Score:0

Server

บล็อกการเข้าถึงโดยตรงไปยังเว็บไซต์คงที่บน Azure Blob Storage และอนุญาตเฉพาะ Azure Front Door

BlackMiracle

1/1/23 14:44

ฉันมีเว็บแอป SPA ที่ปรับใช้บน Azure Blob Storage ซึ่ง URL เป็นสาธารณะ เช่น. https://example.z23.web.core.windows.net/

ฉันต้องการใช้ Azure Front Door กับ WAF เพื่อเพิ่มความปลอดภัย มีวิธีบล็อกการเข้าถึงโดยตรงที่ blob URL หรือไม่ ฉัน googled และพบคำตอบมากมาย หนึ่งในนั้นคือการอนุญาตเท่านั้น AzureFrontDoor.Backend IPs ที่การกำหนดค่าเครือข่ายบัญชีที่เก็บข้อมูล ฉันลองแล้วได้ผล

อย่างไรก็ตาม วิธีนี้ยังมีช่องโหว่เนื่องจากทุกคนสามารถสร้าง Front Door และชี้ไปที่ blob URL ของฉันได้ (หากบังเอิญพบเข้า)

(อาจฟังดูงี่เง่า): ถ้าฉันใช้วิธีนี้ต่อไปและตั้งชื่อบัญชีที่เก็บข้อมูลของฉันแบบสุ่ม เช่น ใช้ GUID แบบสุ่มที่ตัดแต่งลง (https://6c4a89d5dba04b8fbe1ed7f.z23.web.core.windows.net/) สิ่งนี้จะลดความเป็นไปได้ที่ผู้อื่นอาจค้นพบ URL ของฉันและเลี่ยงการรักษาความปลอดภัยได้หรือไม่

อีกหนึ่งวิธีที่ อาซัวร์แนะนำ คือการตรวจสอบ X-Azure-FDID ส่วนหัวที่มี ID ของอินสแตนซ์ Front Door เฉพาะของฉัน และปล่อยคำขอที่ไม่มีส่วนหัวนี้ ฉันถามนักพัฒนาของฉันว่าเป็นไปได้ไหมบน Vue webapp และเขาบอกว่าเราจะต้องรวม Front Door ID ไว้ในโค้ดที่ทำงานบนฝั่งไคลเอ็นต์ ดังนั้นการเปิดเผย ID ต่อสาธารณะ (นี่ไม่ใช่ Stack Overflow แต่ถ้ามีใครแนะนำอะไรเกี่ยวกับสิ่งนี้ได้ก็จะดีมาก)

อีกวิธีหนึ่งที่ฉันพบคือการใช้ Azure Front Door Premium SKU ซึ่ง รองรับ เชื่อมต่อกับบัญชีที่เก็บข้อมูลโดยใช้ลิงก์ส่วนตัว มันสมบูรณ์แบบ แต่มีค่าใช้จ่ายมากถึง 165 เหรียญต่อเดือน ฉันต้องการใช้โค้ดของฉันใน App Service แทน เนื่องจากสามารถจำกัดการเข้าถึงจาก Front Door เท่านั้น

ทุกคนสามารถแนะนำวิธีการใด ๆ ในการบรรลุเป้าหมายนี้ได้หรือไม่?

ขอบคุณ.

425

1 + 0

เครือข่ายสีฟ้า

การจัดเก็บสีฟ้า

Score:0

Server

Sam Cogan

1/1/23 15:13

การตรวจสอบส่วนหัว X-Azure-FDID ร่วมกับการจำกัด IP เป็นวิธีเดียวที่จะล็อกสิ่งนี้โดยไม่ต้องลงเส้นทางลิงก์ส่วนตัว ดังนั้นคุณจะต้องได้รับรหัสแอปพลิเคชันของคุณเพื่อตรวจสอบความถูกต้อง เนื่องจากคุณไม่มีสิ่งอื่นใดระหว่าง FD และบัญชีพื้นที่เก็บข้อมูล

แม้ว่าการมีสิ่งนี้ในโค้ดฝั่งไคลเอ็นต์ของคุณจะเป็นการเปิดเผย ID แต่ก็ไม่สำคัญ ข้อจำกัด IP หมายความว่าคุณอนุญาตการรับส่งข้อมูลจากอินสแตนซ์ Front Door เท่านั้น และไม่มีทางที่ผู้โจมตีจะตั้งค่า ID นั้นบนอินสแตนซ์ FD อื่น

0 + 6

BlackMiracle

1/1/23 15:34

ขอบคุณสำหรับการตอบกลับของคุณ. นั่นฟังดูถูกต้อง คุณพูดถึง: "เนื่องจากคุณไม่มีสิ่งอื่นใดระหว่าง FD และบัญชีที่เก็บข้อมูล" มีอะไรอีกบ้างที่ฉันสามารถเพิ่มเพื่อให้บรรลุเป้าหมายนี้โดยไม่ต้องแก้ไขโค้ด แค่สงสัย

ตอบกลับ

Sam Cogan

1/1/23 15:38

ไม่ใช่ว่าจะไม่เพิ่มค่าใช้จ่ายที่สำคัญ คุณสามารถดูแอพพลิเคชันเกตเวย์แทน Front Door ได้ แต่นั่นไม่ใช่ราคาถูก คุณยังสามารถเรียกใช้แอพของคุณบนบริการแอพหรือคลัสเตอร์ AKS และเพิ่มบริการเพิ่มเติมข้างหน้าได้ แต่ก็เพิ่มค่าใช้จ่ายอีกครั้ง

ตอบกลับ

Anthony Chu

2/1/23 01:40

ฉันไม่เชื่อว่าคุณจะเข้าถึงส่วนหัวคำขอ http ใน JavaScript ฝั่งไคลเอ็นต์ได้ ฉันคิดว่าการตั้งชื่อบัญชีที่เก็บข้อมูลของคุณด้วยชื่อที่เดายากเป็นทางออกที่ดีที่สุดของคุณ

ตอบกลับ

Anthony Chu

2/1/23 01:45

ฉันไม่แน่ใจว่า Storage มีแผนจะเพิ่มฟังก์ชันที่คล้ายกันหรือไม่ แต่ฉันอยู่ในทีม Static Web Apps และเรากำลังทำงานเพื่อรองรับสถานการณ์นี้ รวมถึงความสามารถในการล็อคแอปด้วยแท็กบริการและเพื่อจำกัด เข้าถึงส่วนหัว x-azure-fdid เฉพาะ ซึ่งน่าจะใช้ได้ในเดือนหรือสองเดือนหน้า

ตอบกลับ

BlackMiracle

2/1/23 20:46

@AnthonyChu ว้าว เป็นข่าวดีที่ได้ยินจากทีมผลิตภัณฑ์ว่าฟีเจอร์นี้กำลังดำเนินการอยู่ คุณช่วยแชร์วิธีที่ลูกค้าจะทราบได้เมื่อมีให้บริการ เราตรวจสอบที่หน้า [Azure Update](https://azure.microsoft.com/en-us/updates/) ได้ไหม

ตอบกลับ

Anthony Chu

2/1/23 21:09

ใช่ เราควรมีการประกาศ Azure Update เกี่ยวกับเรื่องนี้ แม้ว่าอาจมีข้อความบางอย่างเช่น ข้อจำกัดเครือข่ายและแท็กบริการ หรืออะไรทำนองนั้น นอกจากนี้ ฉันต้องการทำให้ชัดเจนว่าสิ่งนี้มีไว้สำหรับ Azure Static Web Apps ซึ่งเป็นผลิตภัณฑ์ที่แยกต่างหากจากคุณลักษณะการโฮสต์เว็บไซต์แบบคงที่ใน Azure Storage ฉันคิดว่าเป็นเรื่องปกติที่จะอยู่ใน Storage และใช้ชื่อบัญชีที่คาดเดาไม่ได้ ปกติแล้วไม่ใช่เรื่องใหญ่เรื่องความปลอดภัยที่จะทำเช่นนั้น ส่วนใหญ่คุณต้องการป้องกันไม่ให้ Google จัดทำดัชนีและอะไรทำนองนั้น

ตอบกลับ

Kulap

คำถามนี้เป็นภาษาอื่นๆ:

EN: Blocking direct access to static website on Azure Blob Storage and allow only Azure Front Door

TH: บล็อกการเข้าถึงโดยตรงไปยังเว็บไซต์คงที่บน Azure Blob Storage และอนุญาตเฉพาะ Azure Front Door

RO: Blocarea accesului direct la site-ul web static pe Azure Blob Storage și permiteți numai Azure Front Door

RU: Блокировка прямого доступа к статическому веб-сайту в хранилище BLOB-объектов Azure и разрешение только передней дверцы Azure.

VI: Chặn truy cập trực tiếp vào trang web tĩnh trên Azure Blob Storage và chỉ cho phép Azure Front Door

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา