Applicare le procedure consigliate per la sicurezza di Archiviazione di Azure
È stato esaminato come creare e usare una firma di accesso condiviso (SAS) e i vantaggi che può offrire alla soluzione di sicurezza dell'archiviazione.
È importante comprendere che quando si usa una firma di accesso condiviso nell'applicazione possono verificarsi potenziali rischi.
Se una firma di accesso condiviso è compromessa, può essere usata da chiunque la ottenga, incluso un utente malintenzionato.
Se una firma di accesso condiviso fornita a un'applicazione client scade e l'applicazione non è in grado di recuperarne una nuova dal servizio, è possibile che le funzionalità dell'applicazione potrebbero risentirne.
Guardare questo video per altre idee su come proteggere l'archiviazione. Questo video si basa su Suggerimenti e consigli di Azure #272 Procedure consigliate per la sicurezza di Azure.
Raccomandazioni per la gestione dei rischi
Esaminiamo alcuni consigli che possono aiutare a mitigare i rischi durante l'uso di una firma di accesso condiviso.
| Recommendation | Descrizione |
|---|---|
| Usare sempre HTTPS per la creazione e la distribuzione | Se una firma di accesso condiviso viene passata tramite HTTP e intercettata, un utente malintenzionato può intercettarla e usarla. Questi attacchi man-in-the-middle possono compromettere i dati sensibili o consentire il danneggiamento dei dati da parte di un utente malintenzionato. |
| Fare riferimento ai criteri di accesso archiviati dove possibile | I criteri di accesso archiviati consentono di revocare le autorizzazioni senza necessità di rigenerare le chiavi dell'account di archiviazione di Azure. Impostare una data di scadenza a lungo termine per la chiave dell'account di archiviazione. |
| Impostare i tempi di scadenza a breve termine per una firma di accesso condiviso non pianificato | Se una firma di accesso condiviso viene compromessa, è possibile attenuare gli attacchi limitando la validità della firma di accesso condiviso a breve termine. Questo consiglio è importante se non è possibile fare riferimento a criteri di accesso archiviati. Una scadenza breve consente anche di limitare la quantità di dati che è possibile scrivere in un BLOB riducendo il tempo disponibile per il caricamento. |
| Chiedere ai client di rinnovare automaticamente la firma di accesso condiviso. | Richiedere ai client di rinnovare la firma di accesso condiviso prima della data di scadenza. Il rinnovo anticipato offre tempo per riprovare se il servizio che fornisce la firma di accesso condiviso non è disponibile. |
| Pianificare attentamente l'ora di inizio della firma di accesso condiviso | Se si imposta l'ora di inizio della firma di accesso condiviso su ora, a causa dello sfasamento di orario, ovvero delle differenze dell'ora corrente a seconda del computer in uso, potrebbero verificarsi problemi intermittenti nei primi minuti. In generale, impostare l'ora di inizio ad almeno 15 minuti prima. In alternativa, non impostare un'ora di inizio specifica, che fa sì che la firma di accesso condiviso sia valida immediatamente in tutti i casi. Le stesse condizioni si applicano in genere all'ora di scadenza. È possibile osservare fino a 15 minuti di asimmetria dell'orologio in entrambe le direzioni su qualsiasi richiesta. Per i client che usano una versione dell'API REST precedente al 12 febbraio 2012, la durata massima per una firma di accesso condiviso che non fa riferimento a un criterio di accesso archiviato è di 1 ora. Tutti i criteri che specificano un periodo più lungo avranno esito negativo. |
| Definire le autorizzazioni di accesso minime per le risorse | Una procedura di sicurezza consigliata consiste nel fornire a un utente i privilegi minimi necessari. Se un utente necessita solo dell'accesso in lettura a una singola entità, concedere solo tale tipo di accesso per tale entità e non l'accesso in lettura/scrittura/eliminazione per tutte le entità. Questa procedura consente anche di ridurre i danni se una firma di accesso condiviso viene compromessa in quanto la firma è meno potente nelle mani di un utente malintenzionato. |
| Informazioni sulla fatturazione dell'account per l'utilizzo, inclusa una firma di accesso condiviso | Se si concede l'accesso in scrittura per un BLOB, un utente potrebbe scegliere di caricare un BLOB da 200 GB. Se si offre anche l'accesso in lettura, l'utente potrebbe scegliere di scaricare il blob 10 volte e ciò potrebbe comportare 2 TB di costi in uscita. Anche in questo caso, fornire autorizzazioni limitate per ridurre l'impatto potenziale delle azioni di utenti malintenzionati. Per ridurre questa minaccia, usare firme di accesso condiviso di breve durata, prestando però attenzione allo sfasamento di orario per la scadenza. |
| Convalidare i dati scritti tramite la firma di accesso condiviso | Quando un'applicazione client scrive i dati nell'account di archiviazione di Azure, tenere presente che tali dati potrebbero causare problemi. Se l'applicazione richiede dati convalidati o autorizzati, convalidare i dati dopo la scrittura, ma prima di usarli. Questa procedura consente inoltre di evitare la scrittura di dati danneggiati o dannosi nell'account da parte da un utente che ha acquisito correttamente la firma di accesso condiviso o di un utente che sfrutta una firma diffusa per errore. |
| Non presupporre che la firma di accesso condiviso sia sempre la scelta corretta | In alcuni scenari, i rischi associati a una particolare operazione rispetto all'account di archiviazione di Azure superano i benefici derivanti dall'uso di una firma di accesso condiviso. Per tali operazioni creare un servizio di livello intermedio che effettui operazioni di scrittura nell'account di archiviazione dopo autenticazione, controllo e convalida di regole di business. Talvolta è inoltre più semplice gestire l'accesso in modi diversi. Se si vogliono rendere pubblicamente leggibili tutti i BLOB di un contenitore, è possibile rendere pubblico il contenitore anziché fornire una firma di accesso condiviso a ogni client per l'accesso. |
| Monitorare le applicazioni con Analisi archiviazione di Azure | È possibile usare la registrazione e le metriche per osservare eventuali picchi di errori di autenticazione. Potrebbero verificarsi picchi da un'interruzione nel servizio del provider di firma di accesso condiviso o alla rimozione accidentale di un criterio di accesso archiviato. |