用于漏洞评估的 Azure 存储帐户防火墙权限

Posted 2023-03-28

【中文标题】用于漏洞评估的 Azure 存储帐户防火墙权限

【英文标题】：Azure Storage Account Firewall Permissions for Vulnerability Assessment

【发布时间】：2021-10-29 11:10:29

【问题描述】：

我创建了一个存储帐户，用于在 Azure SQL 数据库上存储 Azure 漏洞评估的结果。

如果存储帐户上的防火墙被禁用，允许从所有网络访问，Azure 漏洞扫描将按预期工作。

如果启用了防火墙，SQL 数据库上的 Azure 漏洞扫描会报告错误，指出存储帐户无效或不存在。

选中“允许受信任服务列表中的 Azure 服务访问此存储帐户”复选框。在存储帐户的网络属性中无法解决此问题，但这是此处文档中的推荐步骤：https://docs.microsoft.com/en-us/azure/azure-sql/database/sql-database-vulnerability-assessment-storage

Allow Azure Services

除了禁用防火墙之外，还有哪些其他步骤可以解决此问题？

【问题讨论】：

您好@.JeffStoker，请问您是否已按照您提供的文档的第4步进行操作，即在防火墙中添加sql托管实例使用的子网以允许连接？ docs.microsoft.com/en-us/azure/azure-sql/database/…

【参考方案1】：

您必须添加 SQL 托管实例正在使用的子网和 vnet，如您所关注的文档中所述。您可以参考以下截图：

如上图所示启用服务端点状态后，单击添加。添加 vnet 后，它应该如下所示：

完成后，点击保存即可解决问题。

参考：

Store Vulnerability Assessment scan results in a storage account accessible behind firewalls and VNets - Azure SQL Database | Microsoft Docs

【讨论】：

感谢您的回答。我已经取得了一些进展，不是用这个确切的解决方案，而是用类似的东西。我还需要在 SQL Server 网络端添加一个现有的虚拟网络，因为服务端点已经在存储帐户端启用。这至少使我能够转移到需要授予 RBAC 权限的地步。感谢您朝着正确的方向推动。