带有防火墙和 CDN 的存储帐户答案

【问题标题】：Storage account with Firewall and CDN带有防火墙和 CDN 的存储帐户
【发布时间】：2018-11-13 18:15:33
【问题描述】：

在安全审核中，团队表示目前我的存储帐户不安全，因为它既没有启用防火墙以允许特定 IP，也没有配置 vnet。

但我的 CDN 配置文件具有存储帐户的端点。我想知道如何让 CDN 通过防火墙。该应用程序是一个 Web 应用程序。有人对此有什么建议吗？

目前 CDN 仅在启用Allow Access from All networks 时工作。

【问题讨论】：

澄清一点：您有一个使用基于 Azure 存储端点的 CDN 的 Web 应用程序。您的问题是：如何在 CDN 和存储帐户之间引入防火墙？您是否希望阻止对存储帐户的任何直接公开访问？
@KWilson ：是的，完全正确。仅允许 Web 应用和 CDN 访问存储帐户，阻止任何直接访问。

【解决方案1】：

Azure 目前不支持应用服务 Web 应用正在使用的存储帐户的受限服务端点（与应用服务环境 ASE 不同）。因此，基本上您无法阻止和 IP 过滤进入您的存储帐户的流量，除非将其与 Azure 中的 VNet 显式关联。

应用服务环境是一种特殊的应用服务配置，具有您自己的专用 VNet。因此，您可能会使用该方法探索此配置。（更高的成本）

【讨论】：

同意 ASE，但由于成本原因，这不是一个选项。问题是如何在将存储帐户限制为防火墙/vnet 时允许 CDN？在Firewalls and virtual networks 下，如果我选择 Selected network，CDN 将立即停止工作。还有一个选项可以检查Allow trusted Microsoft Services...，并且 CND 不是受信任服务的一部分。
@John 受信任的 Microsoft 服务选项仅适用于某些特定服务（备份、事件网格等）。我猜您遇到的问题是您没有 IP 地址范围对于来自 CDN 的连接。对吗？如果您在 Verizon 中使用 Azure CDN 服务，则在此处发布范围：msdn.microsoft.com/library/mt757330.aspx