J'essaie de limiter l'accès aux blobs d'azur. Je peux actuellement fournir un lien qui est restreint à 5 minutes à l'aide de la signature d'accès partagée. Cependant, vous vous demandez simplement s'il existe un mécanisme pour nécessiter davantage de sécurité telle qu'une adresse IP?
Si non, je suppose que je dois simplement faire passer le client via un rôle Web, puis vérifier là-bas?
3 Réponses :
Il n'y a pas de mécanisme supplémentaire pour le filtrage IP. Vous pouvez diriger tout le trafic via votre rôle Web et filtrer le trafic ou utiliser SAS (comme vous l'avez déjà suggéré).
SO SAS Pour les téléchargements ne me permet que de contrôler le temps que le fichier est disponible à partir de cette URL. Si quelqu'un publie l'URL, alors tout le monde peut l'obtenir?
SAS est fondamentalement une extension d'URL signée, permettant d'accéder à un conteneur ou à un blob pendant une durée spécifique. Même si une personne a publié l'URL, l'URL ne vaut rien après la période d'expiration (vous ne pouvez pas modifier le SAS, sauf si vous disposez de la clé de compte de stockage). Comme je ne connais pas votre scénario, je ne connais pas toutes les implications d'une brève fenêtre de disponibilité pour un blob ou un conteneur.
Cool. C'est comme je pensais. Merci
Notez que vous pouvez également faire du filtrage IP sur votre jeton SAS. En d'autres termes, le jeton ne sera valide que pour les demandes d'une gamme IP ou IP spécifique.
Nô iP ̶ Directly filtres-SOUTENU ̶ Bien sûr, vous pouvez le faire dans votre rôle weB ̶s̶u̶g̶g̶e̶s̶t̶.̶ yōu Mais c'est pourquoi vous devriez être confiant avec accès partagé * Tokens:
Le seul moyen que SAS BLOB URL pourrait obtenir une masse publiée et attaquée dans 5 minutes est s'il y avait une intention malveillante du destinataire. Donc, quelle que soit la méthode de la sécurisation (par exemple la restriction IP), vous seriez vulnérable car vous avez donné un accès à un attaquant. Ils pourraient simplement télécharger les données et publier cela à la place s'il s'agissait de la propriété intellectuelle restreinte.
Le jeton d'accès partagé combiné au délai d'attente empêche vraiment les attaques de la force brute deviner l'URL ou toute imprativité en le laissant mentir dans un endroit non sécurisé au fil du temps.
Ainsi, tant que vous faites confiance à la personne que vous partagez avec et que vous leur transportez de manière sécurisée, vous allez bien.
* Dans la plupart des scénarios
Ouais. Je serais d'accord. S'ils ont le fichier téléchargé et voulaient être malveillants, ils pouvaient simplement le publier eux-mêmes. Semble assez sûr
Azure prend désormais en charge les restrictions IP sur les jetons SAS - Appliquer des restrictions IP sur un compte de stockage Azure . Cela peut être fait dans le portail aussi
Ouais, merci pour les bowvotes que vous détournez. J'ai écrit cela en 2011!
+1 Je trouve l'historique de ces problèmes à être utile en remplissant les blancs lors du débogage. Old Info mais toujours très utile dans le processus si l'élimination.
On dirait que Azure Storage Service a une nouvelle fonctionnalité ( Signatures d'accès partagées ) qui permettent à la liste blanchissante d'adresse IP.
Un SAS vous donne un contrôle granulaire sur le type d'accès que vous accordez aux clients qui ont le SAS, y compris:
- L'intervalle sur lequel le SAS est valide, y compris l'heure de début et l'heure d'expiration.
- Les autorisations accordées par le SAS. Par exemple, un SAS pour une blob peut accorder des autorisations de lecture et d'écriture à cette blob, mais pas Supprimer les autorisations.
une adresse IP facultative ou une plage d'adresses IP à partir duquel le stockage d'azur acceptera le SAS . Par exemple, vous pouvez spécifier une plage des adresses IP appartenant à votre organisation. - Le protocole sur lequel le stockage d'azur acceptera le SAS. Vous pouvez utiliser ce paramètre facultatif pour restreindre l'accès aux clients à l'aide de HTTPS.
Source: MSDN
Ouais - l'avait remarqué que, mais n'a pas mis à jour ma réponse. J'ai accepté votre réponse - comme c'est correct.
Merci @graememiller