Biztonságos átvitel megkövetelése a biztonságos kapcsolatok biztosításához

A tárfiókot úgy konfigurálhatja, hogy csak a tárfiók biztonságos átvitelhez szükséges tulajdonságának beállításával fogadja el a biztonságos kapcsolatokból érkező kéréseket. Ha biztonságos átvitelre van szüksége, a rendszer elutasítja a nem biztonságos kapcsolatból származó kéréseket. Javasoljuk, hogy minden tárfiókhoz biztonságos átvitelt igényeljön.

Ha biztonságos átvitelre van szükség, egy Azure Storage REST API-művelet meghívását HTTPS-en keresztül kell végrehajtani. A HTTP-en keresztül küldött kérelmeket a rendszer elutasítja. A tárfiók létrehozásakor alapértelmezés szerint engedélyezve van a biztonságos átvitelhez szükséges tulajdonság.

Azure Policy egy beépített szabályzatot biztosít, amely biztosítja, hogy biztonságos átvitelre van szükség a tárfiókokhoz. A további információkért lásd a „Storage” szakaszt az „Azure Policy beépített szabályzatdefiníciók” között.

Az Azure Files mostantól egymástól függetlenül szabályozhatja az SMB- és NFS-titkosítási követelményeket a megfelelő protokollonkénti biztonsági beállítások használatával. Ha a titkosítás átvitel közben kötelező be van kapcsolva, a biztonságos átvitel szükséges tulajdonság csak az Azure fájlmegosztások REST/HTTPS forgalmára vonatkozik. A Azure portállal létrehozott új tárfiókok esetében a Require titkosítás átvitel közben alapértelmezés szerint SMB és NFS esetén is engedélyezve van. A Azure PowerShell, Azure CLI vagy a FileREST API használatával létrehozott tárfiókok kezdetben Nem vannak kiválasztva a visszamenőleges kompatibilitás biztosítása érdekében.

A Azure fájlmegosztáshoz való csatlakozás SMB-en keresztül titkosítás nélkül meghiúsul, ha biztonságos átvitelre van szükség a tárfiókhoz. A nem biztonságos kapcsolatok közé tartoznak például az SMB 2.1-en vagy az SMB 3.x-en keresztül titkosítás nélkül létrehozott kapcsolatok.

Biztonságos átvitel megkövetelése a Azure portálon

Bekapcsolhatja a Secure átvitel szükséges tulajdonságot, amikor tárfiókot hoz létre a Azure portálon. A meglévő tárfiókokhoz is engedélyezheti.

Új tárfiók biztonságos átvitelének megkövetelése

1. Jelentkezzen be a Azure portálra, és nyissa meg a Storage-fiókokat. Válassza a -t, majd hozza létre a-et.

2. A Speciális lap Biztonság területén jelölje be a REST API-műveletek biztonságos átvitelének megkövetelése jelölőnégyzetet.

   

Meglévő tárfiók biztonságos átvitelének megkövetelése

1. Válasszon ki egy meglévő tárfiókot a Azure portálon.
2. A szolgáltatás menü Beállítások területén válassza a Konfiguráció lehetőséget.
3. A Biztonságos átvitel szükséges területen válassza az Engedélyezve lehetőséget.
4. Válassza az Mentésgombot.

A kódból történő biztonságos átvitel megkövetelése

A biztonságos átvitel programozott megköveteléséhez állítsa az enableHttpsTrafficOnly tulajdonságot True értékre a tárfiókon. Ezt a tulajdonságot a storage-erőforrás-szolgáltató REST API-jának, ügyfélkódtárainak vagy eszközeinek használatával állíthatja be:

• REST API
• PowerShell
• CLI
• NodeJS
• .NET SDK
• Python SDK
• Ruby SDK

Biztonságos átvitel megkövetelése a PowerShell-lel

Megjegyzés

Javasoljuk, hogy az Azure Az PowerShell-modult használja a Azure használatához. Első lépésként lásd: Install Azure PowerShell. Az Az PowerShell-modulra való migrálásról az Migrate Azure PowerShell az AzureRM-ből az Az című témakörben olvashat.

Ehhez a mintához az Azure PowerShell Modul Az 0.7-es vagy újabb verziója szükséges. A verzió azonosításához futtassa a következőt: Get-Module -ListAvailable Az. Ha telepítenie vagy frissítenie kell, tekintse meg a Install Azure PowerShell modult.

A Connect-AzAccount futtatásával hozzon létre kapcsolatot Azure.

A beállítás ellenőrzéséhez használja a következő parancssort:

Get-AzStorageAccount -Name "{StorageAccountName}" -ResourceGroupName "{ResourceGroupName}"
StorageAccountName     : {StorageAccountName}
Kind                   : Storage
EnableHttpsTrafficOnly : False
...

A beállítás engedélyezéséhez használja a következő parancssort:

Set-AzStorageAccount -Name "{StorageAccountName}" -ResourceGroupName "{ResourceGroupName}" -EnableHttpsTrafficOnly $True
StorageAccountName     : {StorageAccountName}
Kind                   : Storage
EnableHttpsTrafficOnly : True
...

Az Azure CLI használatával történő biztonságos átvitel megkövetelése

A minta futtatásához telepítse a Azure CLI. Első lépésként futtassa a az login parancsot, hogy kapcsolatot hozzon létre Azure.

A Azure CLI mintái a bash rendszerhéjhoz vannak megírva. Ha ezt a mintát Windows PowerShellben vagy parancssorban szeretné futtatni, előfordulhat, hogy módosítania kell a szkript elemeit.

Ha nincs Azure fiókja, a kezdés előtt hozzon létre egy felszabadító fiókot.

A beállítás ellenőrzéséhez használja az alábbi parancsot:

az storage account show -g {ResourceGroupName} -n {StorageAccountName}
{
  "name": "{StorageAccountName}",
  "enableHttpsTrafficOnly": false,
  "type": "Microsoft.Storage/storageAccounts"
  ...
}

A beállítás engedélyezéséhez használja a következő parancsot:

az storage account update -g {ResourceGroupName} -n {StorageAccountName} --https-only true
{
  "name": "{StorageAccountName}",
  "enableHttpsTrafficOnly": true,
  "type": "Microsoft.Storage/storageAccounts"
  ...
}

Következő lépések

Biztonsági javaslatok a Blob Storage-hoz