3
私はAzureブロブへのアクセスを制限しようとしています。私は現在、共有アクセス署名を使用して5分に制限されたリンクを提供することができます。しかし、IPアドレスのようなより多くのセキュリティを必要とするメカニズムがあるかどうか疑問に思っていますか?Azure BLOBへのアクセスを1つのIPに制限する方法はありますか?
私はクライアントをWebロール経由で移動して確認する必要があると仮定します。
A
答えて
1
が見えます。スタート含め
- SASが有効である上間隔、:A SASを含む、あなたがSASを持っているクライアントに許可するアクセスのタイプを細かく制御することができます
時間と有効期限。
- SASによって許可されたアクセス許可。たとえば、BLOBのSASがBLOBへの読み取りと書き込みの権限を付与することができますが、 の権限は削除できません。
- Azure StorageがSASを受け入れるIPアドレスまたはIPアドレスの範囲(オプション)。たとえば、組織に属するIPアドレスの範囲を と指定します。
- Azure StorageがSASを受け入れるプロトコル。このオプションパラメータを使用して、HTTPSを使用するクライアントへのアクセスを制限することができます。
出典:MSDN
1
IPフィルタリングのための追加メカニズムはありません。すべてのトラフィックをWebロール経由で送信し、トラフィックをフィルタリングしたり、SASを使用したりすることができます(既に提案したように)。
+0
だから、SASのダウンロードのためにのみ、本当に私は、ファイルがそのURLからご利用された時間を制御することができます。誰かがURLを公開したら誰でもそれを入手できますか? – GraemeMiller
+0
SASは基本的に署名入りのURL拡張機能で、特定の期間、コンテナまたはBLOBにアクセスできます。誰かがURLを公開しても、有効期限が過ぎるとURLは無駄になります(ストレージアカウントキーを持っていない限り、SASは変更できません)。私があなたのシナリオを知らないので、私は小塊または容器のための短い利用可能性ウィンドウの完全な意味を知らない。 –
+0
Cool。私が思った通りです。ありがとう – GraemeMiller
6
更新:これは現在サポートされています!上記のベストアンサーについての詳細。残りはまだ関心のあなたが持つ自信がなければならない理由です
は、no ipフィルタサポートに直接̶-̶もちろんできんこの中には独自のWebロールとしてあなた̶s̶u̶g̶g̶e̶s̶t̶.̶。で、それを残した。しかしあります共用アクセストークン*:
SAS BLOB URLが5分間で公開され攻撃される唯一の方法は、受信者からの悪意のある意図があった場合です。したがって、攻撃者にアクセス権を与えているため、セキュリティを確保する方法(IP制限など)がどのようなものであれ脆弱です。データをダウンロードして公開することができます。
タイムアウトと組み合わされた共有アクセストークンは、URLを推測するブルートフォース攻撃や、時間の経過とともに安全でない場所に置かれている不注意を本当に防ぎます。
あなたが共有している人物を信頼し、安全な方法でそれらを安全に輸送する限り、あなたは大丈夫です。 Azureストレージサービスは、IPアドレスのホワイトリストを可能にする新機能(shared access signatures)を持つようにほとんどのシナリオで
*
+0
うん。私は同意するだろう。彼らがダウンロードしたファイルを悪意のあるものにしたければ、とにかく自分自身で公開することができます。安全だと思われる – GraemeMiller
+0
AzureはSASトークンのIP制限をサポートするようになりました - [AzureストレージアカウントにIP制限を適用](https://techlog.wordpress.com/2016/07/13/apply-ip-restrictions-to-an- azure-storage-account /)。それはあまりにもポータルで行うことができます – MickyD
+0
ええ、downvotesあなたのために感謝します。私は2011年にこれを書いた! – BritishDeveloper
ええ - 私の答えを更新しなかったことに気づいた。私はあなたの答えを受け入れました - それは正しいです。 – GraemeMiller
ありがとう@GraemeMiller – Artak