Vytvoření spravované aplikace pro ukládání přehledů objektů blob

Požadavky

• Účet Azure Storage
• Azure CLI (volitelné)
• Verze Pythonu podporovaná sadou Azure SDK pro Python (volitelné)

Přehled

K zajištění důvěryhodnosti objektů blob v kontejneru objektů blob je možné použít spravovanou aplikaci důvěrného registru , která zaručuje, že objekty blob v kontejneru objektů blob jsou důvěryhodné a nebudou manipulovány. Aplikace, jakmile je připojená k účtu úložiště, sleduje všechny objekty blob přidané do každého kontejneru v účtu úložiště v reálném čase kromě výpočtu a ukládání hodnot hash do důvěrného registru Azure. Audity je možné provést kdykoli, abyste zkontrolovali platnost objektů blob a zajistili, že kontejner objektů blob není manipulován.

Nasazení spravované aplikace

Spravovaná aplikace najdete na Webu Azure Marketplace tady: Přehledy služby Blob Storage zálohované důvěrným registrem (Preview)

Prostředky, které se mají vytvořit

Po vyplnění požadovaných polí a nasazení aplikace se v rámci spravované skupiny prostředků vytvoří následující prostředky:

• Důvěrné hlavní knihy
• Fronta služby Service Bus s povolenými relacemi
• Účet úložiště (účet úložiště vlastněný vydavatelem používaný k ukládání logiky digestu a historie auditu)
• Function App
• Application Insights

Připojení účtu úložiště do spravované aplikace

Po vytvoření spravované aplikace budete moct spravovanou aplikaci připojit ke svému účtu úložiště, abyste mohli začít zpracovávat a zaznamenávat hodnoty hash kontejnerů objektů blob do důvěrného registru Azure.

Vytvoření tématu a odběru událostí pro účet úložiště

Spravovaná aplikace používá frontu služby Azure Service Bus ke sledování a zaznamenávání všech událostí vytvoření objektu blob . Frontu vytvořenou ve spravované skupině prostředků použijete spravovanou aplikací a přidáte ji jako odběratel události pro libovolný účet úložiště, pro který vytváříte objekty blob.

Azure Portal

Na webu Azure Portal můžete přejít na účet úložiště, pro který chcete začít vytvářet přehledy objektů blob, a přejít do okna Events . Tam můžete vytvořit odběr událostí a připojit ho ke koncovému bodu fronty služby Azure Service Bus.

Fronta používá relace k udržování pořadí napříč několika účty úložiště, takže budete také muset přejít na Delivery Properties kartu a zadat jedinečné ID relace pro toto odběr událostí.

Rozhraní příkazového řádku

Vytvoření tématu události:

az eventgrid system-topic create \
--resource-group {resource_group} \
--name {sample_topic_name} \
--location {location} \
--topic-type microsoft.storage.storageaccounts \
--source /subscriptions/{subscription}/resourceGroups/{resource_group}/providers/Microsoft.Storage/storageAccounts/{storage_account_name}

resource-group – Skupina prostředků, ve které by se mělo téma vytvořit

name - Název tématu, které se má vytvořit

location - Umístění tématu, které se má vytvořit

source – ID prostředku účtu úložiště pro vytvoření tématu pro

Vytvoření odběru událostí:

az eventgrid system-topic event-subscription create \
--name {sample_subscription_name} \
--system-topic-name {sample_topic_name} \
--resource-group {resource_group} \
--event-delivery-schema EventGridSchema \
--included-event-types Microsoft.Storage.BlobCreated \
--delivery-attribute-mapping sessionId static {sample_session_id} false \
--endpoint-type servicebusqueue \
--endpoint /subscriptions/{subscription}/resourceGroups/{managed_resource_group}/providers/Microsoft.ServiceBus/namespaces/{service_bus_namespace}/queues/{service_bus_queue}

name - Název předplatného, které se má vytvořit

system-topic-name - Název tématu, pro které se vytváří předplatné (mělo by se shodovat s nově vytvořeným tématem)

resource-group – Skupina prostředků, ve které se má vytvořit předplatné

delivery-attribute-mapping – Mapování požadovaného pole sessionId. Zadejte jedinečné ID relace.

endpoint – ID prostředku fronty služby Service Bus, která se přihlašuje k odběru tématu účtu úložiště

Přidání požadované role do účtu úložiště

Spravovaná aplikace vyžaduje, Storage Blob Data Owner aby role četla a vytvářela hodnoty hash pro každý objekt blob a tato role se musí přidat, aby se hodnota hash správně vypočítala.

Azure Portal

Rozhraní příkazového řádku

az role assignment create \
--role "Storage Blob Data Owner" \
--assignee-object-id {function_oid} \
--assignee-principal-type ServicePrincipal\
--scope /subscriptions/{subscription}/resourceGroups/{resource_group}/providers/Microsoft.Storage/storageAccounts/{storage_account_name}

assignee-object-id – IDENTIFIKÁTOR funkce Azure Functions vytvořené pomocí spravované aplikace. Najdete ho v okně Identita.

scope – ID prostředku účtu úložiště pro vytvoření role pro

Poznámka:

K jedné instanci spravované aplikace je možné připojit více účtů úložiště. V současné době doporučujeme maximálně 10 účtů úložiště, které obsahují kontejnery objektů blob s vysokým využitím.

Přidání objektů blob a vytvoření digestu

Jakmile je účet úložiště správně připojený ke spravované aplikaci, můžou se objekty blob začít přidávat do kontejnerů v rámci účtu úložiště. Objekty blob se sledují v reálném čase a hodnoty hash se počítají a ukládají v azure Confidential Ledger.

Transakční a blokové tabulky

Všechny události vytváření objektů blob se sledují v interních tabulkách uložených ve spravované aplikaci.

Tabulka transakcí obsahuje informace o jednotlivých objektech blob a jedinečnou hodnotu hash, která se generuje pomocí kombinace metadat objektu blob nebo obsahu.

Tabulka bloků obsahuje informace související s každou hodnotou hash, která se vytvoří pro kontejner objektů blob a přidružené ID transakce pro hodnotu digest se uloží v Azure Confidential Ledger.

Nastavení hodnoty hash

Při vytváření spravované aplikace je možné vybrat několik nastavení hodnot hash. Můžete zvolit použité Hashing Algorithm k vytvoření digests bez ohledu na to, zda se MD5 jedná o SHA256. Můžete také zvolit počet objektů blob, které jsou obsaženy v každé hodnotě digest nebo v objektu Digest Size. Velikost hodnot hash se pohybuje od 1-16 a je počet objektů blob, které budou hashovány společně v rámci každého bloku. Nakonec můžete vybrat Hash Contents hodnotu hash a hodnotu hash při vytváření jednotlivých hodnot hash. Může to být File Contents + Metadata každý objekt blob nebo jen File Contentsobjekt .

Zobrazení přehledu hash v důvěrném registru Azure

Přehledy, které se ukládají přímo v Registru důvěrných informací Azure, můžete zobrazit tak, že přejdete do Ledger Explorer okna.

Provedení auditu

Pokud byste někdy chtěli zkontrolovat platnost objektů blob, které jsou přidány do kontejneru, abyste měli jistotu, že nejsou manipulovány s objekty blob, můžete audit spustit v jakémkoli okamžiku. Audit přehraje každou událost vytvoření objektu blob a přepočítá digesty s objekty blob, které jsou uložené v kontejneru během auditu. Potom porovná přepočíané hodnoty hash s hodnotou hash uloženou v důvěrném stavu Azure a poskytne sestavu zobrazující všechna porovnání digest a to, jestli je kontejner objektů blob manipulován nebo ne.

Aktivace auditu

Audit je možné aktivovat zahrnutím následující zprávy do fronty služby Service Bus přidružené k vaší spravované aplikaci:

{
    "eventType": "PerformAudit",
    "storageAccount": "<storage_account_name>",
    "blobContainer": "<blob_container_name>"
}

Azure Portal

Nezapomeňte zahrnout relaci s povolenými Session ID relacemi fronty.

Python SDK

import json
import uuid
from azure.servicebus import ServiceBusClient, ServiceBusMessage

SERVICE_BUS_CONNECTION_STR = "<service_bus_connection_string>"
QUEUE_NAME = "<service_bus_queue_name>"
STORAGE_ACCOUNT_NAME = "<storage_account_name>"
BLOB_CONTAINER_NAME = "<blob_container_name>"
SESSION_ID = str(uuid.uuid4())

servicebus_client = ServiceBusClient.from_connection_string(conn_str=SERVICE_BUS_CONNECTION_STR, logging_enable=True)
sender = servicebus_client.get_queue_sender(queue_name=QUEUE_NAME)

message = {
    "eventType": "PerformAudit",
    "storageAccount": STORAGE_ACCOUNT_NAME,
    "blobContainer": BLOB_CONTAINER_NAME
}

message = ServiceBusMessage(json.dumps(message), session_id=SESSION_ID)
sender.send_messages(message)

Zobrazení výsledků auditu

Po úspěšném provedení auditu najdete výsledky auditu v kontejneru s názvem <managed-application-name>-audit-records v příslušném účtu úložiště. Výsledky obsahují přepočítanou hodnotu hash, hodnotu hash načtenou z důvěrného registru Azure a informace o tom, jestli se objekty blob manipulují nebo ne.

Pokud se při vytváření spravované aplikace přihlásíte k e-mailovým upozorněním, dostanete e-mail odeslaný do e-mailu v Audit FailureAudit Success and Failure závislosti na tom, jaká možnost je vybraná.

Protokolování a chyby

Protokoly chyb najdete v kontejneru s názvem <managed-application-name>-error-logs v příslušném účtu úložiště. Pokud dojde k selhání události vytvoření objektu blob nebo procesu auditu, zaznamená se příčina selhání a uloží se v tomto kontejneru. Pokud máte nějaké dotazy týkající se protokolů chyb nebo funkcí aplikace, obraťte se na tým podpory Azure Confidential Ledger uvedený v podrobnostech o spravované aplikaci.

Vyčištění spravované aplikace

Spravovanou aplikaci můžete odstranit a vyčistit a odebrat všechny přidružené prostředky. Odstraněním spravované aplikace se zastaví sledování všech transakcí objektů blob a zastavení vytváření všech digestů. Sestavy auditu zůstávají platné pro objekty blob přidané před odstraněním.

Další materiály

Další informace o spravovaných aplikacích a nasazených prostředcích najdete na následujících odkazech:

• Spravované aplikace
• Relace fronty služeb Azure
• Události služby Azure Storage

Další kroky

• Přehled důvěrného registru Microsoft Azure