Azure：限制ARM PaaS服务对某些存储帐户的访问

Question

我有一个Azure相关的安全问题，我真的可以对一些关于可能的艺术方面的指导进行操作。

我想知道是否有可能通过PaaS服务（如服务结构或Web应用程序（ASE））限制可以调用哪些服务（即可以使用哪些存储帐户端点来写入数据）。即，如果我有一个Web应用程序写入存储并且有人恶意更改代码以写入Azure上的第三方存储帐户;这是我可以通过说这个应用程序（即这个Web应用程序或这个SF群集）只能与一组特定的存储帐户或特定数据库进行交谈来缓解的事情。因此，即使代码改变为与另一个存储帐户通信，也无法这样做。我可以明确定义应用程序可以与哪些存储项目交谈的环境的一部分;这是可能的吗？

Answer 1

Azure存储帐户具有访问密钥和共享访问密钥，用于对REST调用进行身份验证以向其读取/写入数据。您的应用程序将能够针对Azure存储帐户执行读取/写入操作，因为它具有访问密钥和连接字符串，用于连接它。

无法在Azure App Service应用程序上设置任何类型的防火墙规则，以防止它与某些Internet或Azure端点进行通信。您可以使用App Service环境设置NSG防火墙规则，但您仍然只能打开或关闭访问权限;不限制某些DNS名称或IP地址。

Answer 2

也许你应该寻找一个缓解在道路应用中，这种威胁的部署，连接字符串管理和代码部署：

• 使用Azure的基于角色的访问控制来限制访问在Azure中的资源，因此未经授权的人无法修改部署
• 使用安全的方式管理您的源代码。请记住，它不在PaaS服务上，因为它只包含二进制文件。
• 使用SAS令牌访问存储帐户的应用程序，而不是完整的访问密钥。例如，可以给一个SAS密钥写入权限，而不是读取或列出对存储帐户的访问权限。
• 如果作为开发人员不信任管理应用程序部署的人员，则甚至可以考虑签署应用程序参数/连接字符串。这只能防止篡改，而不是提取连接字符串。