Azure : 특정 저장소 계정에 대한 ARM PaaS 서비스의 액세스를 제한합니다.

Question

나는 Azure와 관련된 보안 질문을 가지고 있습니다.이 질문은 가능한 기술에 대한 지침과 함께 할 수 있습니다.

서비스 패브릭 또는 웹 응용 프로그램 (ASE)과 같은 PaaS 서비스에서 어떤 서비스를 호출 할 수 있는지 (예 : 데이터를 쓰는 데 사용할 수있는 스토리지 계정 끝점)를 제한 할 수 있는지 알고 싶습니다. 즉 저장소에 글을 쓰는 웹 앱이 있고 누군가 Azure의 제 3 자 스토리지 계정에 코드를 작성하도록 악의적으로 변경 한 경우, 이 응용 프로그램 (즉,이 웹 응용 프로그램 또는이 SF 클러스터)이 특정 저장소 계정 집합이나 특정 데이터베이스와 만 대화 할 수 있다고 미리 말하면 미리 완화 할 수 있습니다. 따라서 코드가 다른 스토리지 계정과 대화하기 위해 변경된 경우에도 그렇게 할 수는 없습니다. 즉, 응용 프로그램이 저장할 수있는 저장 항목을 환경의 일부로 명시 적으로 정의 할 수 있습니다. 이게 가능한 것입니까?

Answer 1

Azure 저장소 계정에는 액세스 키와 공유 액세스 키가있어 REST 호출을 인증하여 데이터를 읽고 쓸 수 있습니다. 귀하의 앱은 Azure Storage 계정에 대해 액세스 키와 연결 문자열을 가지고 읽기/쓰기 작업을 수행 할 수 있습니다.

특정 인터넷 또는 Azure 종점과 통신하지 못하도록 Azure App Service 응용 프로그램에서 모든 종류의 방화벽 규칙을 설정할 수 없습니다. App Service Environment를 사용하여 NSG 방화벽 규칙을 설정할 수는 있지만 액세스 권한을 열거 나 닫을 수는 있습니다. 특정 DNS 이름 또는 IP 주소를 제한하지 않습니다.

Answer 2

아마 당신은, 연결 문자열을 관리하고 코드가 배포 배포 방법의 응용 프로그램에서이 위협을 완화 찾아야한다 :

하늘빛의 리소스에 대한 액세스를 제한 할 수
• 사용 푸른 역할 기반 액세스 제어 , 권한이없는 사용자는 배포를 수정할 수 없습니다.
• 안전한 방법으로 소스 코드를 관리하십시오. 그것은 바이너리 만 가지고 있기 때문에 PaaS 서비스에 없다는 것을 기억하십시오.
• 전체 액세스 키가 아닌 저장소 계정에 대한 응용 프로그램 액세스를 위해 SAS 토큰을 사용하십시오. 예를 들어, SAS 키에 쓰기 액세스 권한을 부여하거나 스토리지 계정에 대한 읽기 또는 목록 액세스 권한을 부여 할 수 없습니다.
• 개발자는 응용 프로그램 배포를 관리하는 사람을 신뢰할 수없는 경우 응용 프로그램 매개 변수/연결 문자열에 서명하는 것을 고려할 수도 있습니다. 이는 연결 문자열을 추출하는 것에 대한 것이 아니라 침해에 대해서만 보호합니다.