Az Azure Storage biztonsági ajánlott eljárásainak alkalmazása
Áttekintettük a közös hozzáférésű jogosultságkódok (SAS) létrehozását és használatát, valamint a tárolási biztonsági megoldás számára nyújtott előnyöket.
Fontos tisztában lenni azzal, hogy ha SAS-t használ az alkalmazásban, lehetséges kockázatok is lehetnek.
Ha egy SAS sérült, azt bárki használhatja, aki beszerezi, beleértve egy rosszindulatú felhasználót is.
Ha egy ügyfélalkalmazáshoz biztosított SAS lejár, és az alkalmazás nem tud új SAS-t lekérni a szolgáltatásból, az alkalmazás működése akadályozható lehet.
Ebből a videóból további ötleteket olvashat a tárterület biztonságossá tételéről. Ez a videó az Azure Tippek és a Trükkök #272 Azure biztonsági ajánlott eljárásain alapul.
Javaslatok kockázatok kezeléséhez
Tekintsünk meg néhány javaslatot, amelyek segíthetnek csökkenteni a kockázatokat az SAS használata során.
Ajánlás | Leírás |
---|---|
A HTTPS használata mindig létrehozáshoz és terjesztéshez | Ha egy SAS-t http-en keresztül ad át, és elfogja, a támadó elfoghatja és használhatja az SAS-t. Ezek a középen belüli támadások veszélyeztethetik a bizalmas adatokat, vagy lehetővé tehetik az adatok rosszindulatú felhasználó általi sérülését. |
Tárolt hozzáférési szabályzatok hivatkozása, ahol lehetséges | A tárolt hozzáférési szabályzatok lehetővé teszik az engedélyek visszavonását anélkül, hogy újra kellene létrehoznia az Azure Storage-fiókkulcsokat. Állítsa be a tárfiók kulcsának lejárati dátumát a jövőben. |
Rövid lejárati idő beállítása nem tervezett SAS-hez | Ha egy SAS biztonsága sérül, az SAS érvényességének rövid időre való korlátozásával mérsékelheti a támadásokat. Ez a gyakorlat akkor fontos, ha nem tud hivatkozni egy tárolt hozzáférési szabályzatra. A rövid lejárati idő a blobba írható adatok mennyiségét is korlátozza a feltöltéshez rendelkezésre álló idő korlátozásával. |
Az ügyfelek automatikus megújításának megkövetelése az SAS-hez | Az ügyfeleknek a lejárati dátum előtt meg kell újítaniuk az SAS-t. A korai megújítással időt adhat az újrapróbálkozáshoz, ha az SAS-t biztosító szolgáltatás nem érhető el. |
Gondosan tervezze meg a SAS kezdési időpontját | Ha egy SAS kezdési idejét most állítja be, akkor az óraeltérés (a különböző gépek szerinti aktuális idő eltérései) miatt az első néhány percben időnként hibák figyelhetők meg. A kezdési időpontot általában legalább 15 percre állítsa be a múltban. Vagy ne állítson be egy adott kezdési időpontot, amely miatt az SAS minden esetben azonnal érvényes lesz. A lejárati időre általában ugyanazok a feltételek vonatkoznak. Bármilyen kérés esetén akár 15 percnyi óraeltérést is megfigyelhet bármelyik irányban. A 2012-02-12-nél korábbi REST API-verziót használó ügyfelek esetében a tárolt hozzáférési szabályzatokra nem hivatkozó SAS maximális időtartama 1 óra. A hosszabb időtartamot meghatározó házirendek sikertelenek lesznek. |
Erőforrások minimális hozzáférési engedélyeinek meghatározása | A biztonsági ajánlott eljárás a minimálisan szükséges jogosultságok biztosítása a felhasználó számára. Ha egy felhasználónak csak egyetlen entitás olvasási hozzáférésére van szüksége, akkor olvasási hozzáférést kell biztosítani az adott entitáshoz, és nem kell olvasási/írási/törlési hozzáférést adni az összes entitáshoz. Ez a gyakorlat abban is segít, hogy csökkentsük a kárt, ha egy SAS sérült, mert az SAS-nek kevesebb hatalma van a támadó kezében. |
A fiókhasználat számlázásának ismertetése, beleértve az SAS-t is | Ha írási hozzáférést biztosít egy blobhoz, a felhasználó dönthet úgy, hogy feltölt egy 200 GB-os blobot. Ha olvasási hozzáférést is adott nekik, dönthetnek úgy, hogy 10-szer töltik le a blobot, ami 2 TB kimenő költséget von maga után. Adjon meg ismét korlátozott engedélyeket a rosszindulatú felhasználók lehetséges műveleteinek csökkentéséhez. A fenyegetés csökkentéséhez használjon rövid élettartamú SAS-t, de ügyeljen az óraeltérésre a befejezési időpontban. |
Sas használatával írt adatok ellenőrzése | Amikor egy ügyfélalkalmazás adatokat ír az Azure Storage-fiókjába, vegye figyelembe, hogy problémák lehetnek az adatokkal. Ha az alkalmazás érvényesített vagy engedélyezett adatokat igényel, ellenőrizze az adatokat az írás után, de a használat előtt. Ez a gyakorlat védelmet nyújt a fiókba írt sérült vagy rosszindulatú adatokkal szemben, akár egy olyan felhasználó, aki megfelelően szerezte be az SAS-t, vagy egy kiszivárgott SAS-t kihasználó felhasználó. |
Ne feltételezzük, hogy az SAS mindig a megfelelő választás | Bizonyos esetekben az Azure Storage-fiókhoz kapcsolódó, egy adott művelettel kapcsolatos kockázatok meghaladják az SAS használatának előnyeit. Ilyen műveletekhez hozzon létre egy középszintű szolgáltatást, amely az üzleti szabályok érvényesítése, hitelesítése és naplózása után ír a tárfiókba. Emellett néha egyszerűbb más módokon is kezelni a hozzáférést. Ha nyilvánosan olvashatóvá szeretné tenni a tároló összes blobját, a tárolót nyilvánossá teheti ahelyett, hogy sast biztosítna minden ügyfélnek a hozzáféréshez. |
Alkalmazások monitorozása az Azure Storage Analytics használatával | A naplózás és a metrikák használatával megfigyelheti a hitelesítési hibák kiugró emelkedését. Előfordulhat, hogy a SAS-szolgáltató szolgáltatás kimaradása vagy egy tárolt hozzáférési szabályzat véletlen eltávolítása kiugróan magas. |