Azure:限制ARM PaaS服务对特定存储帐户的访问

Question

我有一个与Azure相关的安全问题，我真的需要一些关于可能的艺术的指导。

我想知道是否可以限制从PaaS服务(如服务结构或web应用程序(ASE) )可以调用哪些服务(即可以使用哪些存储帐户端点写入数据)。例如，如果我有一个写入存储的web应用程序，而有人恶意更改了代码以写入Azure上的第三方存储帐户；这是不是可以通过说此应用程序(即此web应用程序或此SF群集)只能与一组特定的存储帐户或特定的数据库对话来提前缓解。因此，即使代码被更改为与另一个存储帐户通信，它也无法与之通信。也就是说，我可以显式地定义作为环境的一部分，应用程序可以与哪些存储项对话；这是可能的吗？

Answer 1

Azure存储帐户具有访问密钥和共享访问密钥，用于对REST调用进行身份验证，以对其读取/写入数据。你的应用将能够对Azure存储帐户执行读/写操作，该帐户具有用于连接到Azure存储帐户的访问密钥和连接字符串。

无法在Azure应用程序服务应用程序上设置任何类型的防火墙规则，以阻止其与某些internet或Azure终结点通信。您可以使用App Service Environment设置NSG防火墙规则，但仍然只能打开或关闭访问；不能限制某些DNS名称或IP地址。

Answer 2

也许您应该在部署应用程序、管理连接字符串和部署代码的方式中寻求缓解此威胁的方法：

• 使用基于Azure角色的访问控制来限制对Azure中资源的访问，因此未经授权的人无法修改Azure，这是一种管理源代码的安全方式。请记住，它不在PaaS服务上，因为该服务仅保存二进制文件。
• 将SAS令牌用于应用程序对存储帐户的访问，而不是完整访问密钥。
• 如果作为开发人员，你不信任管理应用程序部署的人，你甚至可以考虑签署你的应用程序参数/连接字符串。这只能防止篡改，而不能防止提取连接字符串。