Exigir transferência segura para garantir conexões seguras

Você pode configurar sua conta de armazenamento para aceitar solicitações de conexões seguras somente definindo a propriedade Transferência segura obrigatória para a conta de armazenamento. Quando você precisar de uma transferência segura, todas as solicitações provenientes de uma conexão não segura serão rejeitadas. A Microsoft recomenda que você sempre precise de transferência segura para todas as suas contas de armazenamento.

Quando a transferência segura é necessária, uma chamada a uma operação da API REST do Armazenamento do Azure precisa ser feita por HTTPS. Qualquer solicitação feita por HTTP é rejeitada. Por padrão, a propriedade Transferência segura obrigatória está habilitada quando você cria uma conta de armazenamento.

O Azure Policy fornece uma política interna para garantir que a transferência segura seja necessária para suas contas de armazenamento. Para obter mais informações, consulte a seção Armazenamento nas Definições de política interna do Azure Policy.

A conexão com um compartilhamento de arquivo do Azure por SMB sem criptografia falha quando a transferência segura é necessária para a conta de armazenamento. Exemplos de conexões não seguras incluem aquelas feitas por SMB 2.1 ou SMB 3.x sem criptografia.

Observação

Como o armazenamento do Azure não dá suporte a HTTPS para nomes de domínio personalizado, essa opção não será aplicada ao usar um nome de domínio personalizado.

Essa configuração de transferência segura não se aplica ao TCP. As conexões por meio do suporte ao protocolo NFS 3.0 no Armazenamento de Blobs do Azure usando o TCP, que não está protegido, terão êxito.

Exigir transferência segura no portal do Azure

Você pode ativar a propriedade Transferência segura obrigatória quando cria uma conta de armazenamento no portal do Azure. Você também pode habilitá-la para uma conta de armazenamento existente.

Requer transferência segura de uma conta de armazenamento nova

1. Abra o painel Criar conta de armazenamento no portal do Azure.

2. Na página Avançado, marque a caixa de seleção Habilitar transferência segura.

   

Requer transferência segura de uma conta de armazenamento existente

1. Selecionar uma conta de armazenamento existente no portal do Azure.

2. No painel do menu de conta de armazenamento, em Definições, selecione Configuração.

3. Em Transferência segura obrigatória, selecione habilitado.

   

Exigir transferência segura do código

Para exigir a transferência segura de maneira programática, defina a propriedade enableHttpsTrafficOnly como True na conta de armazenamento. Você pode definir essa propriedade usando a API REST do Provedor de Recursos de Armazenamento, bibliotecas de cliente ou ferramentas:

• REST API
• PowerShell
• CLI
• NodeJS
• SDK .NET
• SDK do Python
• SDK do Ruby

Exigir transferência segura com o PowerShell

Observação

Recomendamos que você use o módulo Az PowerShell do Azure para interagir com o Azure. Confira Instalar o Azure PowerShell para começar. Para saber como migrar para o módulo Az PowerShell, confira Migrar o Azure PowerShell do AzureRM para o Az.

O exemplo requer o módulo Az do Azure PowerShell, versão 0.7 ou posterior. Execute Get-Module -ListAvailable Az para encontrar a versão. Se você precisar instalá-lo ou atualizá-lo, confira Instalar o módulo do Azure PowerShell.

Execute Connect-AzAccount para criar uma conexão com o Azure.

Use a linha de comando a seguir para verificar a configuração:

Get-AzStorageAccount -Name "{StorageAccountName}" -ResourceGroupName "{ResourceGroupName}"
StorageAccountName     : {StorageAccountName}
Kind                   : Storage
EnableHttpsTrafficOnly : False
...

Use a linha de comando a seguir para habilitar a configuração:

Set-AzStorageAccount -Name "{StorageAccountName}" -ResourceGroupName "{ResourceGroupName}" -EnableHttpsTrafficOnly $True
StorageAccountName     : {StorageAccountName}
Kind                   : Storage
EnableHttpsTrafficOnly : True
...

Exigir transferência segura com a CLI do Azure

Para executar esta amostra, instale a última versão da CLI do Azure. Para iniciar, execute az login para criar uma conexão com o Azure.

As amostras da CLI do Azure são escritas para o shell bash. Para executar esta amostra no prompt de comando ou no Windows PowerShell, talvez você precise alterar os elementos do script.

Caso você não tenha uma assinatura do Azure, crie uma conta gratuita do Azure antes de começar.

Usar o seguinte comando para verificar a configuração:

az storage account show -g {ResourceGroupName} -n {StorageAccountName}
{
  "name": "{StorageAccountName}",
  "enableHttpsTrafficOnly": false,
  "type": "Microsoft.Storage/storageAccounts"
  ...
}

Usar o seguinte comando para habilitar a configuração:

az storage account update -g {ResourceGroupName} -n {StorageAccountName} --https-only true
{
  "name": "{StorageAccountName}",
  "enableHttpsTrafficOnly": true,
  "type": "Microsoft.Storage/storageAccounts"
  ...
}

Próximas etapas

Recomendações de segurança para o armazenamento de blobs