي وصلت إلى حساب التخزين. يمكنك تحليل هذه القيم لتحديد ما إذا كان يجب تحديث تطبيقات العميل لاستخدام إصدار أحدث من TLS، أو ما إذا كان من المقبول فشل طلب العميل إذا لم يتم إرساله باستخدام الحد الأدنى من إصدار TLS.

لتحديد العملاء الذين قدموا طلبات باستخدام إصدار TLS أقدم من TLS 1.2 خلال الأيام السبعة الماضية، ألصق الاستعلام التالي في استعلام سجل جديد وقم بتشغيله. تذكَّر استبدال قيم العناصر النائبة في الأقواس بالقيم الخاصة بك:

StorageBlobLogs
| where TimeGenerated > ago(7d) and AccountName == "<account-name>" and TlsVersion != "TLS 1.2"
| project TlsVersion, CallerIpAddress, UserAgentHeader

قم بمعالجة مخاطر الأمان باستخدام الحد الأدنى من إصدار TLS

عندما تكون واثقًا من أن حركة المرور من العملاء الذين يستخدمون إصدارات أقدم من TLS ضئيلة، أو أنه من المقبول أن تفشل الطلبات التي يتم إجراؤها باستخدام إصدار أقدم من TLS، فيمكنك حينئذٍ البدء في فرض الحد الأدنى من إصدار TLS على حساب التخزين الخاص بك. إن مطالبة العملاء باستخدام الحد الأدنى من إصدار TLS لتقديم طلبات ضد حساب التخزين هو جزء من إستراتيجية لتقليل مخاطر الأمان على بياناتك.

هام

إذا كنت تستخدم خدمة تتصل ب Azure Storage، فتأكد من أن الخدمة تستخدم الإصدار المناسب من TLS لإرسال الطلبات إلى Azure Storage قبل تعيين الحد الأدنى المطلوب من الإصدار لحساب التخزين.

قم بتكوين الحد الأدنى من إصدار TLS لحساب التخزين

لتكوين الحد الأدنى من إصدار TLS لحساب التخزين، قم بتعيين إصدار MinimumTlsVersion للحساب. هذه الخاصية متاحة لجميع حسابات التخزين التي تم إنشاؤها باستخدام نموذج نشر Azure Resource Manager. للحصول على مزيدٍ من المعلومات عن نموذج نشر Azure Resource Manager، راجع نظرة عامة على حساب التخزين.

تختلف القيمة الافتراضية لخاصية MinimumTlsVersion وفقًا لكيفية تعيينها. عند إنشاء حساب تخزين باستخدام مدخل Azure، يتم تعيين الحد الأدنى لإصدار TLS على 1.2 افتراضيًّا. عند إنشاء حساب تخزين باستخدام PowerShell أو Azure CLI أو قالب Azure Resource Manager، لا يتم تعيين الخاصية MinimumTlsVersion افتراضيًّا ولا تُرجع قيمة حتى تقوم بتعيينها صراحةً.

عندما لا يتم تعيين الخاصية MinimumTlsVersion، قد يتم عرض قيمتها كسلسلة خالية أو فارغة، اعتمادًا على السياق. سيسمح حساب التخزين بإرسال الطلبات باستخدام TLS الإصدار 1.0 أو أعلى إذا لم يتم تعيين الخاصية.

المدخل

عند إنشاء حساب تخزين باستخدام مدخل Azure، يتم تعيين الحد الأدنى لإصدار TLS على 1.2 افتراضيًّا.

لتكوين الحد الأدنى من إصدار TLS لحساب التخزين الحالي مع مدخل Azure، اتبع الخطوات التالية:

1. انتقل إلى حساب التخزين خاصتك في مدخل Microsoft Azure.

2. ضمن الإعدادات، حدد Configuration.

3. ضمن الحد الأدنى لإصدار TLS، استخدم القائمة المنسدلة لتحديد الحد الأدنى من إصدار TLS المطلوب للوصول إلى البيانات في حساب التخزين هذا.

   

بوويرشيل

لتكوين الحد الأدنى من إصدار TLS لحساب التخزين باستخدام PowerShell، قم بتثبيت Azure PowerShell الإصدار 4.4.0 أو إصدار أحدث. بعد ذلك، قم بتكوين خاصية MinimumTLSVersion لحساب تخزين جديد أو موجود. القيم الصالحة لـ MinimumTlsVersion هي TLS1_0 وTLS1_1 وTLS1_2.

يقوم المثال التالي بإنشاء حساب تخزين وتعيين MinimumTLSVersion إلى TLS 1.1، ثم يقوم بتحديث الحساب وتعيين MinimumTLSVersion إلى TLS 1.2. يسترد المثال أيضًا قيمة الخاصية في كل حالة. تذكَّر استبدال قيم العناصر النائبة في الأقواس بالقيم الخاصة بك:

$rgName = "<resource-group>"
$accountName = "<storage-account>"
$location = "<location>"

# Create a storage account with MinimumTlsVersion set to TLS 1.1.
New-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -Location $location `
    -SkuName Standard_GRS `
    -AllowBlobPublicAccess $false `
    -MinimumTlsVersion TLS1_1

# Read the MinimumTlsVersion property.
(Get-AzStorageAccount -ResourceGroupName $rgName -Name $accountName).MinimumTlsVersion

# Update the MinimumTlsVersion version for the storage account to TLS 1.2.
Set-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -MinimumTlsVersion TLS1_2

# Read the MinimumTlsVersion property.
(Get-AzStorageAccount -ResourceGroupName $rgName -Name $accountName).MinimumTlsVersion

Azure CLI

لتكوين الحد الأدنى من إصدار TLS لحساب التخزين باستخدام Azure CLI، قم بتثبيت Azure CLI الإصدار 2.9.0 أو إصدار أحدث. لمزيد من المعلومات، اطلع على تثبيت Azure CLI. بعد ذلك، قم بتكوين خاصية minimumTlsVersion لحساب تخزين جديد أو موجود. القيم الصالحة لـ minimumTlsVersion هي TLS1_0 وTLS1_1 وTLS1_2.

يقوم المثال التالي بإنشاء حساب تخزين وتعيين minimumTLSVersion على TLS 1.1. ثم يقوم بتحديث الحساب وتعيين خاصية minimumTLSVersion على TLS 1.2. يسترد المثال أيضًا قيمة الخاصية في كل حالة. تذكَّر استبدال قيم العناصر النائبة في الأقواس بالقيم الخاصة بك:

az storage account create \
    --name <storage-account> \
    --resource-group <resource-group> \
    --kind StorageV2 \
    --location <location> \
    --allow-blob-public-access false \
    --min-tls-version TLS1_1

az storage account show \
    --name <storage-account> \
    --resource-group <resource-group> \
    --query minimumTlsVersion \
    --output tsv

az storage account update \
    --name <storage-account> \
    --resource-group <resource-group> \
    --min-tls-version TLS1_2

az storage account show \
    --name <storage-account> \
    --resource-group <resource-group> \
    --query minimumTlsVersion \
    --output tsv

القالب

لتكوين الحد الأدنى من إصدار TLS لحساب تخزين مع قالب، قم بإنشاء قالب مع تعيين الخاصية MinimumTLSVersion على TLS1_0 أو TLS1_1 أو TLS1_2. تصف الخطوات التالية كيفية إنشاء قالب في مدخل Azure.

1. في مدخل Azure، اختر إنشاء مورد.

2. في Search the Marketplace، اكتب template deployment، ثم اضغط على ENTER.

3. اختر نشر القالب (نشر باستخدام قوالب مخصصة)، واختر إنشاء، ثم اختر إنشاء قالبك الخاص في المحرر.

4. في محرر النماذج، ألصق JSON التالي لإنشاء حساب جديد وتعيين الحد الأدنى من إصدار TLS إلى TLS 1.2. تذكّر أن تضع قيمك مكان العناصر النائبة الموجودة بين أقواس مربعة.

   {
       "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {},
       "variables": {
           "storageAccountName": "[concat(uniqueString(subscription().subscriptionId), 'tls')]"
       },
       "resources": [
           {
           "name": "[variables('storageAccountName')]",
           "type": "Microsoft.Storage/storageAccounts",
           "apiVersion": "2019-06-01",
           "location": "<location>",
           "properties": {
               "minimumTlsVersion": "TLS1_2"
           },
           "dependsOn": [],
           "sku": {
             "name": "Standard_GRS"
           },
           "kind": "StorageV2",
           "tags": {}
           }
       ]
   }
   

5. حفظ القالب.

6. حدد معلمة مجموعة الموارد، ثم اختر زر مراجعة + إنشاء لنشر القالب وإنشاء حساب تخزين مع تكوين خاصية MinimumTLSVersion.

إشعار

بعد تحديث الحد الأدنى من إصدار TLS لحساب التخزين، قد يستغرق الأمر ما يصل إلى 30 ثانية قبل نشر التغيير بالكامل.

يتطلب تكوين الحد الأدنى من إصدار TLS الإصدار 2019-04-01 أو إصدارًا أحدث من موفر موارد Azure Storage. للحصول على مزيدٍ من المعلومات، راجع Azure Storage Resource Provider REST API.

تحقق من الحد الأدنى المطلوب من إصدار TLS لحسابات متعددة

للتحقق من الحد الأدنى المطلوب من إصدار TLS عبر مجموعة من حسابات التخزين مع الأداء الأمثل، يمكنك استخدام Azure Resource Graph Explorer في مدخل Azure. لمعرفة المزيد حول استخدام Resource Graph Explorer، راجع التشغيل السريع: تشغيل أول استعلام Resource Graph باستخدام Azure Resource Graph Explorer.

يؤدي تشغيل الاستعلام التالي في Resource Graph Explorer إلى إرجاع قائمة بحسابات التخزين ويعرض الحد الأدنى من إصدار TLS لكل حساب:

resources
| where type =~ 'Microsoft.Storage/storageAccounts'
| extend minimumTlsVersion = parse_json(properties).minimumTlsVersion
| project subscriptionId, resourceGroup, name, minimumTlsVersion

اختبر الحد الأدنى من إصدار TLS من العميل

لاختبار أن الحد الأدنى من إصدار TLS المطلوب لحساب التخزين يمنع المكالمات التي يتم إجراؤها باستخدام إصدار أقدم، يمكنك تكوين عميل لاستخدام إصدار أقدم من TLS. لمزيد من المعلومات حول تكوين عميل لاستخدام إصدار محدد من بروتوكول أمان طبقة النقل، راجع تكوين بروتوكول أمان طبقة النقل (TLS) لتطبيق عميل.

عندما يصل العميل إلى حساب التخزين باستخدام إصدار TLS الذي لا يلبي الحد الأدنى من إصدار TLS الذي تم تكوينه للحساب، يُرجع Azure Storage خطأ رمز الخطأ 400 (طلب غير صالح) ورسالة تشير إلى أن إصدار TLS الذي تم استخدامه غير مسموح به لتقديم طلبات لحساب التخزين هذا.

إشعار

عند تكوين الحد الأدنى من إصدار TLS لحساب التخزين، يتم فرض هذا الإصدار الأدنى في طبقة التطبيق. قد تقوم الأدوات التي تحاول تحديد دعم TLS في طبقة البروتوكول بإرجاع إصدارات TLS بالإضافة إلى الحد الأدنى من الإصدار المطلوب عند تشغيلها مباشرةً مقابل نقطة نهاية حساب التخزين.

استخدم سياسة Azure للمراجعة من أجل الامتثال

إذا كان لديك عدد كبير من حسابات التخزين، فقد ترغب في إجراء تدقيق للتأكد من تكوين جميع الحسابات للإصدار الأدنى من TLS الذي تتطلبه مؤسستك. لمراجعة مجموعة من حسابات التخزين للتأكد من توافقها، استخدم سياسة Azure. نهج Azure هي خدمة يمكنك استخدامها لإنشاء وتعيين وإدارة السياسات التي تطبق القواعد على موارد Azure. يساعدك نهج Azure على الحفاظ على توافق تلك الموارد مع معايير الشركة واتفاقيات مستوى الخدمة لديك. لمزيد من المعلومات، يُرجى الرجوع إلى نظرة عامة على Azure Policy.

قم بإنشاء نهج ذي تأثير تدقيق

يدعم نهج Azure التأثيرات التي تحدد ما يحدث عند تقييم قاعدة النهج مقابل المورد. ينشئ تأثير التدقيق تحذيرًا عندما لا يكون المورد في حالة امتثال، ولكنه لا يوقف الطلب. للحصول على مزيدٍ من المعلومات عن التأثيرات، راجع فهم تأثيرات نهج Azure.

لإنشاء نهج بتأثير تدقيق للحد الأدنى لإصدار TLS مع مدخل Azure، اتبع الخطوات التالية:

1. في مدخل Microsoft Azure، انتقل إلى خدمة نهج Azure.

2. ضمن القسم التأليف، حدد التعريفات.

3. حدد إضافة تعريف النهج لإنشاء تعريف نهج جديد.

4. بالنسبة للحقل موقع التعريف، حدد الزر المزيد لتحديد مكان مورد نهج التدقيق.

5. حدد اسمًا للنهج. يمكنك اختياريًّا تحديد الوصف والفئة.

6. ضمن قاعدة السياسة ، أضف تعريف السياسة التالي إلى قسم قاعدة السياسة .

   {
     "policyRule": {
       "if": {
         "allOf": [
           {
             "field": "type",
             "equals": "Microsoft.Storage/storageAccounts"
           },
           {
               "anyOf": [
                 {
                   "field": "Microsoft.Storage/storageAccounts/minimumTlsVersion",
                   "notEquals": "TLS1_2"
                 },
                 {
                   "field": "Microsoft.Storage/storageAccounts/minimumTlsVersion",
                   "exists": "false"
                 }
               ]
           }
         ]
       },
       "then": {
         "effect": "audit"
       }
     }
   }
   

7. احفظ النهج.

تعيين النهج

بعد ذلك، عيِن النهج إلى مورد. ويتوافق نطاق النهج مع ذلك المورد وأي موارد تحته. لمزيد من المعلومات حول تعيين النهج، راجع هيكل تعيين نهج Azure.

لتعيين النهج مع مدخل Microsoft Azure، اتبع الخطوات التالية:

1. في مدخل Microsoft Azure، انتقل إلى خدمة نهج Azure.
2. ضمن القسم التأليف، حدد المهام.
3. حدد تعيين النهج لإنشاء مهمة نهج جديدة.
4. بالنسبة للحقل النطاق، حدد نطاق تعيين النهج.
5. بالنسبة للحقل تعريف النهج، حدد الزر المزيد، ثم حدد النهج الذي حددته في القسم السابق من القائمة.
6. وفِر اسماً لتعيين النهج. يكون الوصف اختياريًّا.
7. اترك تطبيق النهج معينًا إلى تمكين. ليس لهذا الإعداد تأثير على نهج التدقيق.
8. حدد مراجعة + إنشاء لإنشاء المهمة.

عرض تقرير التوافق

بعد أن قمت بتعيين النهج، يمكنك عرض تقرير التوافق. يوفر تقرير الامتثال لنهج التدقيق معلومات عن حسابات التخزين التي لا تمتثل للنهج. لمزيد من المعلومات، راجع الحصول على بيانات توافق النهج.

قد يستغرق الأمر عدة دقائق حتى يصبح تقرير التوافق متاحًا بعد إنشاء مهمة النهج.

لعرض تقرير التوافق في مدخل Microsoft Azure، اتبع هذه الخطوات:

1. في مدخل Microsoft Azure، انتقل إلى خدمة نهج Azure.

2. حدد الامتثال .

3. قم بتصفية النتائج للحصول على اسم مهمة النهج التي أنشأتها في الخطوة السابقة. يوضح التقرير عدد الموارد التي لا تمتثل للنهج.

4. يمكنك البحث في التقرير للحصول على تفاصيل إضافية، بما في ذلك قائمة بحسابات التخزين التي لا تتوافق.

   

استخدم نهج Azure لفرض الحد الأدنى من إصدار TLS

يدعم نهج Azure الحكومة السحابية من خلال ضمان التزام موارد Azure بالمتطلبات والمعايير. لفرض حد أدنى لمتطلبات إصدار TLS لحسابات التخزين في مؤسستك، يمكنك إنشاء نهج يمنع إنشاء حساب تخزين جديد يعيّن الحد الأدنى من متطلبات TLS لإصدار أقدم من TLS عن ذلك الذي يمليه النهج. سيمنع هذا النهج أيضًا جميع تغييرات التكوين على حساب موجود إذا كان الحد الأدنى لإعداد إصدار TLS لهذا الحساب غير متوافق مع النهج.

يستخدم نهج الإنفاذ تأثير الرفض لمنع طلب من شأنه إنشاء حساب تخزين أو تعديله بحيث لا يلتزم الحد الأدنى من إصدار TLS بمعايير مؤسستك. للحصول على مزيدٍ من المعلومات عن التأثيرات، راجع فهم تأثيرات نهج Azure.

لإنشاء نهج بتأثير رفض لإصدار TLS أدنى من TLS 1.2، اتبع نفس الخطوات الموضحة في استخدام نهج Azure للتدقيق من أجل الامتثال، ولكن قم بتوفير JSON التالي في قسم PolicyRule من تعريف النهج:

{
  "policyRule": {
    "if": {
      "allOf": [
        {
          "field": "type",
          "equals": "Microsoft.Storage/storageAccounts"
        },
        {
            "anyOf": [
              {
                "field": "Microsoft.Storage/storageAccounts/minimumTlsVersion",
                "notEquals": "TLS1_2"
              },
              {
                "field": "Microsoft.Storage/storageAccounts/minimumTlsVersion",
                "exists": "false"
              }
            ]
        }
      ]
    },
    "then": {
      "effect": "deny"
    }
  }
}

بعد إنشاء النهج بتأثير الرفض وتعيينه إلى نطاق، لا يمكن للمستخدم إنشاء حساب تخزين بحد أدنى من إصدار TLS أقدم من 1.2. ولا يمكن للمستخدم أيضًا إجراء أي تغييرات في التكوين على حساب تخزين حالي يتطلب حاليًّا حدًّا أدنى من إصدار TLS أقدم من 1.2. تؤدي محاولة القيام بذلك إلى حدوث خطأ. يجب تعيين الحد الأدنى المطلوب لإصدار TLS لحساب التخزين على 1.2 لمتابعة إنشاء الحساب أو تكوينه.

تظهر الصورة التالية الخطأ الذي يحدث إذا حاولت إنشاء حساب تخزين مع تعيين الحد الأدنى لإصدار TLS إلى TLS 1.0 (الافتراضي لحساب جديد) عندما يتطلب نهج مع تأثير رفض تعيين الحد الأدنى لإصدار TLS إلى TLS 1.2.

الأذونات اللازمة لطلب الإصدار الأدنى من بروتوكول أمان طبقة النقل

لتعيين خاصية MinimumTlsVersion لحساب التخزين، يجب أن يكون لدى المستخدم أذونات لإنشاء حسابات التخزين وإدارتها. تتضمن أدوار Azure للتحكم في الوصول القائم على الأدوار (Azure RBAC) التي توفر هذه الأذونات إجراء Microsoft.Storage/storageAccounts/write أو Microsoft.Storage/storageAccounts/*. وتشمل الأدوار المدمجة مع هذا الإجراء ما يلي:

• دور المالك في Azure Resource Manager
• دور المساهم في إدارة الموارد Azure
• دور المساهم في حساب التخزين

لا توفر هذه الأدوار الوصول إلى البيانات في حساب تخزين عبر معرف Microsoft Entra. ومع ذلك، فهي تشمل Microsoft.Storage/storageAccounts/listkeys/action، الذي يتيح الوصول إلى مفاتيح الوصول إلى الحساب. وبهذا الإذن، يمكن للمستخدم استخدام مفاتيح الوصول إلى الحساب للوصول إلى جميع البيانات في حساب التخزين.

يجب تحديد نطاق تعيينات الأدوار على مستوى حساب التخزين أو أعلى للسماح للمستخدم بالمطالبة بحد أدنى من إصدار TLS لحساب التخزين. لمزيد من المعلومات حول نطاق الدور، راجع فهم نطاق التحكم في الوصول استنادًا إلى الدور من Azure.

احرص على تقييد تعيين هذه الأدوار فقط لأولئك الذين يحتاجون إلى القدرة على إنشاء حساب تخزين أو تحديث خصائصه. استخدم مبدأ أقل الامتيازات لضمان حصول المستخدمين على أقل عدد من الأذونات بحيث تقتصر على ما يحتاجون إليه لإنجاز مهامهم. لمزيد من المعلومات حول إدارة الوصول باستخدام التحكم في الوصول استنادًا إلى الدور من Azure، راجع أفضل الممارسات للتحكم في الوصول استنادًا إلى الدور من Azure.

إشعار

تشمل أدوار مسؤول الاشتراك الكلاسيكي مسؤول الخدمة والمسؤول المشارك ما يعادل دور Azure Resource Managerالمالك. يتضمن دور Owner جميع الإجراءات، لذلك يمكن للمستخدم الذي لديه أحد هذه الأدوار الإدارية أيضًا إنشاء حسابات التخزين وإدارتها. لمزيد من المعلومات، راجع أدوار Azure وأدوار Microsoft Entra وأدوار مسؤول الاشتراك الكلاسيكي.

اعتبارات الشبكة

عندما يرسل العميل طلبًا إلى حساب التخزين، ينشئ العميل اتصالًا بنقطة النهاية العامة لحساب التخزين أولًا، قبل معالجة أي طلبات. يتم التحقق من الإصدار الأدنى من بروتوكول أمان طبقة النقل بعد إنشاء الاتصال. إذا كان الطلب يستخدم إصدارًا من بروتوكول أمان طبقة النقل أقدم من الإصدار الذي يعيّنه الإعداد، فوف يظل الاتصال ناجحاً لكن الطلب سيفشل في النهاية. للحصول على مزيدٍ من المعلومات عن نقاط النهاية العامة لتخزين Azure، راجع بناء جملة URI للمورد.

الخطوات التالية

• تكوين بروتوكول أمان طبقة النقل (TLS) لتطبيق عميل
• توصيات الأمان لمخزن البيانات الثنائية كبيرة الحجم