Creación de una aplicación administrada para almacenar resúmenes de blobs

Requisitos previos

• Una cuenta de Azure Storage.
• CLI de Azure (opcional)
• Versión de Python que es compatible con el SDK de Azure para Python (opcional)

Información general

La aplicación administrada Blob Storage Digest Backed de Confidential Ledger se puede usar para garantizar que los blobs de un contenedor de blobs son de confianza y no se han manipulado. La aplicación, una vez conectada a una cuenta de almacenamiento, realiza un seguimiento de todos los blobs que se agregan a todos los contenedores de la cuenta de almacenamiento en tiempo real, además de calcular y almacenar los resúmenes en Azure Confidential Ledger. Las auditorías se pueden realizar en cualquier momento para comprobar la validez de los blobs y para asegurarse de que el contenedor de blobs no esté alterado.

Implementación de la aplicación administrada

La aplicación administrada se puede encontrar en Azure Marketplace aquí: Blob Storage Digests Backed de Confidential Ledger (versión preliminar).

Recursos que se van a crear

Una vez que se rellenan los campos obligatorios y se implementa la aplicación, se crean los siguientes recursos en un grupo de recursos administrado:

• Confidential Ledger
• Cola de Service Bus con Sesiones habilitadas
• Cuenta de almacenamiento (Cuenta de almacenamiento propiedad del publicador que se usa para almacenar la lógica implícita y el historial de auditoría)
• Aplicación de función
• Application Insights

Conexión de una cuenta de almacenamiento a la aplicación administrada

Una vez creada una aplicación administrada, podrá conectar la aplicación administrada a la cuenta de almacenamiento para iniciar el procesamiento y la grabación de resúmenes de contenedor de blobs en Azure Confidential Ledger.

Creación de un tema y una suscripción de eventos para la cuenta de almacenamiento

La aplicación administrada usa una cola de Azure Service Bus para realizar un seguimiento y registrar todos los eventos Creación de blob. Usará la cola creada en el grupo de recursos administrados por la aplicación administrada y la agregará como suscriptor de eventos para cualquier cuenta de almacenamiento para la que cree blobs.

Azure Portal

En Azure Portal, puede ir a la cuenta de almacenamiento para la que desea empezar a crear resúmenes de blobs e ir a la hoja Events. Allí puede crear una suscripción de eventos y conectarla al punto de conexión de cola de Azure Service Bus.

La cola usa sesiones para mantener el orden en varias cuentas de almacenamiento, por lo que también tendrá que navegar a la pestaña Delivery Properties y escribir un identificador de sesión único para esta suscripción de eventos.

CLI

Creación sel tema de eventos:

az eventgrid system-topic create \
--resource-group {resource_group} \
--name {sample_topic_name} \
--location {location} \
--topic-type microsoft.storage.storageaccounts \
--source /subscriptions/{subscription}/resourceGroups/{resource_group}/providers/Microsoft.Storage/storageAccounts/{storage_account_name}

resource-group: grupo de recursos de dónde se debe crear el tema

name: nombre del tema que se va a crear

location: ubicación del tema que se va a crear

source: identificador de recurso de la cuenta de almacenamiento para la que se va a crear el tema

Creación de la suscripción de eventos:

az eventgrid system-topic event-subscription create \
--name {sample_subscription_name} \
--system-topic-name {sample_topic_name} \
--resource-group {resource_group} \
--event-delivery-schema EventGridSchema \
--included-event-types Microsoft.Storage.BlobCreated \
--delivery-attribute-mapping sessionId static {sample_session_id} false \
--endpoint-type servicebusqueue \
--endpoint /subscriptions/{subscription}/resourceGroups/{managed_resource_group}/providers/Microsoft.ServiceBus/namespaces/{service_bus_namespace}/queues/{service_bus_queue}

name: nombre de la suscripción que se va a crear

system-topic-name: nombre del tema para el que se va a crear la suscripción (debe ser el mismo que el tema recién creado)

resource-group: grupo de recursos de dónde se debe crear la suscripción

delivery-attribute-mapping: asignación para el campo sessionId requerido. Escriba un sessionId único

endpoint: identificador de recurso de la cola de Service Bus que se suscribe al tema de la cuenta de almacenamiento

Adición del rol necesario a la cuenta de almacenamiento

La aplicación administrada requiere que el rol de Storage Blob Data Owner para leer y crear hashes para cada blob y este rol debe agregarse para que el resumen se calcule correctamente.

Azure Portal

CLI

az role assignment create \
--role "Storage Blob Data Owner" \
--assignee-object-id {function_oid} \
--assignee-principal-type ServicePrincipal\
--scope /subscriptions/{subscription}/resourceGroups/{resource_group}/providers/Microsoft.Storage/storageAccounts/{storage_account_name}

assignee-object-id: OID de la función de Azure creada con la aplicación administrada. Se puede encontrar en la hoja "Identidad"

scope: identificador de recurso de la cuenta de almacenamiento para la que se va a crear el rol

Nota:

Varias cuentas de almacenamiento se pueden conectar a una sola instancia de aplicación administrada. Actualmente se recomienda un máximo de 10 cuentas de almacenamiento que contengan contenedores de blobs de uso elevado.

Adición de blobs y creación de resúmenes

Una vez que la cuenta de almacenamiento está conectada correctamente a la aplicación administrada, los blobs pueden empezar a agregarse a contenedores dentro de la cuenta de almacenamiento. A los blobs se les realiza un seguimiento en tiempo real y los resúmenes se calculan y almacenan en Azure Confidential Ledger.

Tablas de transacciones y bloques

Se realiza un seguimiento de todos los eventos de creación de blobs en tablas internas almacenadas en la aplicación administrada.

La tabla de transacciones contiene información sobre cada blob y un hash único que se genera mediante una combinación de los metadatos y el contenido del blob.

La tabla de bloques contiene información relacionada con cada resumen que se crea para el contenedor de blobs y el identificador de transacción asociado para el resumen se almacena en Azure Confidential Ledger.

Nota:

Cada evento de creación de blobs no dará lugar a que se cree un resumen. Los resúmenes se crean después de alcanzar un determinado tamaño de bloque. Actualmente, se creará un resumen para cada 4 eventos de creación de blobs.

Visualización del resumen en Azure Confidential Ledger

Para ver los resúmenes que se almacenan directamente en Azure Confidential Ledger, vaya a la hoja Ledger Explorer.

Realización de una auditoría

Si alguna vez desea comprobar la validez de los blobs que se agregan a un contenedor para asegurarse de que no se manipulan, puede ejecutar una auditoría en cualquier momento dado. La auditoría reproduce todos los eventos de creación de blobs y vuelve a calcular los resúmenes con los blobs almacenados en el contenedor durante la auditoría. A continuación, compara los resúmenes recalculados con los resúmenes almacenados en Azure Confidential y proporciona un informe que muestra todas las comparaciones y si el contenedor de blobs está manipulado o no.

Desencadenamiento de una auditoría

Una auditoría se puede desencadenar mediante la inclusión del siguiente mensaje en la cola de Service Bus asociada a la aplicación administrada:

{
    "eventType": "PerformAudit",
    "storageAccount": "<storage_account_name>",
    "blobContainer": "<blob_container_name>"
}

Azure Portal

Asegúrese de incluir un Session ID, ya que la cola tiene habilitadas las sesiones.

SDK de Python

import json
import uuid
from azure.servicebus import ServiceBusClient, ServiceBusMessage

SERVICE_BUS_CONNECTION_STR = "<service_bus_connection_string>"
QUEUE_NAME = "<service_bus_queue_name>"
STORAGE_ACCOUNT_NAME = "<storage_account_name>"
BLOB_CONTAINER_NAME = "<blob_container_name>"
SESSION_ID = str(uuid.uuid4())

servicebus_client = ServiceBusClient.from_connection_string(conn_str=SERVICE_BUS_CONNECTION_STR, logging_enable=True)
sender = servicebus_client.get_queue_sender(queue_name=QUEUE_NAME)

message = {
    "eventType": "PerformAudit",
    "storageAccount": STORAGE_ACCOUNT_NAME,
    "blobContainer": BLOB_CONTAINER_NAME
}

message = ServiceBusMessage(json.dumps(message), session_id=SESSION_ID)
sender.send_messages(message)

Visualización de los resultados de la auditoría

Una vez que una auditoría se realiza correctamente, los resultados de se pueden encontrar en un contenedor denominado <managed-application-name>-audit-records que se encuentra en la cuenta de almacenamiento correspondiente. Los resultados contienen el resumen recalculado, el resumen recuperado de Azure Confidential Ledger y si los blobs se manipulan o no.

Registro y errores

Los registros de errores se pueden encontrar en un contenedor denominado <managed-application-name>-error-logs en la cuenta de almacenamiento correspondiente. Si se produce un error en un evento de creación de blobs o un proceso de auditoría, la causa del error se registra y se almacena en este contenedor. Si tiene alguna pregunta sobre los registros de errores o la funcionalidad de la aplicación, póngase en contacto con el equipo de soporte técnico de Azure Confidential Ledger proporcionado en los detalles de la aplicación administrada.

Limpieza de la aplicación administrada

Puede eliminar la aplicación administrada para limpiar y quitar todos los recursos asociados. Al eliminar la aplicación administrada, se impide que se realice el seguimiento de todas las transacciones de blobs y se detenga la creación de todos los resúmenes. Los informes de auditoría siguen siendo válidos para los blobs que se agregaron antes de la eliminación.

Más recursos

Para obtener más información sobre las aplicaciones administradas y los recursos implementados, consulte los siguientes vínculos:

• Aplicaciones administradas
• Sesiones de cola del servicio de Azure
• Eventos de Azure Storage

Pasos siguientes

• Introducción a Microsoft Azure Confidential Ledger