Blobadatokhoz való névtelen olvasási hozzáférés szervizelése (Azure Resource Manager-környezetek)

Az Azure Blob Storage támogatja a tárolókhoz és blobokhoz való opcionális névtelen olvasási hozzáférést. A névtelen hozzáférés azonban biztonsági kockázatot jelenthet. Javasoljuk, hogy az optimális biztonság érdekében tiltsa le a névtelen hozzáférést. A névtelen hozzáférés letiltása segít megelőzni a nem kívánt névtelen hozzáférés által okozott adatsértéseket.

Alapértelmezés szerint a blobadatokhoz való névtelen hozzáférés mindig tilos. Az Azure Resource Manager-tárfiók alapértelmezett konfigurációja megakadályozza, hogy a felhasználók névtelen hozzáférést konfiguráljanak egy tárfiók tárolóihoz és blobjaihoz. Ez az alapértelmezett konfiguráció nem engedélyezi az Összes névtelen hozzáférést egy Azure Resource Manager-tárfiókhoz, függetlenül az egyes tárolók hozzáférési beállításaitól.

Ha a tárfiók névtelen hozzáférése nem engedélyezett, az Azure Storage elutasítja a blobadatokra vonatkozó névtelen olvasási kéréseket. A felhasználók később nem konfigurálhatnak névtelen hozzáférést az adott fiók tárolóihoz. A névtelen hozzáférésre konfigurált tárolók a továbbiakban nem fogadják el a névtelen kéréseket.

Figyelmeztetés

Ha egy tároló névtelen hozzáférésre van konfigurálva, minden ügyfél beolvassa az adatokat a tárolóban. A névtelen hozzáférés potenciális biztonsági kockázatot jelenthet, ezért ha a forgatókönyv nem igényli, javasoljuk, hogy tiltsa le a tárfiók számára.

Az Azure Resource Manager szervizelése a klasszikus tárfiókokkal szemben

Ez a cikk bemutatja, hogyan használható drag (Detection-Remediation-Audit-Governance) keretrendszer az Azure Resource Manager üzemi modelljét használó tárfiókok névtelen hozzáférésének folyamatos kezelésére. Minden általános célú v2-tárfiók, prémium szintű blokkblobtárfiók, prémium szintű fájlmegosztási fiók és Blob Storage-fiók az Azure Resource Manager üzemi modelljét használja. Egyes régebbi általános célú v1-fiókok és prémium szintű lapblobfiókok a klasszikus üzemi modellt használhatják.

Ha a tárfiókja a klasszikus üzemi modellt használja, javasoljuk, hogy mihamarabb migráljon az Azure Resource Manager-alapú üzemi modellbe. A klasszikus üzemi modellt használó Azure Storage-fiókok 2024. augusztus 31-én megszűnnek. További információ: A klasszikus Azure-tárfiókok 2024. augusztus 31-én megszűnnek.

Ha jelenleg nem tudja migrálni a klasszikus tárfiókokat, akkor most érdemes kijavítani a névtelen hozzáférést ezekhez a fiókokhoz. A klasszikus tárfiókok névtelen hozzáférésének szervizeléséhez tekintse meg a blobadatokhoz (klasszikus üzemelő példányokhoz) való névtelen olvasási hozzáférés szervizelésére vonatkozó cikket. Az Azure üzemi modellekkel kapcsolatos további információkért lásd a Resource Managert és a klasszikus üzembe helyezést.

Tudnivalók a névtelen olvasási hozzáférésről

Az adatokhoz való névtelen hozzáférés alapértelmezés szerint mindig tilos. Két külön beállítás van, amelyek befolyásolják a névtelen hozzáférést:

1. Névtelen hozzáférési beállítás a tárfiókhoz. Egy Azure Resource Manager-tárfiók olyan beállítást kínál, amely engedélyezi vagy letiltja a fiók névtelen hozzáférését. A Microsoft azt javasolja, hogy az optimális biztonság érdekében tiltsa le a névtelen hozzáférést a tárfiókokhoz.

   Ha a fiók szintjén engedélyezve van a névtelen hozzáférés, a blobadatok nem érhetők el névtelen olvasási hozzáféréshez, hacsak a felhasználó nem teszi meg a további lépést a tároló névtelen hozzáférési beállításának explicit konfigurálásához.

2. Konfigurálja a tároló névtelen hozzáférési beállítását. Alapértelmezés szerint a tároló névtelen hozzáférési beállítása le van tiltva, ami azt jelenti, hogy a tárolóra vagy adataira irányuló minden kéréshez engedélyezésre van szükség. A megfelelő engedélyekkel rendelkező felhasználók módosíthatják a tároló névtelen hozzáférési beállítását, hogy csak akkor engedélyezzenek névtelen hozzáférést, ha a tárfiókhoz engedélyezve van a névtelen hozzáférés.

Az alábbi táblázat összefoglalja, hogy a két beállítás együttesen hogyan befolyásolja a tároló névtelen hozzáférését.

	A tároló névtelen hozzáférési szintje privátra van állítva (alapértelmezett beállítás)	A tároló névtelen hozzáférési szintje tárolóra van állítva	A tároló névtelen hozzáférési szintje blobra van állítva
A névtelen hozzáférés nincs engedélyezve a tárfiókhoz	Nincs névtelen hozzáférés a tárfiókban lévő tárolókhoz.	Nincs névtelen hozzáférés a tárfiókban lévő tárolókhoz. A tárfiók beállítása felülírja a tárolóbeállítást.	Nincs névtelen hozzáférés a tárfiókban lévő tárolókhoz. A tárfiók beállítása felülírja a tárolóbeállítást.
Névtelen hozzáférés engedélyezett a tárfiókhoz	Nincs névtelen hozzáférés ehhez a tárolóhoz (alapértelmezett konfiguráció).	A tárolóhoz és annak blobjaihoz névtelen hozzáférés engedélyezett.	A névtelen hozzáférés a tárolóban lévő blobok számára engedélyezett, magát a tárolót azonban nem.

Ha egy tárfiókhoz engedélyezve van a névtelen hozzáférés, és egy adott tárolóhoz van konfigurálva, akkor a szolgáltatás elfogadja az engedélyezési fejléc nélkül átadott blob olvasására vonatkozó kérést, és a blob adatai a válaszban lesznek visszaadva.

Névtelen kérések észlelése ügyfélalkalmazásokból

Ha letiltja egy tárfiók névtelen olvasási hozzáférését, azzal a kockázattal jár, hogy elutasítja a névtelen hozzáférésre konfigurált tárolókra és blobokra vonatkozó kérelmeket. A tárfiók névtelen hozzáférésének letiltása felülírja az adott tárfiók egyes tárolóinak hozzáférési beállításait. Ha a tárfiók névtelen hozzáférése nincs engedélyezve, az adott fiókra irányuló jövőbeli névtelen kérések sikertelenek lesznek.

Annak megértéséhez, hogy a névtelen hozzáférés letiltása milyen hatással lehet az ügyfélalkalmazásokra, javasoljuk, hogy engedélyezze a fiók naplózását és metrikáit, és elemezze a névtelen kérések mintáit bizonyos időközönként. Metrikákkal meghatározhatja a tárfiókhoz érkező névtelen kérések számát, és naplókkal meghatározhatja, hogy mely tárolókhoz férnek hozzá névtelenül.

Névtelen kérések monitorozása a Metrics Explorerrel

A tárfiókra irányuló névtelen kérések nyomon követéséhez használja az Azure Metrics Explorert az Azure Portalon. A Metrics Explorerrel kapcsolatos további információkért lásd : Metrikák elemzése az Azure Monitor Metrics Explorerrel.

Az alábbi lépéseket követve hozzon létre egy metrikát, amely nyomon követi a névtelen kéréseket:

1. Navigate to your storage account in the Azure portal. A Figyelés szakaszban válassza a Metrikák lehetőséget.

2. Select Add metric. A Metrika párbeszédpanelen adja meg a következő értékeket:

   1. Hagyja a Hatókör mezőt a tárfiók nevére állítva.
   2. Állítsa a metrikanévteret Blob értékre. Ez a metrika csak a Blob Storage-ra vonatkozó kérelmeket jelenti.
   3. A Metrika mező beállítása Tranzakciók értékre.
   4. Állítsa az Összesítés mezőt Összeg értékre.

   Az új metrika megjeleníti a Blob Storage-ra vonatkozó tranzakciók számát egy adott időintervallumban. Az eredményként kapott metrika az alábbi képen látható módon jelenik meg:

   

3. Ezután válassza a Add filter gombot, hogy szűrőt hozzon létre a metrikán az anonim kérésekhez.

4. A Szűrő párbeszédpanelen adja meg a következő értékeket:

   1. Állítsa a tulajdonság értékét hitelesítésre.
   2. Állítsa az Operátor mezőt egyenlőségjelre (=).
   3. Az Értékek mezőt Névtelen értékre állíthatja a legördülő listából való kijelöléssel vagy begépeléssel.

5. A jobb felső sarokban válassza ki azt az időintervallumot, amelyre vonatkozóan a mérőszámot meg kívánja tekinteni. Azt is jelezheti, hogy a kérelmek összesítésének mennyire kell részletesnek lennie, ha 1 perctől 1 hónapig bárhol megadhatja az intervallumokat.

A metrika konfigurálása után a névtelen kérések megjelennek a gráfon. Az alábbi képen az elmúlt 30 percben összesített névtelen kérések láthatók.

A riasztási szabályt úgy is konfigurálhatja, hogy értesítést küldjön, ha bizonyos számú névtelen kérés történik a tárfiókon. További információ: Metrikariasztások létrehozása, megtekintése és kezelése az Azure Monitor használatával.

Naplók elemzése névtelen kéréseket fogadó tárolók azonosításához

Az Azure Storage-naplók rögzítik a tárfiókon küldött kérések részleteit, beleértve a kérések engedélyezésének módját is. A naplók elemzésével megállapíthatja, hogy mely tárolók kapnak névtelen kéréseket.

A névtelen kérések kiértékelése érdekében az Azure Storage-fiókba irányuló kérések naplózásához használhatja az Azure Storage-naplózást az Azure Monitorban. További információt az Azure Storage monitorozása című témakörben talál.

Az Azure Storage-naplózás az Azure Monitorban támogatja a napló lekérdezések használatát a naplóadatok elemzéséhez. Naplók lekérdezéséhez használhat egy Azure Log Analytics-munkaterületet. A napló lekérdezéseivel kapcsolatos további információkért tekintse meg a Log Analytics-lekérdezések használatának első lépéseit ismertető oktatóanyagot.

Diagnosztikai beállítás létrehozása az Azure Portalon

Ahhoz, hogy az Azure Storage adatait az Azure Monitor segítségével naplózza, és az Azure Log Analytics segítségével elemezze, először létre kell hoznia egy diagnosztikai beállítást, amely jelzi, hogy milyen típusú kéréseket és mely tárolószolgáltatások adatait kívánja naplózni. Ha diagnosztikai beállítást szeretne létrehozni az Azure portálon, kövesse az alábbi lépéseket:

1. Hozzon létre egy új Log Analytics munkaterületet az Azure Storage fiókot tartalmazó előfizetésben. Miután beállította a naplózást a tárolási fiókhoz, a naplók elérhetővé válnak a Log Analytics munkaterületen. További információért lásd: Naplóelemzési munkaterület létrehozása az Azure portálon.

2. Navigate to your storage account in the Azure portal.

3. A Figyelés szakaszban válassza a Diagnosztikai beállítások lehetőséget.

4. Válassza a Blob lehetőséget a Blob tárolóhoz intézett kérések naplózásához.

5. Select Add diagnostic setting.

6. Adja meg a diagnosztikai beállítás nevét.

7. A Kategória részletei csoportban a naplószakaszban válassza ki, hogy milyen típusú kéréseket szeretne naplózni. Minden névtelen kérés olvasási kérés, ezért az anonim kérések rögzítéséhez válassza a StorageRead lehetőséget.

8. A Célállomás adatai alatt válassza a Küldés a Log Analytics-nek lehetőséget. Válassza ki előfizetését és a korábban létrehozott Log Analytics-munkaterületet az alábbi képen látható módon.

   

A diagnosztikai beállítás létrehozása után a tárolófiókhoz érkező kérelmek a továbbiakban a beállításnak megfelelően kerülnek naplózásra. További információ: Diagnosztikai beállítás létrehozása erőforrásnaplók és metrikák gyűjtéséhez az Azure-ban.

Az Azure Storage-naplókban az Azure Monitorban elérhető mezőkre vonatkozó hivatkozásért tekintse meg az erőforrásnaplókat.

Névtelen kérések lekérdezési naplói

Az Azure Storage-naplók az Azure Monitorban tartalmazzák a tárfiókra irányuló kérésekhez használt engedélyezési típust. A napló lekérdezésben szűrjön az AuthenticationType tulajdonságra a névtelen kérések megtekintéséhez.

A Blob Storage-ra irányuló névtelen kérések legutóbbi hét napjának naplóinak lekéréséhez nyissa meg a Log Analytics-munkaterületet. Ezután illessze be a következő lekérdezést egy új napló lekérdezésbe, és futtassa azt:

StorageBlobLogs
| where TimeGenerated > ago(7d) and AuthenticationType == "Anonymous"
| project TimeGenerated, AccountName, AuthenticationType, Uri

Ezen lekérdezés alapján riasztási szabályt is konfigurálhat, hogy értesítést küldjön a névtelen kérésekről. További információ: Naplóriasztások létrehozása, megtekintése és kezelése az Azure Monitor használatával.

Válaszok névtelen kérelmekre

Ha a Blob Storage névtelen kérést kap, a kérés sikeres lesz, ha az alábbi feltételek teljesülnek:

• A tárfiókhoz névtelen hozzáférés engedélyezett.
• A célzott tároló úgy van konfigurálva, hogy engedélyezze a névtelen hozzáférést.
• A kérés olvasási hozzáférésre szól.

Ha bármelyik feltétel nem teljesül, a kérés sikertelen lesz. A sikertelen válaszkód attól függ, hogy a névtelen kérés a szolgáltatás azon verziójával történt-e, amely támogatja a tulajdonosi kihívást. A tulajdonosi kihívást a 2019-12-12-s és újabb szolgáltatásverziók támogatják:

• Ha a névtelen kérés olyan szolgáltatásverzióval történt, amely támogatja a tulajdonosi kihívást, akkor a szolgáltatás a 401-es hibakódot adja vissza (Jogosulatlan).
• Ha a névtelen kérés olyan szolgáltatásverzióval történt, amely nem támogatja a tulajdonosi kihívást, és a névtelen hozzáférés nincs engedélyezve a tárfiókhoz, akkor a szolgáltatás a 409-es hibakódot (Ütközés) adja vissza.
• Ha a névtelen kérés olyan szolgáltatásverzióval történt, amely nem támogatja a tulajdonosi kihívást, és a tárfiókhoz engedélyezve van a névtelen hozzáférés, akkor a szolgáltatás a 404-es hibakódot adja vissza (nem található).

További információ a tulajdonosi kihívásról: Bearer challenge.

Névtelen hozzáférés szervizelése a tárfiókhoz

Miután kiértékelte a tárfiók tárolóira és blobjaira irányuló névtelen kéréseket, a fiók AllowBlobPublicAccess tulajdonságának False (Hamis) értékre állításával elvégezheti a teljes fiók névtelen hozzáférésének szervizelését.

A tárfiók névtelen hozzáférési beállítása felülírja az adott fiók tárolóinak egyéni beállításait. Ha letiltja a névtelen hozzáférést egy tárfiókhoz, a névtelen hozzáférés engedélyezésére konfigurált tárolók mostantól névtelenül nem lesznek elérhetők. Ha letiltotta a fiók névtelen hozzáférését, az egyes tárolók névtelen hozzáférését sem kell letiltania.

Ha a forgatókönyv megköveteli, hogy bizonyos tárolók névtelen hozzáféréshez legyenek elérhetők, akkor ezeket a tárolókat és blobokat külön tárfiókokba kell áthelyeznie, amelyek névtelen hozzáférésre vannak fenntartva. Ezután letilthatja a névtelen hozzáférést bármely más tárfiókhoz.

A névtelen hozzáférés szervizeléséhez az Azure Storage-erőforrás-szolgáltató 2019-04-01-es vagy újabb verziójára van szükség. További információ: Azure Storage Resource Provider REST API.

A névtelen hozzáférés engedélyezésének letiltására vonatkozó engedélyek

A tárfiók AllowBlobPublicAccess tulajdonságának beállításához a felhasználónak rendelkeznie kell a tárfiókok létrehozásához és kezeléséhez szükséges engedélyekkel. Az ilyen engedélyeket biztosító Azure-szerepköralapú hozzáférés-vezérlési (Azure RBAC-) szerepkörök közé tartozik a Microsoft.Storage/StorageAccounts/write művelet. A művelettel beépített szerepkörök a következők:

• Az Azure Resource Manager tulajdonosi szerepköre
• Az Azure Resource Manager közreműködői szerepköre
• A tárfiók közreműködői szerepköre

A szerepkör-hozzárendeléseket a tárfiók szintjére kell korlátozni, hogy a felhasználó letilthassa a tárfiók névtelen hozzáférését. A szerepkörök hatóköréről további információt az Azure RBAC hatókörének ismertetése című témakörben talál.

Ügyeljen arra, hogy csak azokra a rendszergazdai felhasználókra korlátozza a szerepkörök hozzárendelését, akiknek szükségük van egy tárfiók létrehozására vagy tulajdonságainak frissítésére. Használja a minimális jogosultság elvét annak biztosítására, hogy a felhasználók a legkevesebb engedéllyel rendelkezzenek a feladataik elvégzéséhez. Az Azure RBAC-hozzáférés kezelésével kapcsolatos további információkért tekintse meg az Azure RBAC ajánlott eljárásait.

Ezek a szerepkörök nem biztosítanak hozzáférést a tárfiókban lévő adatokhoz a Microsoft Entra-azonosítón keresztül. Ezek közé tartozik azonban a Microsoft.Storage/StorageAccounts/listkeys/action, amely hozzáférést biztosít a fiók hozzáférési kulcsaihoz. Ezzel az engedéllyel a felhasználó a fiók hozzáférési kulcsaival hozzáférhet a tárfiók összes adatához.

A Microsoft.Storage/storageAccounts/listkeys/action maga biztosít adathozzáférést a fiókkulcsokon keresztül, de nem teszi lehetővé a felhasználó számára a tárfiók AllowBlobPublicAccess tulajdonságának módosítását. Azoknak a felhasználóknak, akiknek a tárfiókban lévő adatokhoz kell hozzáférniük, de nem módosíthatják a tárfiók konfigurációját, érdemes lehet olyan szerepköröket hozzárendelni, mint a Storage Blob Data Contributor, a Storage Blob Data Reader vagy a Reader and Data Access.

Megjegyzés:

A klasszikus előfizetés-rendszergazdai szerepkörök a Service Rendszergazda istrator és a Co-Rendszergazda istrator az Azure Resource Manager tulajdonosi szerepkörével egyenértékűek. A Tulajdonos szerepkör minden műveletet tartalmaz, így az ilyen felügyeleti szerepkörökkel rendelkező felhasználók tárfiókokat is létrehozhatnak, és kezelhetik a fiókkonfigurációt. További információ: Azure-szerepkörök, Microsoft Entra-szerepkörök és klasszikus előfizetés-rendszergazdai szerepkörök.

A tárfiók AllowBlobPublicAccess tulajdonságának beállítása False (Hamis) értékre

A tárfiók névtelen hozzáférésének letiltásához állítsa a fiók AllowBlobPublicAccess tulajdonságát Hamis értékre.

Fontos

A tárfiók névtelen hozzáférésének letiltása felülírja a tárfiók összes tárolójának hozzáférési beállításait. Ha a tárfiók névtelen hozzáférése nincs engedélyezve, az adott fiókra irányuló jövőbeli névtelen kérések sikertelenek lesznek. A beállítás módosítása előtt győződjön meg arról, hogy milyen hatással lehet azokra az ügyfélalkalmazásokra, amelyek névtelenül férnek hozzá a tárfiókban lévő adatokhoz. Ehhez kövesse az ügyfélalkalmazások névtelen kéréseinek észlelése című szakasz lépéseit.

Azure Portal

Ha le szeretné tiltani a névtelen hozzáférést egy tárfiókhoz az Azure Portalon, kövesse az alábbi lépéseket:

1. Navigate to your storage account in the Azure portal.

2. Keresse meg a konfigurációs beállítást a Gépház alatt.

3. Állítsa be a Blob névtelen hozzáférésének engedélyezése letiltva beállítását.

   

PowerShell

Ha le szeretné tiltani egy tárfiók névtelen hozzáférését a PowerShell-lel, telepítse az Azure PowerShell 4.4.0-s vagy újabb verzióját. Ezután konfigurálja az AllowBlobPublicAccess tulajdonságot egy új vagy meglévő tárfiókhoz.

Az alábbi példa létrehoz egy tárfiókot, és explicit módon hamisra állítja az AllowBlobPublicAccess tulajdonságot. Ne felejtse el lecserélni a zárójelek helyőrző értékeit a saját értékeire:

$rgName = "<resource-group>"
$accountName = "<storage-account>"
$location = "<location>"

# Create a storage account with AllowBlobPublicAccess set to false.
New-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -Location $location `
    -SkuName Standard_GRS `
    -AllowBlobPublicAccess $false

# Read the AllowBlobPublicAccess property for the newly created storage account.
(Get-AzStorageAccount -ResourceGroupName $rgName -Name $accountName).AllowBlobPublicAccess

Azure CLI

Ha le szeretné tiltani egy tárfiók névtelen hozzáférését az Azure CLI-vel, telepítse az Azure CLI 2.9.0-s vagy újabb verzióját. További információ: Az Azure CLI telepítése. Ezután konfigurálja az allowBlobPublicAccess tulajdonságot egy új vagy meglévő tárfiókhoz.

Az alábbi példa létrehoz egy tárfiókot, és explicit módon hamisra állítja az allowBlobPublicAccess tulajdonságot. Ne felejtse el lecserélni a zárójelek helyőrző értékeit a saját értékeire:

az storage account create \
    --name <storage-account> \
    --resource-group <resource-group> \
    --kind StorageV2 \
    --location <location> \
    --allow-blob-public-access false

az storage account show \
    --name <storage-account> \
    --resource-group <resource-group> \
    --query allowBlobPublicAccess \
    --output tsv

Sablon

Ha sablonnal szeretné letiltani egy tárfiók névtelen hozzáférését, hozzon létre egy sablont, amelynek AllowBlobPublicAccess tulajdonsága hamis. Az alábbi lépések bemutatják, hogyan hozhat létre sablont az Azure Portalon.

1. Az Azure Portalon válassza az Erőforrás létrehozása lehetőséget.

2. A Keresés a Marketplace-en mezőbe írja be a template deployment kifejezést, majd nyomja le az ENTER billentyűt.

3. Válassza a Sablontelepítés (üzembe helyezés egyéni sablonok használatával) lehetőséget, válassza a Létrehozás lehetőséget, majd válassza a Saját sablon létrehozása lehetőséget a szerkesztőben.

4. A sablonszerkesztőben illessze be a következő JSON-t egy új fiók létrehozásához, és állítsa az AllowBlobPublicAccess tulajdonságot hamisra. Ne felejtse el lecserélni a szögletes zárójelek helyőrzőit a saját értékeire.

   {
       "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {},
       "variables": {
           "storageAccountName": "[concat(uniqueString(subscription().subscriptionId), 'template')]"
       },
       "resources": [
           {
           "name": "[variables('storageAccountName')]",
           "type": "Microsoft.Storage/storageAccounts",
           "apiVersion": "2019-06-01",
           "location": "<location>",
           "properties": {
               "allowBlobPublicAccess": false
           },
           "dependsOn": [],
           "sku": {
             "name": "Standard_GRS"
           },
           "kind": "StorageV2",
           "tags": {}
           }
       ]
   }
   

5. Mentse a sablont.

6. Adja meg az erőforráscsoport paraméterét, majd válassza a Véleményezés + létrehozás gombot a sablon üzembe helyezéséhez, és hozzon létre egy tárfiókot az allowBlobPublicAccess tulajdonság konfigurálásával.

Megjegyzés:

A tárfiókok névtelen hozzáférésének letiltása nem érinti az adott tárfiókban üzemeltetett statikus webhelyeket. A $web tároló mindig nyilvánosan elérhető.

A tárfiók névtelen hozzáférési beállításának frissítése után a módosítás teljes propagálása akár 30 másodpercig is eltarthat.

Mintaszkript tömeges szervizeléshez

Az alábbi PowerShell-példaszkript egy előfizetés összes Azure Resource Manager-tárfiókja ellen fut, és a fiókok AllowBlobPublicAccess beállítását False értékre állítja.

<#
.SYNOPSIS
Finds storage accounts in a subscription where AllowBlobPublicAccess is True or null.

.DESCRIPTION
This script runs against all Azure Resource Manager storage accounts in a subscription
and sets the "AllowBlobPublicAccess" property to False.

Standard operation will enumerate all accounts where the setting is enabled and allow the 
user to decide whether or not to disable the setting.  

Classic storage accounts will require individual adjustment of containers to remove public
access, and will not be affected by this script.

Run with BypassConfirmation=$true if you wish to disallow public access on all Azure Resource Manager 
storage accounts without individual confirmation.

You will need access to the subscription to run the script.

.PARAMETER BypassConformation
Set this to $true to skip confirmation of changes. Not recommended.

.PARAMETER SubscriptionId
The subscription ID of the subscription to check.

.PARAMETER ReadOnly
Set this parameter so that the script makes no changes to any subscriptions and only reports affect accounts.

.PARAMETER NoSignin
Set this parameter so that no sign-in occurs -- you must sign in first. Use this if you're invoking this script repeatedly for multiple subscriptions and want to avoid being prompted to sign-in for each subscription.

.OUTPUTS
This command produces only STDOUT output (not standard PowerShell) with information about affect accounts.
#>
param(
    [boolean]$BypassConfirmation=$false,
    [Parameter(Mandatory=$true, ValueFromPipelineByPropertyName='SubscriptionId')]
    [String] $SubscriptionId,
    [switch] $ReadOnly, # Use this if you don't want to make changes, but want to get information about affected accounts
    [switch] $NoSignin # Use this if you are already signed in and don't want to be prompted again
)

begin {
    if ( ! $NoSignin.IsPresent ) {
        login-azaccount | out-null
    }
}

process {
    try {
        select-azsubscription -subscriptionid $SubscriptionId -erroraction stop | out-null
    } catch {
        write-error "Unable to access select subscription '$SubscriptionId' as the signed in user -- ensure that you have access to this subscription." -erroraction stop
    }

    foreach ($account in Get-AzStorageAccount) 
    {
        if($account.AllowBlobPublicAccess -eq $null -or $account.AllowBlobPublicAccess -eq $true)
        {
            Write-host "Account:" $account.StorageAccountName " isn't disallowing public access."

            if ( ! $ReadOnly.IsPresent ) {
                if(!$BypassConfirmation)
                {
                    $confirmation = Read-Host "Do you wish to disallow public access? [y/n]"
                }
                if($BypassConfirmation -or $confirmation -eq 'y')
                {
                    try
                    {
                        set-AzStorageAccount -Name $account.StorageAccountName -ResourceGroupName $account.ResourceGroupName -AllowBlobPublicAccess $false
                        Write-Host "Success!"
                    }
                    catch
                    {
                        Write-output $_
                    }
                }
            }
        }
        elseif($account.AllowBlobPublicAccess -eq $false)
        {
            Write-Host "Account:" $account.StorageAccountName " has public access disabled, no action required."
        }
        else
        {
            Write-Host "Account:" $account.StorageAccountName ". Error, please manually investigate."
        }
    }
}

end {
    Write-Host "Script complete"
}

Ellenőrizze, hogy a névtelen hozzáférés javításra került-e

Annak ellenőrzéséhez, hogy kijavította-e a tárfiók névtelen hozzáférését, tesztelheti, hogy a blobhoz való névtelen hozzáférés nem engedélyezett-e, hogy a tároló hozzáférési beállításainak módosítása nem engedélyezett-e, és hogy nem hozható-e létre névtelen hozzáféréssel rendelkező tároló.

Ellenőrizze, hogy a blobhoz való névtelen hozzáférés nem engedélyezett-e

Annak ellenőrzéséhez, hogy egy adott blobhoz való névtelen hozzáférés nincs-e engedélyezve, megpróbálhatja letölteni a blobot az URL-címével. Ha a letöltés sikeres, akkor a blob továbbra is nyilvánosan elérhető. Ha a blob nem érhető el nyilvánosan, mert a tárfiókhoz nem engedélyezett a névtelen hozzáférés, akkor hibaüzenet jelenik meg, amely azt jelzi, hogy ezen a tárfiókon nem engedélyezett a névtelen hozzáférés.

Az alábbi példa bemutatja, hogyan próbálhat meg blobokat letölteni a PowerShell használatával az URL-címével. Ne felejtse el lecserélni a zárójelek helyőrző értékeit a saját értékeire:

$url = "<absolute-url-to-blob>"
$downloadTo = "<file-path-for-download>"
Invoke-WebRequest -Uri $url -OutFile $downloadTo -ErrorAction Stop

Ellenőrizze, hogy a tároló hozzáférési beállításainak módosítása nem engedélyezett-e

Ha ellenőrizni szeretné, hogy a tároló hozzáférési beállítása nem módosítható-e a tárfiók névtelen hozzáférésének letiltása után, megpróbálhatja módosítani a beállítást. A tároló hozzáférési beállításainak módosítása meghiúsul, ha a tárfiók névtelen hozzáférése nem engedélyezett.

Az alábbi példa bemutatja, hogyan próbálhatja meg módosítani a tároló hozzáférési beállításait a PowerShell használatával. Ne felejtse el lecserélni a zárójelek helyőrző értékeit a saját értékeire:

$rgName = "<resource-group>"
$accountName = "<storage-account>"
$containerName = "<container-name>"

$storageAccount = Get-AzStorageAccount -ResourceGroupName $rgName -Name $accountName
$ctx = $storageAccount.Context

Set-AzStorageContainerAcl -Context $ctx -Container $containerName -Permission Blob

Ellenőrizze, hogy nem hozható-e létre tároló névtelen hozzáférés engedélyezve

Ha a tárfiókhoz nincs engedélyezve a névtelen hozzáférés, akkor nem hozhat létre olyan új tárolót, amelyen engedélyezve van a névtelen hozzáférés. Az ellenőrzéshez megpróbálhat létrehozni egy tárolót, amelyen engedélyezve van a névtelen hozzáférés.

Az alábbi példa bemutatja, hogyan próbálhat meg névtelen hozzáféréssel rendelkező tárolót létrehozni a PowerShell használatával. Ne felejtse el lecserélni a zárójelek helyőrző értékeit a saját értékeire:

$rgName = "<resource-group>"
$accountName = "<storage-account>"
$containerName = "<container-name>"

$storageAccount = Get-AzStorageAccount -ResourceGroupName $rgName -Name $accountName
$ctx = $storageAccount.Context

New-AzStorageContainer -Name $containerName -Permission Blob -Context $ctx

Több fiók névtelen hozzáférési beállításának ellenőrzése

Ha szeretné ellenőrizni a névtelen hozzáférési beállítást a tárfiókok optimális teljesítményével, használhatja az Azure Resource Graph Explorert az Azure Portalon. A Resource Graph Explorer használatával kapcsolatos további információkért tekintse meg a rövid útmutatót: Az első Resource Graph-lekérdezés futtatása az Azure Resource Graph Explorerrel.

A Resource Graph Explorerben a következő lekérdezés futtatása visszaadja a tárfiókok listáját, és megjeleníti az egyes fiókok névtelen hozzáférési beállításait:

resources
| where type =~ 'Microsoft.Storage/storageAccounts'
| extend allowBlobPublicAccess = parse_json(properties).allowBlobPublicAccess
| project subscriptionId, resourceGroup, name, allowBlobPublicAccess

Az alábbi képen egy előfizetésen belüli lekérdezés eredményei láthatók. Azokban a tárfiókokban, ahol az AllowBlobPublicAccess tulajdonság explicit módon van beállítva, az eredményekben igaz vagy hamis értékként jelenik meg. Ha az AllowBlobPublicAccess tulajdonság nincs beállítva tárfiókhoz, akkor üresként (vagy nullként) jelenik meg a lekérdezés eredményei között.

Megfelelőség naplózása az Azure Policy használatával

Ha nagy számú tárfiókkal rendelkezik, érdemes lehet naplózni, hogy a fiókok konfigurálva legyenek a névtelen hozzáférés megakadályozása érdekében. A megfelelőségi tárfiókok naplózásához használja az Azure Policyt. Az Azure Policy olyan szolgáltatás, amellyel szabályokat alkalmazó szabályzatokat hozhat létre, rendelhet hozzá és kezelhet az Azure-erőforrásokra. Az Azure Policy segít ezeknek az erőforrásoknak a vállalati szabványoknak és szolgáltatásiszint-szerződéseknek való megfelelésében. További információ: Az Azure Policy áttekintése.

Szabályzat létrehozása naplózási effektussal

Az Azure Policy támogatja azokat a effektusokat, amelyek meghatározzák, hogy mi történik, ha egy szabályzatszabályt kiértékelnek egy erőforráson. A naplózási effektus figyelmeztetést hoz létre, ha egy erőforrás nem felel meg a megfelelőségnek, de nem állítja le a kérést. Az effektusokról további információt az Azure Policy-effektusok ismertetése című témakörben talál.

Ha audit effektussal szeretne létrehozni egy szabályzatot egy tárfiók névtelen hozzáférési beállításához az Azure Portalon, kövesse az alábbi lépéseket:

1. Az Azure portálon navigáljon az Azure házirend szolgáltatáshoz.

2. A Létrehozás szakaszban válassza a Definíciók lehetőséget.

3. Új szabályzatdefiníció létrehozásához válassza a Szabályzatdefiníció hozzáadása lehetőséget.

4. A Definíció helye mezőben válassza a Továbbiak gombot a naplózási szabályzat erőforrásának helyének megadásához.

5. Adja meg a házirend nevét. Opcionálisan megadhat egy leírást és kategóriát.

6. A Szabályzatszabály területen adja hozzá a következő szabályzatdefiníciót a policyRule szakaszhoz.

   {
     "if": {
       "allOf": [
         {
           "field": "type",
           "equals": "Microsoft.Storage/storageAccounts"
         },
         {
           "not": {
             "field":"Microsoft.Storage/storageAccounts/allowBlobPublicAccess",
             "equals": "false"
           }
         }
       ]
     },
     "then": {
       "effect": "audit"
     }
   }
   

7. Mentsd meg a szabályzatot.

A házirend hozzárendelése

Ezután rendelje a házirendet egy erőforráshoz. A házirend hatóköre megfelel az adott erőforrásnak és az alatta lévő erőforrásoknak. A szabályzat-hozzárendeléssel kapcsolatos további információkért tekintse meg az Azure Policy hozzárendelési struktúráját.

A házirend Azure portállal történő hozzárendeléséhez kövesse az alábbi lépéseket:

1. Az Azure portálon navigáljon az Azure házirend szolgáltatáshoz.
2. A Létrehozás szakaszban válassza a Hozzárendelések lehetőséget.
3. Új szabályzat-hozzárendelés létrehozásához válassza a Szabályzat hozzárendelése lehetőséget.
4. A Hatókör mezőben válassza ki a szabályzat-hozzárendelés hatókörét.
5. A Szabályzatdefiníció mezőnél válassza az Egyebek gombot, majd válassza ki az előző szakaszban definiált szabályzatot a listából.
6. Adja meg a házirend-hozzárendelés nevét. A leírás nem kötelező.
7. Hagyja engedélyezve a házirend-kényszerítési beállítást. Ez a beállítás nincs hatással az ellenőrzési házirendre.
8. Válassza a Véleményezés + létrehozás lehetőséget a hozzárendelés létrehozásához.

Megfelelőségi jelentés megtekintése

Miután hozzárendelte a szabályzatot, megtekintheti a megfelelőségi jelentést. Az auditszabályzat megfelelőségi jelentése olyan információkat tartalmaz, amelyek alapján a tárfiókok nem felelnek meg a szabályzatnak. További információ: Szabályzatmegfelelési adatok lekérése.

A szabályzat-hozzárendelés létrehozása után eltarthat néhány percig, amíg a megfelelőségi jelentés elérhetővé válik.

A megfelelőségi jelentés azure portalon való megtekintéséhez kövesse az alábbi lépéseket:

1. Az Azure portálon navigáljon az Azure házirend szolgáltatáshoz.

2. Válassza a Megfelelőség lehetőséget.

3. Szűrje az előző lépésben létrehozott szabályzat-hozzárendelés nevének eredményeit. A jelentés azt mutatja be, hogy hány erőforrás nem felel meg a szabályzatnak.

4. További részletekért részletezheti a jelentést, beleértve a nem megfelelő tárfiókok listáját is.

   

Engedélyezett hozzáférés kényszerítése az Azure Policy használatával

Az Azure Policy támogatja a felhőszabályozást azáltal, hogy biztosítja, hogy az Azure-erőforrások megfeleljenek a követelményeknek és szabványoknak. Annak biztosítása érdekében, hogy a szervezet tárfiókjai csak engedélyezett kéréseket engedélyezzenek, létrehozhat egy olyan szabályzatot, amely megakadályozza az új tárfiók létrehozását névtelen hozzáférési beállítással, amely lehetővé teszi a névtelen kéréseket. Ez a szabályzat akkor is megakadályozza a meglévő fiók összes konfigurációs módosítását, ha az adott fiók névtelen hozzáférési beállítása nem felel meg a szabályzatnak.

A kényszerítési szabályzat a Megtagadás effektussal megakadályozza a tárfiókot létrehozó vagy módosító kéréseket a névtelen hozzáférés engedélyezéséhez. Az effektusokról további információt az Azure Policy-effektusok ismertetése című témakörben talál.

Ha olyan névtelen hozzáférési beállításhoz szeretne megtagadási effektussal rendelkező szabályzatot létrehozni, amely lehetővé teszi a névtelen kéréseket, kövesse az Azure Policy használata a megfelelőség naplózásához leírt lépéseket, de adja meg a következő JSON-t a szabályzatdefiníció PolicyRule szakaszában:

{
  "if": {
    "allOf": [
      {
        "field": "type",
        "equals": "Microsoft.Storage/storageAccounts"
      },
      {
        "not": {
          "field":"Microsoft.Storage/storageAccounts/allowBlobPublicAccess",
          "equals": "false"
        }
      }
    ]
  },
  "then": {
    "effect": "deny"
  }
}

Miután létrehozta a házirendet a Megtagadás effektussal, és hozzárendelte egy hatókörhöz, a felhasználó nem hozhat létre névtelen hozzáférést engedélyező tárfiókot. A felhasználók nem módosíthatják a meglévő tárfiókok konfigurációját, amelyek jelenleg névtelen hozzáférést tesznek lehetővé. Ha megkísérli ezt megtenni, az hibát eredményez. A tárfiók névtelen hozzáférési beállításának hamisnak kell lennie a fiók létrehozásának vagy konfigurálásának folytatásához.

Az alábbi képen az a hiba látható, amely akkor fordul elő, ha olyan tárfiókot próbál létrehozni, amely engedélyezi a névtelen hozzáférést, ha egy megtagadási effektussal rendelkező szabályzat megköveteli a névtelen hozzáférés letiltását.

További lépések

• Áttekintés: Blobadatok névtelen olvasási hozzáférésének szervizelése
• Blobadatokhoz való névtelen olvasási hozzáférés szervizelése (klasszikus üzemelő példányok)
• Biztonsági javaslatok a Blob Storage-hoz