用于漏洞评估的 Azure 存储帐户防火墙权限

Posted

技术标签:

【中文标题】用于漏洞评估的 Azure 存储帐户防火墙权限【英文标题】:Azure Storage Account Firewall Permissions for Vulnerability Assessment 【发布时间】:2021-10-29 11:10:29 【问题描述】:

我创建了一个存储帐户,用于在 Azure SQL 数据库上存储 Azure 漏洞评估的结果。

如果存储帐户上的防火墙被禁用,允许从所有网络访问,Azure 漏洞扫描将按预期工作。

如果启用了防火墙,SQL 数据库上的 Azure 漏洞扫描会报告错误,指出存储帐户无效或不存在。

选中“允许受信任服务列表中的 Azure 服务访问此存储帐户”复选框。在存储帐户的网络属性中无法解决此问题,但这是此处文档中的推荐步骤:https://docs.microsoft.com/en-us/azure/azure-sql/database/sql-database-vulnerability-assessment-storage

Allow Azure Services

除了禁用防火墙之外,还有哪些其他步骤可以解决此问题?

【问题讨论】:

您好@.JeffStoker,请问您是否已按照您提供的文档的第4步进行操作,即在防火墙中添加sql托管实例使用的子网以允许连接? docs.microsoft.com/en-us/azure/azure-sql/database/… 【参考方案1】:

您必须添加 SQL 托管实例正在使用的子网和 vnet,如您所关注的文档中所述。您可以参考以下截图:

如上图所示启用服务端点状态后,单击添加。添加 vnet 后,它应该如下所示:

完成后,点击保存即可解决问题。

参考:

Store Vulnerability Assessment scan results in a storage account accessible behind firewalls and VNets - Azure SQL Database | Microsoft Docs

【讨论】:

感谢您的回答。我已经取得了一些进展,不是用这个确切的解决方案,而是用类似的东西。我还需要在 SQL Server 网络端添加一个现有的虚拟网络,因为服务端点已经在存储帐户端启用。这至少使我能够转移到需要授予 RBAC 权限的地步。感谢您朝着正确的方向推动。

以上是关于用于漏洞评估的 Azure 存储帐户防火墙权限的主要内容,如果未能解决你的问题,请参考以下文章

如何监视对 Azure 存储帐户防火墙规则所做的更改并发出警报

Azure 存储帐户防火墙规则适用于表但会破坏 blob 存储

从 Azure Function App 访问带有防火墙的 Azure Blob 存储

Azure Databricks:访问防火墙后面的 Blob 存储

从 webapp (azure) 访问 blob 存储

创建 Azure 存储 Blob 容器时出现错误 403(已启用存储防火墙