Requisito de transferencia segura para garantizar conexiones seguras

Puede configurar la cuenta de almacenamiento para que acepte solicitudes de conexiones seguras solo si establece la propiedad Se requiere transferencia segura para la cuenta de almacenamiento. Cuando se requiere una transferencia segura, se rechazan todas las solicitudes que se originan en una conexión no segura. Microsoft recomienda que siempre se requiera una transferencia segura para todas las cuentas de almacenamiento.

Cuando se requiere una transferencia segura, se debe realizar una llamada a una operación de API REST de Azure Storage a través de HTTPS. Se rechaza cualquier solicitud realizada a través de HTTP. De forma predeterminada, la propiedad Se requiere transferencia segura se habilita al crear una cuenta de almacenamiento.

Azure Policy proporciona una directiva integrada para garantizar que se requiere una transferencia segura para las cuentas de almacenamiento. Para obtener más información, consulte la sección Almacenamiento de las definiciones de directivas integradas de Azure Policy.

Se produce un error al establecer conexión con un recurso compartido de archivos de Azure a través de SMB sin cifrado cuando se requiere la transferencia segura para la cuenta de almacenamiento. Entre los ejemplos de conexiones no seguras se incluyen las realizadas a través de SMB 2.1 o SMB 3.x sin cifrado.

Nota

Dado que Azure Storage no admite HTTPS para los nombres de dominio personalizados, esta opción no se aplica cuando se utiliza un nombre de dominio personalizado.

Esta configuración de transferencia segura no se aplica a TCP. Las conexiones por medio del protocolo NFS 3.0 que admiten Azure Blob Storage con TCP, que no está protegido, se realizarán correctamente.

Requerir una transferencia segura en Azure Storage

Puede activar la propiedad Se requiere transferencia segura al crear una cuenta de almacenamiento en Azure Portal. También puede habilitarla para cuentas de almacenamiento existentes.

Solicitud de transferencia segura en una nueva cuenta de almacenamiento

  1. Abra el panel Crear cuenta de almacenamiento en Azure Portal.

  2. En la página Avanzado, seleccione la casilla Habilitar transferencia segura.

    Creación de una hoja de la cuenta de almacenamiento

Solicitud de transferencia segura en una cuenta de almacenamiento existente

  1. Seleccione una cuenta de almacenamiento existente en Azure Portal.

  2. En el panel de menú de la cuenta de almacenamiento, en Configuración, seleccione Opciones de configuración.

  3. En Se requiere transferencia segura, seleccione Habilitado.

    Panel de menú de la cuenta de almacenamiento

Requerir una transferencia segura desde el código

Para requerir una transferencia segura mediante programación, establezca la propiedad enableHttpsTrafficOnly en True en la cuenta de almacenamiento. Puede establecer esta propiedad mediante la API REST del proveedor de recursos de almacenamiento, las bibliotecas de cliente o las herramientas siguientes:

Requerir una transferencia segura con PowerShell

Nota

En este artículo se usa el módulo Az de PowerShell, que es el módulo de PowerShell que se recomienda para interactuar con Azure. Para empezar a trabajar con el módulo Az de PowerShell, consulte Instalación de Azure PowerShell. Para más información sobre cómo migrar al módulo Az de PowerShell, consulte Migración de Azure PowerShell de AzureRM a Az.

En este ejemplo, debe utilizarse la versión 0.7 del módulo Az de Azure PowerShell o una versión posterior. Ejecute Get-Module -ListAvailable Az para encontrar la versión. Si necesita instalarla o actualizarla, consulte el artículo sobre cómo instalar el módulo de Azure PowerShell.

Ejecute Connect-AzAccount para crear una conexión con Azure.

Utilice la siguiente línea de comandos siguiente para comprobar la configuración:

Get-AzStorageAccount -Name "{StorageAccountName}" -ResourceGroupName "{ResourceGroupName}"
StorageAccountName     : {StorageAccountName}
Kind                   : Storage
EnableHttpsTrafficOnly : False
...

Utilice la siguiente línea de comandos siguiente para habilitar la configuración:

Set-AzStorageAccount -Name "{StorageAccountName}" -ResourceGroupName "{ResourceGroupName}" -EnableHttpsTrafficOnly $True
StorageAccountName     : {StorageAccountName}
Kind                   : Storage
EnableHttpsTrafficOnly : True
...

Requerir una transferencia segura con la CLI de Azure

Para ejecutar este ejemplo, instale la versión más reciente de la CLI de Azure. Para empezar, ejecute az login para crear una conexión con Azure.

Los ejemplos de la CLI de Azure están escritos para el shell bash. Para ejecutar este ejemplo en Windows PowerShell o en el símbolo del sistema, es posible que necesite cambiar algunos elementos del script.

Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.

Utilice el comando siguiente para comprobar esta configuración:

az storage account show -g {ResourceGroupName} -n {StorageAccountName}
{
  "name": "{StorageAccountName}",
  "enableHttpsTrafficOnly": false,
  "type": "Microsoft.Storage/storageAccounts"
  ...
}

Utilice el comando siguiente para habilitar la configuración:

az storage account update -g {ResourceGroupName} -n {StorageAccountName} --https-only true
{
  "name": "{StorageAccountName}",
  "enableHttpsTrafficOnly": true,
  "type": "Microsoft.Storage/storageAccounts"
  ...
}

Pasos siguientes

Recomendaciones de seguridad para Blob Storage