A Transport Layer Security (TLS) minimálisan szükséges verziójának kényszerítése tárfiókba irányuló kérésekhez

Az ügyfélalkalmazás és az Azure Storage-fiók közötti kommunikáció a Transport Layer Security (TLS) használatával van titkosítva. A TLS egy szabványos titkosítási protokoll, amely biztosítja az adatvédelmet és az adatintegritást az ügyfelek és szolgáltatások között az interneten. További információ a TLS-ről: Transport Layer Security.

Az Azure Storage jelenleg a TLS protokoll három verzióját támogatja: 1.0, 1.1 és 1.2. Az Azure Storage TLS 1.2-t használ nyilvános HTTPS-végpontokon, de a TLS 1.0 és a TLS 1.1 továbbra is támogatott a visszamenőleges kompatibilitás érdekében.

Tipp.

Az Azure Storage az SSL Olyan Windows-implementációjára támaszkodik, amely nem OpenSSL-alapú, ezért nem érhető el az OpenSSL-hez kapcsolódó biztonsági rések számára.

Az Azure Storage-fiókok lehetővé teszik az ügyfelek számára, hogy a TLS, a TLS 1.0 és újabb verziójú adatokat küldjenek és fogadják. A szigorúbb biztonsági intézkedések érvényre juttatásához úgy konfigurálhatja a tárfiókot, hogy az ügyfelek a TLS újabb verziójával küldjenek és fogadjanak adatokat. Ha egy tárfiókhoz a TLS minimális verziója szükséges, akkor a régebbi verzióval küldött kérések sikertelenek lesznek.

Ez a cikk bemutatja, hogyan használható a DRAG (Detection-Remediation-Audit-Governance) keretrendszer a tárfiókok biztonságos TLS-einek folyamatos kezelésére.

A TLS adott verziójának ügyfélalkalmazásból történő küldésekor történő megadásáról további információt az ügyfélalkalmazás átviteli rétegbeli biztonságának (TLS) konfigurálása című témakörben talál.

Feljegyzés

Az ügyfelek által a tárfiókok adatainak küldésekor és fogadásakor használt titkosítási csomag a használt TLS-verziótól függ. A tárfiókok nem konfigurálhatók adott titkosítások használatának letiltására, kivéve a minimális TLS-verziót. Ha a tárfiókhoz való csatlakozáskor csak meghatározott titkosítási csomagokat szeretne engedélyezni, fontolja meg a Azure-alkalmazás Gateway használatát. Az Application Gateway e célra való használatáról további információt a TLS-szabályzatverziók és titkosítási csomagok konfigurálása Azure-alkalmazás Gatewayen című témakörben talál.

Az ügyfélalkalmazások által használt TLS-verzió észlelése

Ha minimális TLS-verziót kényszerít ki a tárfiókhoz, azzal kockáztatja, hogy elutasítja az adatokat küldő ügyfelek kéréseit a TLS régebbi verziójával. Annak megértéséhez, hogy a minimális TLS-verzió konfigurálása milyen hatással lehet az ügyfélalkalmazásokra, a Microsoft azt javasolja, hogy engedélyezze az Azure Storage-fiók naplózását, és időintervallum után elemezze a naplókat a TLS-ügyfélalkalmazások által használt verziók észleléséhez.

Az Azure Storage-fiókba irányuló kérelmek naplózásához és az ügyfél által használt TLS-verzió meghatározásához használhatja az Azure Storage naplózását az Azure Monitorban. További információt az Azure Storage monitorozása című témakörben talál.

Az Azure Storage-naplózás az Azure Monitorban támogatja a napló lekérdezések használatát a naplóadatok elemzéséhez. Naplók lekérdezéséhez használhat egy Azure Log Analytics-munkaterületet. A napló lekérdezéseivel kapcsolatos további információkért tekintse meg a Log Analytics-lekérdezések használatának első lépéseit ismertető oktatóanyagot.

Ahhoz, hogy az Azure Storage adatait az Azure Monitor segítségével naplózza, és az Azure Log Analytics segítségével elemezze, először létre kell hoznia egy diagnosztikai beállítást, amely jelzi, hogy milyen típusú kéréseket és mely tárolószolgáltatások adatait kívánja naplózni. Ha diagnosztikai beállítást szeretne létrehozni az Azure portálon, kövesse az alábbi lépéseket:

1. Hozzon létre egy új Log Analytics munkaterületet az Azure Storage fiókot tartalmazó előfizetésben. Miután beállította a naplózást a tárolási fiókhoz, a naplók elérhetővé válnak a Log Analytics munkaterületen. További információért lásd: Naplóelemzési munkaterület létrehozása az Azure portálon.

2. Navigáljon az Azure portálon a címen a tárolófiókjához.

3. A Monitoring szakaszban válassza a Diagnosztikai beállítások lehetőséget.

4. Válassza ki azt az Azure Storage szolgáltatást, amelyhez naplózni szeretné a kéréseket. Válassza például a Blob lehetőséget a blobtárolóba irányuló kérelmek naplózásához.

5. Válassza a Diagnosztikai beállítások megadása lehetőséget.

6. Adja meg a diagnosztikai beállítás nevét.

7. A Kategória részletei csoportban a naplószakaszban válassza ki, hogy milyen típusú kéréseket szeretne naplózni. Naplózhatja az olvasási, írási és törlési kérelmeket. Ha például a StorageRead és a StorageWrite lehetőséget választja, az olvasási és írási kéréseket naplózza a kiválasztott szolgáltatásba.

8. A Célállomás adatai alatt válassza a Küldés a Log Analytics-nek lehetőséget. Válassza ki előfizetését és a korábban létrehozott Log Analytics-munkaterületet az alábbi képen látható módon.

   

A diagnosztikai beállítás létrehozása után a tárolófiókhoz érkező kérelmek a továbbiakban a beállításnak megfelelően kerülnek naplózásra. További információ: Diagnosztikai beállítás létrehozása erőforrásnaplók és metrikák gyűjtéséhez az Azure-ban.

Az Azure Storage-naplókban az Azure Monitorban elérhető mezőkre vonatkozó hivatkozásért tekintse meg az erőforrásnaplókat.

Naplózott kérések lekérdezése TLS-verzió szerint

Az Azure Storage-naplók az Azure Monitorban tartalmazzák a kérések tárfiókba küldéséhez használt TLS-verziót. A TlsVersion tulajdonság használatával ellenőrizze a naplózott kérés TLS-verzióját.

Annak megállapításához, hogy hány kérés érkezett a Blob Storage-ra a TLS különböző verzióival az elmúlt hét napban, nyissa meg a Log Analytics-munkaterületet. Ezután illessze be a következő lekérdezést egy új napló lekérdezésbe, és futtassa. Ne felejtse el lecserélni a zárójelek helyőrző értékeit a saját értékeire:

StorageBlobLogs
| where TimeGenerated > ago(7d) and AccountName == "<account-name>"
| summarize count() by TlsVersion

Az eredmények a TLS egyes verzióival végrehajtott kérések számát mutatják:

Naplózott kérések lekérdezése a hívó IP-címe és a felhasználói ügynök fejléce alapján

Az Azure Storage-naplók az Azure Monitorban tartalmazzák a hívó IP-címét és a felhasználói ügynök fejlécét is, amely segít kiértékelni, hogy mely ügyfélalkalmazások fértek hozzá a tárfiókhoz. Ezeket az értékeket elemezve eldöntheti, hogy az ügyfélalkalmazásokat frissíteni kell-e a TLS újabb verziójának használatához, vagy elfogadható-e az ügyfél kérésének meghiúsulása, ha a rendszer nem a minimális TLS-verzióval küldi el azokat.

Annak megállapításához, hogy mely ügyfelek tették le a kéréseket a TLS 1.2-es verziójánál régebbi TLS-verzióval az elmúlt hét napban, illessze be a következő lekérdezést egy új napló lekérdezésbe, és futtassa azt. Ne felejtse el lecserélni a zárójelek helyőrző értékeit a saját értékeire:

StorageBlobLogs
| where TimeGenerated > ago(7d) and AccountName == "<account-name>" and TlsVersion != "TLS 1.2"
| project TlsVersion, CallerIpAddress, UserAgentHeader

Biztonsági kockázatok elhárítása a TLS minimális verziójával

Ha biztos abban, hogy a TLS régebbi verzióit használó ügyfelek felé irányuló forgalom minimális, vagy elfogadható a TLS régebbi verziójával kapcsolatos sikertelen kérelmek végrehajtása, akkor megkezdheti a tárfiókon a minimális TLS-verzió kikényszerítését. Annak megkövetelése, hogy az ügyfelek a TLS minimális verzióját használják a tárfiókokra irányuló kérések intézéséhez, egy olyan stratégia része, amely minimalizálja az adatok biztonsági kockázatait.

Fontos

Ha olyan szolgáltatást használ, amely csatlakozik az Azure Storage-hoz, győződjön meg arról, hogy a szolgáltatás a TLS megfelelő verzióját használja a kérések Azure Storage-ba való küldéséhez, mielőtt beállítja a tárfiókhoz szükséges minimális verziót.

Tárfiók minimális TLS-verziójának konfigurálása

A tárfiók minimális TLS-verziójának konfigurálásához állítsa be a fiók MinimumTlsVersion verzióját. Ez a tulajdonság az Azure Resource Manager-alapú üzemi modellel létrehozott összes tárfiókhoz elérhető. Az Azure Resource Manager üzemi modelljével kapcsolatos további információkért tekintse meg a Tárfiókok áttekintését.

A MinimumTlsVersion tulajdonság alapértelmezett értéke a beállítástól függően eltérő. Ha tárfiókot hoz létre az Azure Portallal, a minimális TLS-verzió alapértelmezés szerint 1.2 lesz. Ha PowerShell-, Azure CLI- vagy Azure Resource Manager-sablonnal hoz létre tárfiókot, a MinimumTlsVersion tulajdonság alapértelmezés szerint nincs beállítva, és csak akkor ad vissza értéket, ha kifejezetten be nem állítja.

Ha a MinimumTlsVersion tulajdonság nincs beállítva, az értéke null vagy üres sztringként jelenhet meg a környezettől függően. A tárfiók engedélyezi a TLS 1.0-s vagy újabb verziójával küldött kérelmeket, ha a tulajdonság nincs beállítva.

Portál

Ha tárfiókot hoz létre az Azure Portallal, a minimális TLS-verzió alapértelmezés szerint 1.2 lesz.

Ha egy meglévő tárfiók minimális TLS-verzióját szeretné konfigurálni az Azure Portallal, kövesse az alábbi lépéseket:

1. Navigáljon az Azure portálon a címen a tárolófiókjához.

2. A Beállítások területen válassza a Konfiguráció elemet.

3. A Minimális TLS-verzió csoportban a legördülő menüben válassza ki a tárfiók adatainak eléréséhez szükséges minimális TLS-verziót.

   

PowerShell

A tárfiók minimális TLS-verziójának PowerShell-lel való konfigurálásához telepítse az Azure PowerShell 4.4.0-s vagy újabb verzióját. Ezután konfigurálja a MinimumTLSVersion tulajdonságot egy új vagy meglévő tárfiókhoz. A MinimumTlsVersion érvényes értékei a következőkTLS1_0: , TLS1_1és TLS1_2.

Az alábbi példa létrehoz egy tárfiókot, és beállítja a MinimumTLSVersion tLS 1.1-et, majd frissíti a fiókot, és tLS 1.2-re állítja a MinimumTLSVersion-t . A példa minden esetben lekéri a tulajdonság értékét is. Ne felejtse el lecserélni a zárójelek helyőrző értékeit a saját értékeire:

$rgName = "<resource-group>"
$accountName = "<storage-account>"
$location = "<location>"

# Create a storage account with MinimumTlsVersion set to TLS 1.1.
New-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -Location $location `
    -SkuName Standard_GRS `
    -AllowBlobPublicAccess $false `
    -MinimumTlsVersion TLS1_1

# Read the MinimumTlsVersion property.
(Get-AzStorageAccount -ResourceGroupName $rgName -Name $accountName).MinimumTlsVersion

# Update the MinimumTlsVersion version for the storage account to TLS 1.2.
Set-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -MinimumTlsVersion TLS1_2

# Read the MinimumTlsVersion property.
(Get-AzStorageAccount -ResourceGroupName $rgName -Name $accountName).MinimumTlsVersion

Azure CLI

Ha egy tárfiók minimális TLS-verzióját szeretné konfigurálni az Azure CLI-vel, telepítse az Azure CLI 2.9.0-s vagy újabb verzióját. További információ: Az Azure CLI telepítése. Ezután konfigurálja a minimumTlsVersion tulajdonságot egy új vagy meglévő tárfiókhoz. A minimumTlsVersion érvényes értékei a következőkTLS1_0: , TLS1_1és TLS1_2.

Az alábbi példa létrehoz egy tárfiókot, és beállítja a minimális TLSVersion tLS 1.1-et. Ezután frissíti a fiókot, és a minimumTLSVersion tulajdonságot TLS 1.2-re állítja . A példa minden esetben lekéri a tulajdonság értékét is. Ne felejtse el lecserélni a zárójelek helyőrző értékeit a saját értékeire:

az storage account create \
    --name <storage-account> \
    --resource-group <resource-group> \
    --kind StorageV2 \
    --location <location> \
    --allow-blob-public-access false \
    --min-tls-version TLS1_1

az storage account show \
    --name <storage-account> \
    --resource-group <resource-group> \
    --query minimumTlsVersion \
    --output tsv

az storage account update \
    --name <storage-account> \
    --resource-group <resource-group> \
    --min-tls-version TLS1_2

az storage account show \
    --name <storage-account> \
    --resource-group <resource-group> \
    --query minimumTlsVersion \
    --output tsv

Sablon

Ha egy tárfiók minimális TLS-verzióját sablonnal szeretné konfigurálni, hozzon létre egy sablont, amelynek MinimumTLSVersion tulajdonságaTLS1_0az , TLS1_1vagy TLS1_2. Az alábbi lépések bemutatják, hogyan hozhat létre sablont az Azure Portalon.

1. Az Azure Portalon válassza az Erőforrás létrehozása lehetőséget.

2. A Keresés a Marketplace-en mezőbe írja be a template deployment kifejezést, majd nyomja le az ENTER billentyűt.

3. Válassza a Sablontelepítés (üzembe helyezés egyéni sablonok használatával) lehetőséget, válassza a Létrehozás lehetőséget, majd válassza a Saját sablon létrehozása lehetőséget a szerkesztőben.

4. A sablonszerkesztőben illessze be a következő JSON-t egy új fiók létrehozásához, és állítsa a TLS minimális verzióját TLS 1.2-esre. Ne felejtse el lecserélni a szögletes zárójelek helyőrzőit a saját értékeire.

   {
       "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {},
       "variables": {
           "storageAccountName": "[concat(uniqueString(subscription().subscriptionId), 'tls')]"
       },
       "resources": [
           {
           "name": "[variables('storageAccountName')]",
           "type": "Microsoft.Storage/storageAccounts",
           "apiVersion": "2019-06-01",
           "location": "<location>",
           "properties": {
               "minimumTlsVersion": "TLS1_2"
           },
           "dependsOn": [],
           "sku": {
             "name": "Standard_GRS"
           },
           "kind": "StorageV2",
           "tags": {}
           }
       ]
   }
   

5. Mentse a sablont.

6. Adja meg az erőforráscsoport paraméterét, majd válassza a Véleményezés + létrehozás gombot a sablon üzembe helyezéséhez, és hozzon létre egy tárfiókot a MinimumTLSVersion tulajdonság konfigurálásával.

Feljegyzés

A tárfiók minimális TLS-verziójának frissítése után a módosítás teljes propagálása akár 30 másodpercig is eltarthat.

A minimális TLS-verzió konfigurálásához az Azure Storage-erőforrás-szolgáltató 2019-04-01-es vagy újabb verziójára van szükség. További információ: Azure Storage Resource Provider REST API.

Ellenőrizze a minimálisan szükséges TLS-verziót több fiók esetében

A minimálisan szükséges TLS-verzió optimális teljesítménnyel rendelkező tárfiókok között való ellenőrzéséhez használhatja az Azure Resource Graph Explorert az Azure Portalon. A Resource Graph Explorer használatával kapcsolatos további információkért tekintse meg a rövid útmutatót: Az első Resource Graph-lekérdezés futtatása az Azure Resource Graph Explorerrel.

A Resource Graph Explorerben a következő lekérdezés futtatása a tárfiókok listáját adja vissza, és megjeleníti az egyes fiókok minimális TLS-verzióját:

resources
| where type =~ 'Microsoft.Storage/storageAccounts'
| extend minimumTlsVersion = parse_json(properties).minimumTlsVersion
| project subscriptionId, resourceGroup, name, minimumTlsVersion

Az ügyfél minimális TLS-verziójának tesztelése

Annak ellenőrzéséhez, hogy a tárfiók minimálisan szükséges TLS-verziója tiltja-e a régebbi verzióval indított hívásokat, konfigurálhatja az ügyfelet a TLS egy régebbi verziójának használatára. Az ügyfél TLS-verziójának használatára való konfigurálásáról további információt a Transport Layer Security (TLS) konfigurálása ügyfélalkalmazáshoz című témakörben talál.

Ha egy ügyfél olyan TLS-verzióval fér hozzá egy tárfiókhoz, amely nem felel meg a fiókhoz konfigurált minimális TLS-verziónak, az Azure Storage a 400-as hibakódot (Hibás kérés) adja vissza, és egy üzenetet, amely jelzi, hogy a használt TLS-verzió nem engedélyezett a tárfiókra vonatkozó kérések teljesítéséhez.

Feljegyzés

Ha egy tárfiók minimális TLS-verzióját konfigurálja, a rendszer az alkalmazásrétegen kényszeríti a minimális verziót. Azok az eszközök, amelyek megkísérlik meghatározni a TLS-támogatást a protokollrétegen, a minimálisan szükséges verzió mellett TLS-verziókat is visszaadhatnak, ha közvetlenül a tárfiók végpontján futnak.

Megfelelőség naplózása az Azure Policy használatával

Ha nagy számú tárfiókkal rendelkezik, érdemes lehet naplózni, hogy minden fiók a szervezet által igényelt minimális TLS-verzióhoz legyen konfigurálva. A megfelelőségi tárfiókok naplózásához használja az Azure Policyt. Az Azure Policy olyan szolgáltatás, amellyel szabályokat alkalmazó szabályzatokat hozhat létre, rendelhet hozzá és kezelhet az Azure-erőforrásokra. Az Azure Policy segít ezeknek az erőforrásoknak a vállalati szabványoknak és szolgáltatásiszint-szerződéseknek való megfelelésében. További információ: Az Azure Policy áttekintése.

Szabályzat létrehozása naplózási effektussal

Az Azure Policy támogatja azokat a effektusokat, amelyek meghatározzák, hogy mi történik, ha egy szabályzatszabályt kiértékelnek egy erőforráson. A naplózási effektus figyelmeztetést hoz létre, ha egy erőforrás nem felel meg a megfelelőségnek, de nem állítja le a kérést. Az effektusokról további információt az Azure Policy-effektusok ismertetése című témakörben talál.

Ha naplózási effektussal szeretne szabályzatot létrehozni a minimális TLS-verzióhoz az Azure Portalon, kövesse az alábbi lépéseket:

1. Az Azure portálon navigáljon az Azure házirend szolgáltatáshoz.

2. A Létrehozás szakaszban válassza a Definíciók lehetőséget.

3. Új szabályzatdefiníció létrehozásához válassza a Szabályzatdefiníció hozzáadása lehetőséget.

4. A Definíció helye mezőben válassza a Továbbiak gombot a naplózási szabályzat erőforrásának helyének megadásához.

5. Adja meg a szabályzat nevét. Megadhat leírást és kategóriát is.

6. A Szabályzatszabály területen adja hozzá a következő szabályzatdefiníciót a policyRule szakaszhoz.

   {
     "policyRule": {
       "if": {
         "allOf": [
           {
             "field": "type",
             "equals": "Microsoft.Storage/storageAccounts"
           },
           {
               "anyOf": [
                 {
                   "field": "Microsoft.Storage/storageAccounts/minimumTlsVersion",
                   "notEquals": "TLS1_2"
                 },
                 {
                   "field": "Microsoft.Storage/storageAccounts/minimumTlsVersion",
                   "exists": "false"
                 }
               ]
           }
         ]
       },
       "then": {
         "effect": "audit"
       }
     }
   }
   

7. Mentse a szabályzatot.

A szabályzat hozzárendelése

Ezután rendelje hozzá a szabályzatot egy erőforráshoz. A szabályzat hatóköre megfelel az adott erőforrásnak és az alatta lévő erőforrásoknak. A szabályzat-hozzárendeléssel kapcsolatos további információkért tekintse meg az Azure Policy hozzárendelési struktúráját.

Ha a szabályzatot az Azure Portalhoz szeretné hozzárendelni, kövesse az alábbi lépéseket:

1. Az Azure portálon navigáljon az Azure házirend szolgáltatáshoz.
2. A Létrehozás szakaszban válassza a Hozzárendelések lehetőséget.
3. Új szabályzat-hozzárendelés létrehozásához válassza a Szabályzat hozzárendelése lehetőséget.
4. A Hatókör mezőben válassza ki a szabályzat-hozzárendelés hatókörét.
5. A Szabályzatdefiníció mezőnél válassza az Egyebek gombot, majd válassza ki az előző szakaszban definiált szabályzatot a listából.
6. Adja meg a szabályzat-hozzárendelés nevét. A leírás nem kötelező.
7. Hagyja engedélyezve a házirend-kényszerítési beállítást. Ez a beállítás nincs hatással az auditszabályzatra.
8. Válassza a Véleményezés + létrehozás lehetőséget a hozzárendelés létrehozásához.

Megfelelőségi jelentés megtekintése

Miután hozzárendelte a szabályzatot, megtekintheti a megfelelőségi jelentést. Az auditszabályzat megfelelőségi jelentése tájékoztatást nyújt arról, hogy mely tárfiókok nem felelnek meg a szabályzatnak. További információ: Szabályzatmegfelelési adatok lekérése.

A szabályzat-hozzárendelés létrehozása után eltarthat néhány percig, amíg a megfelelőségi jelentés elérhetővé válik.

A megfelelőségi jelentés azure portalon való megtekintéséhez kövesse az alábbi lépéseket:

1. Az Azure portálon navigáljon az Azure házirend szolgáltatáshoz.

2. Válassza a Megfelelőség lehetőséget.

3. Szűrje az előző lépésben létrehozott szabályzat-hozzárendelés nevének eredményeit. A jelentés azt mutatja be, hogy hány erőforrás nem felel meg a szabályzatnak.

4. További részletekért részletezheti a jelentést, beleértve a nem megfelelő tárfiókok listáját is.

   

A minimális TLS-verzió kényszerítése az Azure Policy használatával

Az Azure Policy támogatja a felhőszabályozást azáltal, hogy biztosítja, hogy az Azure-erőforrások megfeleljenek a követelményeknek és szabványoknak. A szervezet tárfiókjainak minimális TLS-verziókövetelményének kikényszerítéséhez létrehozhat egy olyan szabályzatot, amely megakadályozza egy olyan új tárfiók létrehozását, amely a TLS minimális követelményét a szabályzat által diktáltnál régebbi TLS-verzióra állítja. Ez a szabályzat akkor is megakadályozza a meglévő fiók konfigurációs módosításait, ha az adott fiók minimális TLS-verzióbeállítása nem felel meg a szabályzatnak.

A kényszerítési szabályzat a Megtagadás effektussal megakadályozza a tárfiókot létrehozó vagy módosító kéréseket, hogy a minimális TLS-verzió már ne feleljen meg a szervezet szabványainak. Az effektusokról további információt az Azure Policy-effektusok ismertetése című témakörben talál.

Ha a TLS 1.2-nél kisebb minimális TLS-verzióhoz megtagadási effektussal rendelkező szabályzatot szeretne létrehozni, kövesse az Azure Policy használata a megfelelőség naplózásához leírt lépéseket, de adja meg a következő JSON-t a szabályzatdefiníció PolicyRule szakaszában:

{
  "policyRule": {
    "if": {
      "allOf": [
        {
          "field": "type",
          "equals": "Microsoft.Storage/storageAccounts"
        },
        {
            "anyOf": [
              {
                "field": "Microsoft.Storage/storageAccounts/minimumTlsVersion",
                "notEquals": "TLS1_2"
              },
              {
                "field": "Microsoft.Storage/storageAccounts/minimumTlsVersion",
                "exists": "false"
              }
            ]
        }
      ]
    },
    "then": {
      "effect": "deny"
    }
  }
}

Miután létrehozta a házirendet a Megtagadás effektussal, és hozzárendelte egy hatókörhöz, a felhasználó nem hozhat létre legalább 1.2-nél régebbi TLS-verziójú tárfiókot. A felhasználók nem módosíthatják a meglévő tárfiókok konfigurációját, amelyekhez jelenleg legalább 1.2-es TLS-verzió szükséges. Ha megkísérli ezt megtenni, az hibát eredményez. A tárfiók minimális TLS-verzióját 1.2-esre kell állítani a fiók létrehozásának vagy konfigurálásának folytatásához.

Az alábbi képen az a hiba látható, amely akkor fordul elő, ha olyan tárfiókot próbál létrehozni, amelynek minimális TLS-verziója TLS 1.0 -ra van állítva (az új fiók alapértelmezett verziója), ha egy megtagadási effektussal rendelkező szabályzat megköveteli, hogy a TLS minimális verziója TLS 1.2 legyen.

A TLS minimális verziójának megköveteléséhez szükséges engedélyek

A tárfiók MinimumTlsVersion tulajdonságának beállításához a felhasználónak rendelkeznie kell a tárfiókok létrehozásához és kezeléséhez szükséges engedélyekkel. Az engedélyeket biztosító Azure-szerepköralapú hozzáférés-vezérlési (Azure RBAC-) szerepkörök közé tartozik a Microsoft.Storage/storageAccounts/write vagy a Microsoft.Storage/storageAccounts/* művelet. A művelettel beépített szerepkörök a következők:

• Az Azure Resource Manager Tulajdonos szerepköre
• Az Azure Resource Manager Hozzájáruló szerepkör
• A Storage Account Contributor szerepkör

Ezek a szerepkörök nem biztosítanak hozzáférést a tárfiókban lévő adatokhoz a Microsoft Entra-azonosítón keresztül. Ezek közé tartozik azonban a Microsoft.Storage/StorageAccounts/listkeys/action, amely hozzáférést biztosít a fiók hozzáférési kulcsaihoz. Ezzel az engedéllyel a felhasználó a fiók hozzáférési kulcsaival hozzáférhet a tárfiók összes adatához.

A szerepkör-hozzárendeléseket a tárfiók szintjéig vagy annál magasabbra kell korlátozni, hogy a felhasználó megkövetelhesse a tárfiókhoz tartozó TLS minimális verzióját. A szerepkörök hatóköréről további információt az Azure RBAC hatókörének ismertetése című témakörben talál.

Ügyeljen arra, hogy csak azokra korlátozza a szerepkörök hozzárendelését, akiknek szükségük van tárfiók létrehozására vagy tulajdonságainak frissítésére. Használja a minimális jogosultság elvét annak biztosítására, hogy a felhasználók a legkevesebb engedéllyel rendelkezzenek a feladataik elvégzéséhez. Az Azure RBAC-hozzáférés kezelésével kapcsolatos további információkért tekintse meg az Azure RBAC ajánlott eljárásait.

Feljegyzés

A klasszikus előfizetés-rendszergazdai szerepkörök a Service Rendszergazda istrator és a Co-Rendszergazda istrator az Azure Resource Manager tulajdonosi szerepkörével egyenértékűek. A Tulajdonos szerepkör minden műveletet tartalmaz, így egy ilyen felügyeleti szerepkörrel rendelkező felhasználó tárfiókokat is létrehozhat és kezelhet. További információ: Azure-szerepkörök, Microsoft Entra-szerepkörök és klasszikus előfizetés-rendszergazdai szerepkörök.

Hálózati szempontok

Amikor egy ügyfél kérést küld a tárfióknak, az ügyfél először kapcsolatot létesít a tárfiók nyilvános végpontjával a kérések feldolgozása előtt. A kapcsolat létrejötte után a rendszer ellenőrzi a minimális TLS-verzióbeállítást. Ha a kérés a beállítás által megadottnál korábbi TLS-verziót használ, a kapcsolat továbbra is sikeres lesz, de a kérés végül meghiúsul. Az Azure Storage nyilvános végpontjaival kapcsolatos további információkért tekintse meg az Erőforrás URI szintaxisát.

Következő lépések

• Transport Layer Security (TLS) konfigurálása ügyfélalkalmazáshoz
• Biztonsági javaslatok a Blob Storage-hoz