Sdílet prostřednictvím

Šifrování neaktivních uložených dat pomocí klíčů spravovaných zákazníkem

  • Článek

Šifrování neaktivních uložených dat aplikace vaší webové aplikace vyžaduje účet služby Azure Storage a Key Vault Azure. Tyto služby se používají při spouštění aplikace z balíčku nasazení.

  • Azure Storage poskytuje šifrování neaktivních uložených uložených dat. Můžete použít klíče poskytované systémem nebo vlastní klíče spravované zákazníkem. Tady se ukládají data vaší aplikace, když nejsou spuštěná ve webové aplikaci v Azure.
  • Spuštění z balíčku pro nasazení je funkce nasazení App Service. Umožňuje nasadit obsah webu z účtu služby Azure Storage pomocí adresy URL sdíleného přístupového podpisu (SAS).
  • Key Vault odkazy jsou funkcí zabezpečení App Service. Umožňuje importovat tajné kódy za běhu jako nastavení aplikace. Použijte ho k zašifrování adresy URL SAS účtu služby Azure Storage.

Nastavení šifrování neaktivních uložených uložených dat

Vytvoření účtu Azure Storage

Nejprve vytvořte účet Azure Storage a zašifrujte ho pomocí klíčů spravovaných zákazníkem. Po vytvoření účtu úložiště použijte Průzkumník služby Azure Storage k nahrání souborů balíčků.

Dále pomocí Průzkumník služby Storage vygenerujte SAS.

Poznámka

Uložte tuto adresu URL SAS, která se později použije k povolení zabezpečeného přístupu k balíčku nasazení za běhu.

Konfigurace spuštění z balíčku z účtu úložiště

Jakmile soubor nahrajete do úložiště objektů blob a budete mít adresu URL SAS pro soubor, nastavte WEBSITE_RUN_FROM_PACKAGE nastavení aplikace na adresu URL SAS. Následující příklad to provede pomocí Azure CLI:

az webapp config appsettings set --name <app-name> --resource-group <resource-group-name> --settings WEBSITE_RUN_FROM_PACKAGE="<your-SAS-URL>"

Přidání tohoto nastavení aplikace způsobí restartování webové aplikace. Po restartování aplikace přejděte na ni a ujistěte se, že se aplikace správně spustila pomocí balíčku pro nasazení. Pokud se aplikace nespustí správně, projděte si průvodce odstraňováním potíží se spuštěním z balíčku.

Šifrování nastavení aplikace pomocí odkazů na Key Vault

Teď můžete hodnotu WEBSITE_RUN_FROM_PACKAGE nastavení aplikace nahradit Key Vault odkazem na adresu URL kódovanou SAS. Tím se adresa URL SAS zašifruje v Key Vault, což poskytuje další vrstvu zabezpečení.

  1. Pomocí následujícího az keyvault create příkazu vytvořte instanci Key Vault.

    az keyvault create --name "Contoso-Vault" --resource-group <group-name> --location eastus

  2. Postupujte podle těchto pokynů a udělte aplikaci přístup k trezoru klíčů:

  3. Pomocí následujícího az keyvault secret set příkazu přidejte externí adresu URL jako tajný kód do trezoru klíčů:

    az keyvault secret set --vault-name "Contoso-Vault" --name "external-url" --value "<SAS-URL>"

  4. Pomocí následujícího az webapp config appsettings set příkazu vytvořte WEBSITE_RUN_FROM_PACKAGE nastavení aplikace s hodnotou jako Key Vault odkazem na externí adresu URL:

    az webapp config appsettings set --settings WEBSITE_RUN_FROM_PACKAGE="@Microsoft.KeyVault(SecretUri=https://Contoso-Vault.vault.azure.net/secrets/external-url/<secret-version>"

    Bude <secret-version> ve výstupu předchozího az keyvault secret set příkazu.

Aktualizace tohoto nastavení aplikace způsobí restartování webové aplikace. Po restartování aplikace přejděte na ni a ujistěte se, že se správně spustila pomocí Key Vault odkazu.

Jak otočit přístupový token

Osvědčeným postupem je pravidelně obměňovat klíč SAS účtu úložiště. Pokud chcete zajistit, aby webová aplikace neúmyslně nepřišla o přístup, musíte také aktualizovat adresu URL SAS v Key Vault.

  1. Klíč SAS obměňte tak, že přejdete na svůj účet úložiště v Azure Portal. V části Nastavení>Přístupové klávesy vyberte ikonu pro otočení klíče SAS.

  2. Zkopírujte novou adresu URL SAS a pomocí následujícího příkazu nastavte aktualizovanou adresu URL SAS v trezoru klíčů:

    az keyvault secret set --vault-name "Contoso-Vault" --name "external-url" --value "<SAS-URL>"

  3. Aktualizujte odkaz na trezor klíčů v nastavení aplikace na novou verzi tajného kódu:

    az webapp config appsettings set --settings WEBSITE_RUN_FROM_PACKAGE="@Microsoft.KeyVault(SecretUri=https://Contoso-Vault.vault.azure.net/secrets/external-url/<secret-version>"

    Bude <secret-version> ve výstupu předchozího az keyvault secret set příkazu.

Odvolání přístupu k datům webové aplikace

Existují dvě metody odvolání přístupu webové aplikace k účtu úložiště.

Obměna klíče SAS pro účet služby Azure Storage

Pokud je klíč SAS pro účet úložiště obměněný, webová aplikace už nebude mít přístup k účtu úložiště, ale bude dál běžet s poslední staženou verzí souboru balíčku. Restartováním webové aplikace vymažete poslední staženou verzi.

Odebrání přístupu webové aplikace k Key Vault

Přístup webové aplikace k datům webu můžete odvolat zakázáním přístupu webové aplikace k Key Vault. Uděláte to tak, že odeberete zásady přístupu pro identitu webové aplikace. Jedná se o stejnou identitu, kterou jste vytvořili dříve při konfiguraci odkazů na trezor klíčů.

Souhrn

Soubory aplikace jsou teď v neaktivním klidovém stavu zašifrované ve vašem účtu úložiště. Když se webová aplikace spustí, načte z trezoru klíčů adresu URL SAS. Nakonec webová aplikace načte soubory aplikace z účtu úložiště.

Pokud potřebujete odvolat přístup webové aplikace k vašemu účtu úložiště, můžete buď odvolat přístup k trezoru klíčů, nebo obměnit klíče účtu úložiště, což zneplatní adresu URL SAS.

Nejčastější dotazy

Účtují se za spuštění webové aplikace z balíčku pro nasazení nějaké další poplatky?

Pouze náklady spojené s účtem služby Azure Storage a veškeré příslušné poplatky za výchozí přenos dat.

Jaký vliv má spuštění z balíčku pro nasazení na webovou aplikaci?

  • Spuštění aplikace z balíčku pro nasazení je wwwroot/ jen pro čtení. Při pokusu o zápis do tohoto adresáře se vaší aplikaci zobrazí chyba.
  • Formáty TAR a GZIP nejsou podporovány.
  • Tato funkce není kompatibilní s místní mezipamětí.

Další kroky