Veilige overdracht vereisen om beveiligde verbindingen te garanderen

  • Artikel

U kunt uw opslagaccount zo configureren dat aanvragen van beveiligde verbindingen alleen worden geaccepteerd door de eigenschap Beveiligde overdracht in te stellen die vereist is voor het opslagaccount. Wanneer u beveiligde overdracht nodig hebt, worden alle aanvragen die afkomstig zijn van een onveilige verbinding geweigerd. Microsoft raadt u aan altijd veilige overdracht voor al uw opslagaccounts te vereisen.

Wanneer beveiligde overdracht is vereist, moet een aanroep naar een Azure Storage REST API-bewerking worden uitgevoerd via HTTPS. Elke aanvraag die via HTTP wordt gedaan, wordt geweigerd. De vereiste eigenschap Veilige overdracht is standaard ingeschakeld wanneer u een opslagaccount maakt.

Azure Policy biedt een ingebouwd beleid om ervoor te zorgen dat beveiligde overdracht vereist is voor uw opslagaccounts. Zie de sectie Storage in ingebouwde azure Policy-beleidsdefinities voor meer informatie.

Verbinding maken naar een Azure-bestandsshare via SMB zonder versleuteling mislukt wanneer beveiligde overdracht vereist is voor het opslagaccount. Voorbeelden van onveilige verbindingen zijn verbindingen die zijn gemaakt via SMB 2.1 of SMB 3.x zonder versleuteling.

Notitie

Omdat Azure Storage geen ondersteuning biedt voor HTTPS voor aangepaste domeinnamen, wordt deze optie niet toegepast wanneer u een aangepaste domeinnaam gebruikt.

Deze instelling voor beveiligde overdracht is niet van toepassing op TCP. Verbinding maken ions via NFS 3.0-protocolondersteuning in Azure Blob Storage met TCP, die niet is beveiligd, slaagt.

Veilige overdracht vereisen in Azure Portal

U kunt de vereiste eigenschap Veilige overdracht inschakelen wanneer u een opslagaccount maakt in Azure Portal. U kunt deze ook inschakelen voor bestaande opslagaccounts.

Veilige overdracht vereisen voor een nieuw opslagaccount

  1. Open het deelvenster Opslagaccount maken in Azure Portal.

  2. Schakel op de pagina Geavanceerd het selectievakje Veilige overdracht inschakelen in.

    Create storage account blade

Veilige overdracht vereisen voor een bestaand opslagaccount

  1. Selecteer een bestaand opslagaccount in Azure Portal.

  2. Selecteer Configuratie in het menuvenster van het opslagaccount onder Instellingen.

  3. Selecteer Ingeschakeld onder Veilige overdracht vereist.

    Storage account menu pane

Veilige overdracht van code vereisen

Als u via een programma beveiligde overdracht wilt vereisen, stelt u de eigenschap enableHttpsTrafficOnly in op True in het opslagaccount. U kunt deze eigenschap instellen met behulp van de REST API van de opslagresourceprovider, clientbibliotheken of hulpprogramma's:

Veilige overdracht vereisen met PowerShell

Notitie

Het wordt aanbevolen de Azure Az PowerShell-module te gebruiken om te communiceren met Azure. Zie Azure PowerShell installeren om aan de slag te gaan. Raadpleeg Azure PowerShell migreren van AzureRM naar Az om te leren hoe u naar de Azure PowerShell-module migreert.

Voor dit voorbeeld is de Azure PowerShell-module Az versie 0.7 of hoger vereist. Voer Get-Module -ListAvailable Az uit om de versie te bekijken. Als u PowerShell wilt installeren of upgraden, raadpleegt u De Azure PowerShell-module installeren.

Voer Connect-AzAccount uit om een verbinding op te zetten met Azure.

Gebruik de volgende opdrachtregel om de instelling te controleren:

Get-AzStorageAccount -Name "{StorageAccountName}" -ResourceGroupName "{ResourceGroupName}"
StorageAccountName     : {StorageAccountName}
Kind                   : Storage
EnableHttpsTrafficOnly : False
...

Gebruik de volgende opdrachtregel om de instelling in te schakelen:

Set-AzStorageAccount -Name "{StorageAccountName}" -ResourceGroupName "{ResourceGroupName}" -EnableHttpsTrafficOnly $True
StorageAccountName     : {StorageAccountName}
Kind                   : Storage
EnableHttpsTrafficOnly : True
...

Veilige overdracht vereisen met Azure CLI

Als u dit voorbeeld wilt uitvoeren, installeert u de nieuwste versie van de Azure CLI. Voer eerst az login uit om een verbinding op te zetten met Azure.

Voorbeelden voor de Azure CLI zijn geschreven voor de bash-shell. Als u dit voorbeeld wilt uitvoeren in Windows PowerShell of opdrachtprompt, moet u mogelijk elementen van het script wijzigen.

Als u geen Azure-abonnement hebt, kunt u een gratis Azure-account maken voordat u begint.

Gebruik de volgende opdracht om de instelling te controleren:

az storage account show -g {ResourceGroupName} -n {StorageAccountName}
{
  "name": "{StorageAccountName}",
  "enableHttpsTrafficOnly": false,
  "type": "Microsoft.Storage/storageAccounts"
  ...
}

Gebruik de volgende opdracht om de instelling in te schakelen:

az storage account update -g {ResourceGroupName} -n {StorageAccountName} --https-only true
{
  "name": "{StorageAccountName}",
  "enableHttpsTrafficOnly": true,
  "type": "Microsoft.Storage/storageAccounts"
  ...
}

Volgende stappen

Aanbevelingen voor beveiliging voor Blob Storage