Azure Depolama güvenlik en iyi yöntemlerini uygulama
Paylaşılan erişim imzası (SAS) oluşturma ve bunlarla çalışma ve depolama güvenliği çözümünüz için sağlayabilecek avantajları gözden geçirdik.
Uygulamanızda SAS kullandığınızda olası riskler olabileceğini anlamanız önemlidir.
SAS'nin güvenliği aşılırsa, kötü amaçlı bir kullanıcı da dahil olmak üzere bunu alan herkes tarafından kullanılabilir.
bir istemci uygulamasına sağlanan SAS'nin süresi dolarsa ve uygulama hizmetinizden yeni bir SAS alamıyorsa, uygulama işlevselliği engellenebilir.
Depolama alanınızın güvenliğini sağlama hakkında daha fazla fikir edinmek için bu videoyu izleyin. Bu video, Azure İpuçları ve Püf Noktaları #272 Azure Güvenliği en iyi yöntemlerini temel alır.
Riskleri yönetmek için Öneriler
Sas ile çalışırken riskleri azaltmaya yardımcı olabilecek bazı önerilere göz atalım.
| Öneri | Açıklama |
|---|---|
| Oluşturma ve dağıtım için her zaman HTTPS kullanın | BIR SAS HTTP üzerinden geçirilir ve ele geçirilirse, bir saldırgan SAS'yi kesebilir ve kullanabilir. Bu ortadaki adam saldırıları hassas verilerin güvenliğini tehlikeye atabilir veya kötü amaçlı kullanıcının veri bozulmasına izin verebilir. |
| Mümkün olduğunda depolanan erişim ilkelerine başvurma | Depolanan erişim ilkeleri, Azure depolama hesabı anahtarlarını yeniden oluşturmak zorunda kalmadan izinleri iptal etme seçeneği sunar. Depolama hesabı anahtarının sona erme tarihini ileriki bir tarihte ayarlayın. |
| Planlanmamış sas için yakın vadeli süre sonu ayarlama | SAS'nin güvenliği aşılırsa SAS geçerliliğini kısa bir süreyle sınırlayarak saldırıları azaltabilirsiniz. Depolanan erişim ilkesine başvuramıyorsanız bu uygulama önemlidir. Yakın vadeli süre sonu süreleri, bloba yüklenebilecek süreyi sınırlayarak bloba yazılabilecek veri miktarını da sınırlar. |
| İstemcilerin SAS'yi otomatik olarak yenilemesini gerektir | İstemcilerinizin SAS'yi son kullanma tarihinden önce yenilemesini isteyin. Erken yenileyerek, SAS sağlayan hizmet kullanılamıyorsa yeniden denemeler için zaman verirsiniz. |
| SAS başlangıç zamanı için dikkatlice planlayın | SAS'nin başlangıç zamanını şimdi olarak ayarlarsanız, saat dengesizliği (farklı makinelere göre geçerli saat farklılıkları) nedeniyle ilk birkaç dakika boyunca aralıklı olarak hatalar gözlemlenebilir. Genel olarak, başlangıç zamanını geçmişte en az 15 dakika olarak ayarlayın. İsterseniz, SAS'nin her durumda hemen geçerli olmasına neden olan belirli bir başlangıç zamanı ayarlamayın. Aynı koşullar genellikle süre sonu süresi için de geçerlidir. Herhangi bir istekte her iki yönde de 15 dakikaya kadar saat dengesizliği gözlemleyebilirsiniz. 2012-02-12'den önceki bir REST API sürümünü kullanan istemciler için, depolanan erişim ilkesine başvurmayan bir SAS için en fazla süre 1 saattir. Daha uzun bir terim belirten ilkeler başarısız olur. |
| Kaynaklar için en düşük erişim izinlerini tanımlama | En iyi güvenlik uygulaması, kullanıcıya gerekli en düşük ayrıcalıkları sağlamaktır. Bir kullanıcının tek bir varlığa yalnızca okuma erişimine ihtiyacı varsa, o kullanıcıya bu tek varlığa okuma erişimi verin ve tüm varlıklara okuma/yazma/silme erişimi vermeyin. Bu uygulama, SAS'nin saldırganın elinde daha az güç olduğundan SAS tehlikeye atılırsa zararın daha az olmasına da yardımcı olur. |
| SAS dahil olmak üzere kullanım için hesap faturalamasını anlama | Bir bloba yazma erişimi sağlarsanız, kullanıcı 200 GB blob yüklemeyi seçebilir. Bu kişilere okuma erişimi de verdiyseniz blobu 10 kez indirmeyi tercih edebilir ve bu da sizin için çıkış maliyetlerinde 2 TB'a neden olur. Yine, kötü amaçlı kullanıcıların olası eylemlerini azaltmaya yardımcı olmak için sınırlı izinler sağlayın. Bu tehdidi azaltmak için kısa süreli bir SAS kullanın, ancak bitiş zamanında saat dengesizliği konusunda dikkatli olun. |
| SAS kullanarak yazılan verileri doğrulama | bir istemci uygulaması Azure depolama hesabınıza veri yazdığında verilerle ilgili sorunlar olabileceğini unutmayın. Uygulamanız doğrulanmış veya yetkili veriler gerektiriyorsa, yazıldıktan sonra ancak kullanılmadan önce verileri doğrulayın. Bu uygulama ayrıca, SAS'yi düzgün bir şekilde edinen bir kullanıcı veya sızdırılan sas'tan yararlanan bir kullanıcı tarafından hesabınıza yazılan bozuk veya kötü amaçlı verilere karşı da koruma sağlar. |
| SAS'nin her zaman doğru seçim olduğunu varsaymayın | Bazı senaryolarda, Azure depolama hesabınıza yönelik belirli bir işlemle ilişkili riskler SAS kullanmanın avantajlarından daha fazladır. Bu tür işlemler için iş kuralı doğrulaması, kimlik doğrulaması ve denetim gerçekleştirdikten sonra depolama hesabınıza yazan bir orta katman hizmeti oluşturun. Ayrıca, bazen erişimi başka şekillerde yönetmek de daha kolaydır. Bir kapsayıcıdaki tüm blobları genel olarak okunabilir hale getirmek istiyorsanız, erişim için her istemciye sas sağlamak yerine kapsayıcıyı Genel yapabilirsiniz. |
| Azure Depolama Analytics ile uygulamalarınızı izleme | Kimlik doğrulama hatalarındaki ani artışları gözlemlemek için günlüğe kaydetmeyi ve ölçümleri kullanabilirsiniz. SAS sağlayıcı hizmetinizdeki bir kesintiden veya saklı erişim ilkesinin yanlışlıkla kaldırılmasına yönelik ani artışlar görebilirsiniz. |