Richiedere il trasferimento sicuro per garantire connessioni sicure

  • Articolo

È possibile configurare l'account di archiviazione in modo da accettare richieste solo da connessioni sicure impostando la proprietà trasferimento sicuro obbligatorio per l'account di archiviazione. Quando è necessario un trasferimento sicuro, tutte le richieste provenienti da una connessione non sicura vengono rifiutate. Microsoft consiglia di richiedere sempre il trasferimento sicuro per tutti gli account di archiviazione.

Quando è richiesto il trasferimento sicuro, è necessario effettuare una chiamata a un'operazione dell'API REST di Archiviazione di Azure tramite HTTPS. Qualsiasi richiesta effettuata tramite HTTP viene rifiutata. Per impostazione predefinita, l'opzione Trasferimento sicuro obbligatorio è abilitata quando si crea un account di archiviazione.

Criteri di Azure offre un criterio predefinito per garantire che il trasferimento sicuro sia obbligatorio per gli account di archiviazione. Per altre informazioni, vedere la sezione Archiviazione in Definizioni del criterio predefinito di Criteri di Azure.

La connessione a una condivisione file di Azure tramite SMB senza crittografia non riesce quando è necessario il trasferimento sicuro per l'account di archiviazione. Alcuni esempi di connessioni non sicure sono quelle effettuate su SMB 2.1 o SMB 3.x senza crittografia.

Nota

Poiché Archiviazione di Azure non supporta HTTPS per i nomi di dominio personalizzati, l'opzione non viene applicata quando si usa un nome di dominio personalizzato.

Questa impostazione di trasferimento sicuro non si applica a TCP. Le connessioni tramite il supporto del protocollo NFS 3.0 in Archiviazione BLOB di Azure tramite TCP, che non è protetto, avranno esito positivo.

Rendere obbligatorio il trasferimento sicuro nel portale di Azure

È possibile abilitare la proprietà Trasferimento sicuro obbligatorio quando si crea un account di archiviazione nel portale di Azure. È possibile anche abilitarla per un account di archiviazione esistente.

Richiedere il trasferimento sicuro per un nuovo account di archiviazione

  1. Aprire il riquadro Crea account di archiviazione nel portale di Azure.

  2. Nella pagina Avanzate selezionare la casella di controllo Abilita trasferimento sicuro.

    Create storage account blade

Richiedere il trasferimento sicuro per un account di archiviazione esistente

  1. Selezionare un account di archiviazione esistente nel portale di Azure.

  2. Selezionare Configurazione in Impostazioni nel riquadro del menu dell'account di archiviazione.

  3. In Trasferimento sicuro obbligatorio selezionare Abilitato.

    Storage account menu pane

Richiedere il trasferimento sicuro da codice

Per richiedere il trasferimento sicuro a livello di codice, impostare la proprietà enableHttpsTrafficOnly su True nell'account di archiviazione. È possibile impostare questa proprietà usando l'API REST del provider di risorse di archiviazione, le librerie client o gli strumenti:

Richiedere il trasferimento sicuro con PowerShell

Nota

È consigliabile usare il modulo Azure Az PowerShell per interagire con Azure. Per iniziare, vedere Installare Azure PowerShell. Per informazioni su come eseguire la migrazione al modulo AZ PowerShell, vedere Eseguire la migrazione di Azure PowerShell da AzureRM ad Az.

Per questo esempio, è necessario il modulo Azure PowerShell Az 0.7 o versioni successive. Eseguire Get-Module -ListAvailable Az per trovare la versione. Se è necessario eseguire l'installazione o l'aggiornamento, vedere come installare il modulo Azure PowerShell.

Eseguire Connect-AzAccount per creare una connessione con Azure.

Per verificare l'impostazione, usare la riga di comando seguente:

Get-AzStorageAccount -Name "{StorageAccountName}" -ResourceGroupName "{ResourceGroupName}"
StorageAccountName     : {StorageAccountName}
Kind                   : Storage
EnableHttpsTrafficOnly : False
...

Per abilitare l'impostazione, usare la riga di comando seguente:

Set-AzStorageAccount -Name "{StorageAccountName}" -ResourceGroupName "{ResourceGroupName}" -EnableHttpsTrafficOnly $True
StorageAccountName     : {StorageAccountName}
Kind                   : Storage
EnableHttpsTrafficOnly : True
...

Richiedere il trasferimento sicuro con interfaccia della riga di comando di Azure

Per eseguire questo esempio, installare l'ultima versione dell'interfaccia della riga di comando di Azure. Per iniziare, eseguire az login per creare una connessione con Azure.

Gli esempi per l'interfaccia della riga di comando di Azure sono scritti per la shell bash. Per eseguire questo esempio in Windows PowerShell o dal prompt dei comandi, può essere necessario cambiare elementi dello script.

Se non si ha una sottoscrizione di Azure, creare un account Azure gratuito prima di iniziare.

Per verificare l'impostazione, usare il comando seguente:

az storage account show -g {ResourceGroupName} -n {StorageAccountName}
{
  "name": "{StorageAccountName}",
  "enableHttpsTrafficOnly": false,
  "type": "Microsoft.Storage/storageAccounts"
  ...
}

Per abilitare l'impostazione, usare il comando seguente:

az storage account update -g {ResourceGroupName} -n {StorageAccountName} --https-only true
{
  "name": "{StorageAccountName}",
  "enableHttpsTrafficOnly": true,
  "type": "Microsoft.Storage/storageAccounts"
  ...
}

Passaggi successivi

Raccomandazioni di sicurezza per l'archiviazione BLOB