Erzwingen einer sicheren Übertragung für sichere Verbindungen

Sie können Ihr Speicherkonto so konfigurieren, dass nur Anforderungen von sicheren Verbindungen akzeptiert werden, indem Sie die Eigenschaft Sichere Übertragung erforderlich für das Speicherkonto festlegen. Wenn Sie eine sichere Übertragung benötigen, werden alle Anforderungen zurückgewiesen, die von einer unsicheren Verbindung stammen. Microsoft empfiehlt, immer eine sichere Übertragung für sämtliche Speicherkonten zu erzwingen, es sei denn, Sie verwenden NFS-Azure-Dateifreigaben. Die Eigenschaft Sichere Übertragung erforderlich muss deaktiviert werden, damit NFS-Azure-Dateifreigaben funktionieren.

Wenn eine sichere Übertragung erforderlich ist, müssen Aufrufe von Azure Storage-REST-API-Vorgängen über HTTPS erfolgen. Jede Anforderung über HTTP wird abgelehnt. Die Eigenschaft Sichere Übertragung erforderlich ist standardmäßig aktiviert, wenn Sie ein Speicherkonto erstellen.

Azure Policy bietet eine integrierte Richtlinie, um sicherzustellen, dass für Ihre Speicherkonten eine sichere Übertragung erforderlich ist. Weitere Informationen finden Sie in Integrierte Azure Policy-Richtliniendefinitionen im Abschnitt Speicher.

Das Herstellen einer Verbindung mit einer Azure-Dateifreigabe über SMB ohne Verschlüsselung führt zu einem Fehler, wenn für das Speicherkonto eine sichere Übertragung erforderlich ist. Beispiele für unsichere Verbindungen sind Verbindungen, die über SMB 2.1 oder SMB 3.x ohne Verschlüsselung hergestellt werden.

Hinweis

Da Azure Storage keine Unterstützung von HTTPS für benutzerdefinierte Domänennamen bietet, wird diese Option nicht angewendet, wenn ein benutzerdefinierter Domänenname verwendet wird.

Diese Einstellung für eine sichere Übertragung gilt nicht für TCP. Ungeschützte Verbindungen über NFS 3.0-Protokollunterstützung in Azure Blob Storage mit TCP werden erfolgreich hergestellt.

Erzwingen einer sicheren Übertragung im Azure-Portal

Sie können die Einstellung Sichere Übertragung erforderlich beim Erstellen eines Speicherkontos im Azure-Portal aktivieren. Sie können sie aber auch für vorhandene Speicherkonten aktivieren.

Vorschreiben einer sicheren Übertragung für ein neues Speicherkonto

  1. Öffnen Sie den Bereich Speicherkonto erstellen im Azure-Portal.

  2. Aktivieren Sie auf der Seite Erweitert das Kontrollkästchen Sichere Übertragung aktivieren.

    Blatt „Speicherkonto erstellen“

Vorschreiben einer sicheren Übertragung für ein vorhandenes Speicherkonto

  1. Wählen Sie ein vorhandenes Speicherkonto im Azure-Portal aus.

  2. Wählen Sie im Menübereich des Speicherkontos unter Einstellungen die Option Konfiguration aus.

  3. Wählen Sie unter Sichere Übertragung erforderlich die Option Aktiviert aus.

    Menübereich „Speicherkonto“

Erzwingen einer sicheren Übertragung in Code

Wenn Sie programmgesteuert eine sichere Übertragung erzwingen möchten, legen Sie die enableHttpsTrafficOnly-Eigenschaft für das Speicherkonto auf True fest. Sie können diese Eigenschaft mithilfe der Speicherressourcenanbieter-REST-API, Clientbibliotheken oder Tools festlegen:

Erzwingen einer sicheren Übertragung mit PowerShell

Hinweis

Es wird empfohlen, das Azure Az PowerShell-Modul für die Interaktion mit Azure zu verwenden. Informationen zu den ersten Schritten finden Sie unter Installieren von Azure PowerShell. Informationen zum Migrieren zum Az PowerShell-Modul finden Sie unter Migrieren von Azure PowerShell von AzureRM zum Az-Modul.

Für dieses Beispiel ist Az-Version 0.7 des Azure PowerShell-Moduls oder höher erforderlich. Führen Sie Get-Module -ListAvailable Az aus, um die Version zu ermitteln. Wenn Sie eine Installation oder ein Upgrade ausführen müssen, finden Sie unter Install and configure Azure PowerShell (Installieren des Azure PowerShell-Moduls) Informationen dazu.

Führen Sie zum Starten Connect-AzAccount aus, um eine Verbindung mit Azure herzustellen.

Verwenden Sie die folgende Befehlszeile, um die Einstellung zu überprüfen:

Get-AzStorageAccount -Name "{StorageAccountName}" -ResourceGroupName "{ResourceGroupName}"
StorageAccountName     : {StorageAccountName}
Kind                   : Storage
EnableHttpsTrafficOnly : False
...

Verwenden Sie die folgende Befehlszeile, um die Einstellung zu aktivieren:

Set-AzStorageAccount -Name "{StorageAccountName}" -ResourceGroupName "{ResourceGroupName}" -EnableHttpsTrafficOnly $True
StorageAccountName     : {StorageAccountName}
Kind                   : Storage
EnableHttpsTrafficOnly : True
...

Erzwingen einer sicheren Übertragung mit der Azure-Befehlszeilenschnittstelle

Installieren Sie zum Ausführen dieses Beispiels die aktuelle Version der Azure-Befehlszeilenschnittstelle. Führen Sie zum Starten az login aus, um eine Verbindung mit Azure herzustellen.

Beispiele für die Azure-Befehlszeilenschnittstelle sind für die bash-Shell geschrieben. Wenn Sie dieses Beispiel in Windows PowerShell oder an der Eingabeaufforderung ausführen möchten, müssen Sie unter Umständen Elemente des Skripts ändern.

Sollten Sie über kein Azure-Abonnement verfügen, können Sie zunächst ein kostenloses Azure-Konto erstellen.

Verwenden Sie den folgenden Befehl, um die Einstellung zu überprüfen:

az storage account show -g {ResourceGroupName} -n {StorageAccountName}
{
  "name": "{StorageAccountName}",
  "enableHttpsTrafficOnly": false,
  "type": "Microsoft.Storage/storageAccounts"
  ...
}

Verwenden Sie den folgenden Befehl, um die Einstellung zu aktivieren:

az storage account update -g {ResourceGroupName} -n {StorageAccountName} --https-only true
{
  "name": "{StorageAccountName}",
  "enableHttpsTrafficOnly": true,
  "type": "Microsoft.Storage/storageAccounts"
  ...
}

Nächste Schritte

Sicherheitsempfehlungen für Blob Storage