Учетная запись хранения с брандмауэром и CDN

В ходе аудита безопасности команда заявила, что в настоящее время моя учетная запись хранения небезопасна, поскольку в ней не включен ни брандмауэр для разрешения определенных IP-адресов, ни настроенная vnet.

Но в моем профиле CDN есть конечная точка для учетной записи хранения. Интересно, как я могу разрешить CDN проходить через брандмауэр? Приложение представляет собой веб-приложение. У кого-нибудь есть предложения по этому поводу?

В настоящее время CDN работает только при включенном Allow Access from All networks.


azure azure-cdn
person John    schedule 04.06.2018    source источник
comment
Чтобы немного уточнить: у вас есть веб-приложение, использующее CDN, основанное на конечной точке хранилища Azure. Ваш вопрос: как установить брандмауэр между CDN и учетной записью хранения? Вы хотите предотвратить прямой публичный доступ к учетной записи хранения?   -  person KWilson    schedule 04.06.2018
comment
@KWilson: Да, именно так. Разрешить только веб-приложению и CDN доступ к учетной записи хранения, заблокировать любой прямой доступ.   -  person John    schedule 04.06.2018

Ответы (1)


arrow_upward
2
arrow_downward

В настоящее время Azure не поддерживает конечные точки службы с ограниченным доступом для учетных записей хранения, используемых веб-приложениями служб приложений (другая история со средами службы приложений ASE). Таким образом, вы не можете блокировать и фильтровать IP-трафик, поступающий в вашу учетную запись хранения, без явной привязки его к виртуальной сети в Azure.

Среды службы приложений - это особый вид конфигурации службы приложений, у которой есть собственная частная виртуальная сеть. Таким образом, вы потенциально можете изучить эту конфигурацию с помощью такого подхода. (Более высокие затраты)

person KWilson    schedule 04.06.2018
comment
Согласитесь с ASE, но это не вариант из-за стоимости. Вопрос в том, как разрешить CDN при ограничении учетной записи хранения брандмауэром / vnet? В разделе Firewalls and virtual networks, если я выберу «Выбранная сеть», CDN немедленно перестанет работать. Также есть возможность проверить Allow trusted Microsoft Services..., не является ли CND частью доверенных служб. - person John; 05.06.2018
comment
@John опция Trusted Microsoft Services предназначена только для некоторых конкретных служб (резервное копирование, сетка событий и т. Д.). Я предполагаю, что проблема, с которой вы сталкиваетесь, заключается в том, что у вас нет диапазонов IP-адресов для подключений, исходящих из CDN. Это так? Если вы используете службу Azure CDN с Verizon, диапазоны опубликованы здесь: msdn.microsoft.com/ библиотека / mt757330.aspx - person KWilson; 05.06.2018