Kräv säker överföring för att säkerställa säkra anslutningar

Du kan konfigurera lagringskontot så att det endast accepterar begäranden från säkra anslutningar genom att ange egenskapen Säker överföring som krävs för lagringskontot. När du behöver säker överföring avvisas alla begäranden som kommer från en osäker anslutning. Microsoft rekommenderar att du alltid behöver säker överföring för alla dina lagringskonton, såvida du inte använder NFS Azure-filresurser. Egenskapen Säker överföring som krävs måste inaktiveras för att NFS Azure-filresurser ska fungera.

När säker överföring krävs måste ett anrop till en REST API-åtgärd för Azure Storage göras via HTTPS. Alla begäranden som görs via HTTP avvisas. Som standard aktiveras egenskapen Säker överföring som krävs när du skapar ett lagringskonto.

Azure Policy tillhandahåller en inbyggd princip för att säkerställa att säker överföring krävs för dina lagringskonton. Mer information finns i avsnittet Lagring i inbyggda principdefinitioner i Azure Policy.

Det går inte att ansluta till en Azure-filresurs via SMB utan kryptering när säker överföring krävs för lagringskontot. Exempel på osäkra anslutningar är sådana som görs via SMB 2.1 eller SMB 3.x utan kryptering.

Kommentar

Eftersom Azure Storage inte stöder HTTPS för anpassade domännamn tillämpas inte det här alternativet när du använder ett anpassat domännamn.

Den här inställningen för säker överföring gäller inte för TCP. Anslutningar via NFS 3.0-protokollstöd i Azure Blob Storage med TCP, som inte är skyddad, kommer att lyckas.

Kräv säker överföring i Azure-portalen

Du kan aktivera egenskapen Säker överföring som krävs när du skapar ett lagringskonto i Azure-portalen. Du kan också aktivera den för befintliga lagringskonton.

Kräv säker överföring för ett nytt lagringskonto

  1. Öppna fönstret Skapa lagringskonto i Azure-portalen.

  2. På sidan Avancerat väljer du kryssrutan Aktivera säker överföring .

    Bladet Skapa lagringskonto

Kräv säker överföring för ett befintligt lagringskonto

  1. Välj ett befintligt lagringskonto i Azure-portalen.

  2. I menyfönstret för lagringskonto går du till Inställningar och väljer Konfiguration.

  3. Under Säker överföring krävs väljer du Aktiverad.

    Menyfönstret Lagringskonto

Kräv säker överföring från kod

Om du vill kräva säker överföring programmatiskt anger du egenskapen enableHttpsTrafficOnly till True på lagringskontot. Du kan ange den här egenskapen med hjälp av REST-API:et för lagringsresursprovidern, klientbibliotek eller verktyg:

Kräv säker överföring med PowerShell

Kommentar

Vi rekommenderar att du använder Azure Az PowerShell-modulen för att interagera med Azure. Information om hur du kommer igång finns i Installera Azure PowerShell. Information om hur du migrerar till Az PowerShell-modulen finns i artikeln om att migrera Azure PowerShell från AzureRM till Az.

Det här exemplet kräver Azure PowerShell-modulen Az version 0.7 eller senare. Kör Get-Module -ListAvailable Az för att hitta versionen. Om du behöver installera eller uppgradera kan du läsa Install Azure PowerShell module (Installera Azure PowerShell-modul).

Kör Connect-AzAccount för att skapa en anslutning med Azure.

Använd följande kommandorad för att kontrollera inställningen:

Get-AzStorageAccount -Name "{StorageAccountName}" -ResourceGroupName "{ResourceGroupName}"
StorageAccountName     : {StorageAccountName}
Kind                   : Storage
EnableHttpsTrafficOnly : False
...

Använd följande kommandorad för att aktivera inställningen:

Set-AzStorageAccount -Name "{StorageAccountName}" -ResourceGroupName "{ResourceGroupName}" -EnableHttpsTrafficOnly $True
StorageAccountName     : {StorageAccountName}
Kind                   : Storage
EnableHttpsTrafficOnly : True
...

Kräv säker överföring med Azure CLI

Om du vill köra det här exemplet installerar du den senaste versionen av Azure CLI. Börja genom att köra az login för att upprätta en anslutning med Azure.

Exempel för Azure CLI skrivs för bash gränssnittet. Om du vill köra det här exemplet i Windows PowerShell eller kommandotolken kan du behöva ändra element i skriptet.

Om du inte har en Azure-prenumeration skapar du ett kostnadsfritt Azure-konto innan du börjar.

Använd följande kommando för att kontrollera inställningen:

az storage account show -g {ResourceGroupName} -n {StorageAccountName}
{
  "name": "{StorageAccountName}",
  "enableHttpsTrafficOnly": false,
  "type": "Microsoft.Storage/storageAccounts"
  ...
}

Använd följande kommando för att aktivera inställningen:

az storage account update -g {ResourceGroupName} -n {StorageAccountName} --https-only true
{
  "name": "{StorageAccountName}",
  "enableHttpsTrafficOnly": true,
  "type": "Microsoft.Storage/storageAccounts"
  ...
}

Nästa steg

Säkerhetsrekommendationer för Blob Storage