Azure：限制ARM PaaS服務對某些存儲帳戶的訪問

Question

我有一個Azure相關的安全問題，我真的可以對一些關於可能的藝術方面的指導進行操作。

我想知道是否有可能通過PaaS服務（如服務結構或Web應用程序（ASE））限制可以調用哪些服務（即可以使用哪些存儲帳戶端點來寫入數據）。即，如果我有一個Web應用程序寫入存儲並且有人惡意更改代碼以寫入Azure上的第三方存儲帳戶;這是我可以通過說這個應用程序（即這個Web應用程序或這個SF羣集）只能與一組特定的存儲帳戶或特定數據庫進行交談來緩解的事情。因此，即使代碼改變爲與另一個存儲帳戶通信，也無法這樣做。我可以明確定義應用程序可以與哪些存儲項目交談的環境的一部分;這是可能的嗎？

Answer 1

Azure存儲帳戶具有訪問密鑰和共享訪問密鑰，用於對REST調用進行身份驗證以向其讀取/寫入數據。您的應用程序將能夠針對Azure存儲帳戶執行讀取/寫入操作，因爲它具有訪問密鑰和連接字符串，用於連接它。

無法在Azure App Service應用程序上設置任何類型的防火牆規則，以防止它與某些Internet或Azure端點進行通信。您可以使用App Service環境設置NSG防火牆規則，但您仍然只能打開或關閉訪問權限;不限制某些DNS名稱或IP地址。

Answer 2

也許你應該尋找一個緩解在道路應用中，這種威脅的部署，連接字符串管理和代碼部署：

• 使用Azure的基於角色的訪問控制來限制訪問在Azure中的資源，因此未經授權的人無法修改部署
• 使用安全的方式管理您的源代碼。請記住，它不在PaaS服務上，因爲它只包含二進制文件。
• 使用SAS令牌訪問存儲帳戶的應用程序，而不是完整的訪問密鑰。例如，可以給一個SAS密鑰寫入權限，而不是讀取或列出對存儲帳戶的訪問權限。
• 如果作爲開發人員不信任管理應用程序部署的人員，則甚至可以考慮簽署應用程序參數/連接字符串。這隻能防止篡改，而不是提取連接字符串。