Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Archiviazione di Microsoft Azure Explorer consente di usare facilmente i dati Archiviazione di Azure in modo sicuro e sicuro in Windows, macOS e Linux. Seguendo queste linee guida, è possibile assicurarsi che i dati rimangano protetti.
Generali
- Usare sempre la versione più recente di Storage Explorer. Le versioni di Storage Explorer potrebbero contenere aggiornamenti della sicurezza. Rimanere aggiornati consente di garantire la sicurezza generale.
- Connettersi solo alle risorse attendibili. I dati scaricati da origini non attendibili potrebbero essere dannosi e il caricamento di dati in un'origine non attendibile potrebbe comportare la perdita o il furto di dati.
- Usare HTTPS quando possibile. Storage Explorer usa HTTPS per impostazione predefinita. Alcuni scenari consentono di usare HTTP, ma HTTP deve essere usato solo come ultima risorsa.
- Assicurarsi che solo le autorizzazioni necessarie vengano concesse alle persone che ne hanno bisogno. Evitare di essere eccessivamente permissivi quando si concede a chiunque l'accesso alle risorse.
- Prestare attenzione durante l'esecuzione di operazioni critiche. Alcune operazioni, ad esempio l'eliminazione e la sovrascrittura, sono irreversibili e possono causare la perdita di dati. Assicurarsi di usare le risorse corrette prima di eseguire queste operazioni.
Scelta del metodo di autenticazione appropriato
Storage Explorer offre diversi modi per accedere alle risorse Archiviazione di Azure. Qualsiasi metodo scelto, ecco i nostri consigli.
Autenticazione Microsoft Entra
Il modo più semplice e sicuro per accedere alle risorse Archiviazione di Azure consiste nell'accedere con l'account Azure. L'accesso usa l'autenticazione di Microsoft Entra, che consente di:
- Concedere l'accesso a utenti e gruppi specifici.
- Revocare l'accesso a utenti e gruppi specifici in qualsiasi momento.
- Applicare condizioni di accesso, ad esempio richiedere l'autenticazione a più fattori.
È consigliabile usare l'autenticazione di Microsoft Entra quando possibile.
Questa sezione descrive le due tecnologie basate su ID di Microsoft Entra che possono essere usate per proteggere le risorse di archiviazione:
- Controllo degli accessi in base al ruolo di Azure
- Elenchi di controllo di accesso (ACL)
Controllo dell'accesso basato sui ruoli di Azure
Azure RBAC offre un controllo di accesso granulare sulle risorse di Azure. I ruoli e le autorizzazioni di Azure possono essere gestiti dalla portale di Azure.
Puoi ottenere ulteriori informazioni sul controllo degli accessi in base al ruolo di Azure; consulta Controllo degli accessi in base al ruolo di Azure.
Storage Explorer supporta l'accesso controllo degli accessi in base al ruolo di Azure agli account di archiviazione, ai BLOB, alle code e alle tabelle. Se è necessario accedere alle condivisioni file, è necessario assegnare ruoli di Azure che concedono l'autorizzazione per elencare le chiavi dell'account di archiviazione.
Elenchi di controllo di accesso
Gli elenchi di controllo di accesso (ACL) consentono di controllare l'accesso a livello di file e cartelle nei contenitori BLOB ADLS. È possibile gestire gli elenchi di controllo di accesso usando Storage Explorer.
Firme di accesso condiviso (SAS)
Se non è possibile usare l'autenticazione Microsoft Entra, è consigliabile usare firme di accesso condiviso. Con le firme di accesso condiviso, è possibile:
- Fornire l'accesso anonimo limitato alle risorse protette.
- Revocare immediatamente una firma di accesso condiviso se generata da un criterio di accesso condiviso (SAP).
Tuttavia, con le firme di accesso condiviso, non è possibile:
- Limitare gli utenti che possono usare una firma di accesso condiviso. Chiunque abbia un SAS valido può usarlo.
- Revocare una firma di accesso condiviso se non viene generata da un criterio di accesso condiviso (SAP).
Quando si usa la firma di accesso condiviso in Storage Explorer, è consigliabile seguire queste linee guida:
- Limitare la distribuzione dei token di firma di accesso condiviso e degli URI. Distribuisce solo token di firma di accesso condiviso e URI a utenti attendibili. La limitazione della distribuzione della firma di accesso condiviso riduce la probabilità che una firma di accesso condiviso possa essere usata in modo improprio.
- Usare solo token di firma di accesso condiviso e URI dalle entità attendibili.
- Usare i criteri di accesso condiviso (SAP) quando si generano token di firma di accesso condiviso e URI, se possibile. Una firma di accesso condiviso basata su criteri di accesso condiviso è più sicura di una firma di accesso condiviso bare, perché la firma di accesso condiviso può essere revocata eliminando sap.
- Generare token con accesso minimo alle risorse e autorizzazioni. Le autorizzazioni minime limitano i potenziali danni che possono essere eseguiti se una firma di accesso condiviso viene usata in modo improprio.
- Generare token validi solo per il tempo necessario. Una breve durata è particolarmente importante per la firma di accesso condiviso bare, perché non è possibile revocarle una volta generate.
Importante
Quando si condividono token di firma di accesso condiviso e URI a scopo di risoluzione dei problemi, ad esempio nelle richieste di servizio o nei report di bug, redigire sempre almeno la parte della firma di accesso condiviso.
Chiavi dell'account di archiviazione
Le chiavi dell'account di archiviazione concedono l'accesso senza restrizioni ai servizi e alle risorse all'interno di un account di archiviazione. Per questo motivo, è consigliabile limitare l'uso delle chiavi per accedere alle risorse in Storage Explorer. Usare invece le funzionalità di Controllo degli accessi in base al ruolo di Azure o la firma di accesso condiviso per fornire l'accesso.
Alcuni ruoli di Azure concedono l'autorizzazione per recuperare le chiavi dell'account di archiviazione. Gli utenti con questi ruoli possono aggirare in modo efficace le autorizzazioni concesse o negate dal controllo degli accessi in base al ruolo di Azure. È consigliabile non concedere questa autorizzazione a meno che non sia necessario.
Storage Explorer tenta di usare le chiavi dell'account di archiviazione, se disponibili, per autenticare le richieste. È possibile disabilitare questa funzionalità in Impostazioni (Gli account > di archiviazione dei servizi > disabilitano l'utilizzo delle chiavi). Alcune funzionalità non supportano il controllo degli accessi in base al ruolo di Azure, ad esempio l'uso degli account di archiviazione classici. Questa impostazione non influisce sulle funzionalità che richiedono ancora chiavi.
Se è necessario usare le chiavi per accedere alle risorse di archiviazione, è consigliabile seguire queste linee guida:
- Non condividere le chiavi dell'account con nessuno.
- Gestire le chiavi dell'account di archiviazione come le password. Se è necessario rendere accessibili le chiavi, usare soluzioni di archiviazione sicure, ad esempio Azure Key Vault.
Nota
Se si ritiene che una chiave dell'account di archiviazione sia stata condivisa o distribuita involontariamente, è possibile generare nuove chiavi per l'account di archiviazione dal portale di Azure.
Accesso anonimo ai contenitori BLOB
Storage Explorer consente di modificare il livello di accesso dei contenitori Archiviazione BLOB di Azure. I contenitori BLOB non privati consentono a chiunque l'accesso in lettura anonimo ai dati in tali contenitori.
Quando si abilita l'accesso anonimo per un contenitore BLOB, è consigliabile seguire queste linee guida:
- Non abilitare l'accesso anonimo a un contenitore BLOB che può contenere dati potenzialmente sensibili. Assicurarsi che il contenitore BLOB sia libero di tutti i dati privati.
- Non caricare dati potenzialmente sensibili in un contenitore BLOB con accesso blob o contenitore.