マイクロソフトのクラウドアカウント購入チャネル: Azure Blobストレージレベル管理と盗難防止チェーンのセキュリティ構成

モバイルインターネットとビッグデータの時代には、ほとんどのチームが大量の非構造化データの保存問題に直面しています。ユーザーのアバター、音声ビデオ、企業内の契約PDF、システムログは、数百TBからPBまでのレベルである。

これらの書類を伝統的なサーバーのハードディスクに詰め込むと、拡張に時間がかかるだけでなく、毎月の請求書もあなたの肉を痛めることができる。このとき、

Azure Blob Storage (マイクロソフトクラウドオブジェクトストレージ)

絶対的な標準になりました。

しかし、多くの初心者がBlobストレージを使っているとき、多くの場合、すべてのものを捨ててしまう。これは、次の2つの重大な結果をもたらします

第一に、高周波アクセスのアバターでも、数年見ていないログでも、同じ種類の高い単価で課金する (財布の大出血) 第二に、ファイルリンクが公開された後、悪意を持ってトラフィックを盗まれ一夜にして巨額の請求書が発生する。

今日のこのチュートリアルでは、次の2つのことがあります

階層ライフサイクル管理 (コスト節約) とSAS盗難防止チェーンの安全配置 (安心)。

一、第一段階: Blobの3つのストレージレベル (Access Tiers) を整理する

Azure Blobが安価なのは、ファイルの「アクセス頻度」に基づいて異なるストレージコストを選択できるからです。それは服の収納のように、3つの引き出しに分かれています:

ホットストレージ層 (Hot): 高周波アクセスのデータに適しています。例えば、ヒットしているビデオ、ユーザーがアップロードしたばかりのアバター。それは最も高い保管単価を持っていますが、ファイルを読むための手数料はほとんどゼロです。

コールドストレージ層 (Cool): 低周波アクセス (例えば、30日に1回以下) に適していますが、すぐに読み取る必要があるデータです。例えば、先月の請求書、短期バックアップ。保管単価は明らかに下がっていますが、読み取り時には「出庫料」が少しかかります。

アーカイブ・ストレージ層: アクセスがほとんどなく (数ヶ月または数年に1回) 、数時間の遅延が可能なデッド・データに適しています。例えば、コンプライアンス監査ログ、履歴医療画像。その保管価格は無視できるほど安いが、書類を出すには (再水化/reソルダート) 、数時間の解凍時間を待つ必要がある。

二、実戦演習: 「ライフサイクル管理」で無人自動節約を実現する

何千ものファイルのレベルを手動で切り替えるには、夜が明けるまで残業しなければならない。Azureが提供しました

ライフサイクル管理

機能は、ルールを設定するだけで、残りはシステムに自動的に実行されます。

1.シーンターゲットの設定

私たちにはシステムログファイルがあります。生成したばかりの7日間で開発者は頻繁に見る必要があります。7日後、ほとんど誰も見ていませんが、準備が必要です。180日後に完全にコンプライアンスの死んだデータになって、削除するには7年も残さなければならない。

2.構成手順

ログインAzu

Reポータル、ストレージアカウントにアクセスします。

左側のメニューバーで「ライフサイクル管理」-> 「ルールを追加」を見つけてクリックします。

基本情報: ルールに名前を付ける。ルール範囲は「フィルタを使用してルールを制限する」を選択します (これはログフォルダに対してのみ有効で、他のデータを傷つけないようにします)。

ルールセット構成 (IF/THENロジック): 手順1 (コールドストレージに移行): Base blobが最後に変更された場合 (日) -> 入力7。操作 -> コールドストレージに移動します。ステップ2 (アーカイブに移行): 条件の追加をクリックします。Base blobが最後に変更された場合 (日) -> 180と入力します。操作 -> アーカイブ・ストレージに移動します。手順3 (自動削除): Base blobが最後に変更された場合 (日) -> 2555(7年) と入力します。その後、操作を実行します。

フィルタセット (Filter set): プレフィックスマッチにログ/などのフォルダパスを入力します。これは、このルールがlogsフォルダの下のファイルに対してのみ有効であることを意味します。

保存をクリックします。今、あなたのストレージアカウントには「財務の家令」が内蔵されていて、毎日自動的に古い書類を安い引き出しに移して、期限が切れて自動的に粉々になって、請求書の曲線が瞬時に滑らかになっています。

三、第二段階: 安全防御線を引く ―― なぜ絶対に「公共訪問」を使えないのか?

多くの初心者は先端が直接使えるようにするために

<Img src = "...">

ラベルは画像を展示します。図は直接にブロブコンテナのアクセスレベルをに設定します。

「パブリック」

。

これはあなたの家の倉庫のドアを直接インターネットに開放することに相当します。誰もがこのURLを手に入れて、狂ったようにダウンロードを呼び出したり、マルチスレッド爬虫類であなたのファイルを全部スリリングしたりすることができます。

データのプライバシーを漏らしただけでなく、突発的な下りトラフィック (Egress) で天文学的な数字のような支払い請求書を受け取ることもあります。

本番環境のベストプラクティス: コンテナは常に「プライベート」のままで、SAS (共有アクセス署名) だけで一時的に制御されたアクセスを提供します。

四、コア防護: SAS (共有アクセス署名) 盗難防止チェーンを配置する

SAS(Shared Access Signature)

の原理は、もともとプライベートなファイルURLの後に、暗号化された暗号化トークン (Token) を追加することである。このトークンは

誰がどの時間帯に、どの権限で、どのIPでこのファイルにアクセスできるか。

元のプライベートリンク: htps:// m

Ystorage.blob.core.windows.net/media/cat.jpg (ダイレクトアクセス404/403)

▼ SASトークンを加算すると

盗難防止チェーンリンク: https://mystorage.blob.core.windows.net/media/cat.jpg?sv=2021-08-06&ss=b&srt=o&sp=r&se=2026-06-05T08:00:00z & sip = 00.113 & sig = xxxx… は...

▲ ▲ ▲

(有効期限)

1.実戦: セキュリティ制限付きのSASトークンを生成する

バックグラウンドコードでこのような盗難防止チェーンリンクを動的に生成するか、手動で一時的に顧客に生成する場合は、Azureポータルで次のように構成できます

対応するBlobコンテナに入り、プライベートファイルをチェックし、「SASを生成」タブをクリックします。

アクセス権 (Permissions): 「読み取り (Read) 」のみにチェックを入れます。ファイルが悪意のある改ざんされないように、書き込みや削除の権限を与えないでください。

有効期間 (Expiry): ごく短い有効期限を設定します。Webページに画像を展示したり、添付ファイルをダウンロードしたりする場合は、15分から1時間で十分です。この時点を超えると、リンクは自動的に無効になります。

許可されたIPアドレス: * 高セキュリティシーン (盗難防止チェーン): フロントエンドサーバのパブリックネットワークIPまたはユーザー固有の輸出IPを入力します。このように、他の人がこのSAS付きのリンクをマイクロレター群の他の人にコピーしても、他の人は

IPが合わなくて、全然開けられません。

許可されたプロトコル: 「HTTPSのみ」を強制的にロックします。

「SASトークンとURLを生成する」をクリックすると、長い接続が得られます。それを配布して、安全で安心です。

2.アーキテクチャの高度化: バックエンドで動的にSASプロセスを生成する

真の全自動システムでは、フロントエンドユーザーがwebページにアクセスする際のロジックは次のようになるはずです

ユーザーはあなたのAppにログインして、プライバシー請求書の表示を要求します。

Java/Python/Node.jsサービスなどのビジネスバックエンドが要求を受けて、ユーザーが実際に表示する権限を持っていることを確認します。

バックエンドはAzure SDKを呼び出し、有効期間が5分で読み取り専用のSAS URLをメモリに動的に生成します。

バックエンドはこの一時的なURLをフロントエンドに返し、フロントエンドはブラウザを通じて5分以内に安全なロードを完了します。

5分後、このリンクはインターネット上で古紙になり、ハッカーが二次伝播に持って行っても役に立たない。

五、ピットと高級盗難防止チェーンパッチ: Azure CDNと結合する

SASは鑑権と時効問題を完璧に解決できるが、もしあなたの書類が世界の大規模なユーザーに向けて放送される公開ビデオであれば (ユーザーIPを制限してはならない) SASだけでは依然として高合併で狂ったトラフィックを印刷される可能性がある。

このときの究極の枠組みは

ブロブストレージをプライベートに設定し、前にAzure CDN (コンテンツ配信ネットワーク) またはAzure frontdoorをブロックします。

CDNキャッシュの減圧: ユーザーの重複要求はCDNエッジノードで直接ヒットし、トラフィックはBlobに戻らず、費用は90% 急落した。

CDNドメイン名盗難防止チェーン (Referer制限): CDN層で「推薦期間検査」をオンにして、あなたの自宅のwebサイトドメイン名 ( https://www.mywebsite.com など) からの要求だけが通過できることを規定しています直接最外線で不正な盗難者の外リンク引用を絞殺する。

まとめ

大量のファイル管理は「投げ込む」ほど簡単ではない。

ライフサイクル管理を利用して、データに「新陳代謝」を覚えさせ、高価な熱記憶をコア業務に残し、陳年の古い帳簿を氷封のアーカイブ層に落とし、最も優雅な姿勢でお金を節約する。

私有容器 + 動的短時間SASトークンを利用して、すべての書類に時限爆弾付きの専用鍵をつけて、悪意のある盗難に流された悪夢に完全に別れを告げた。

この2つの構成をシステム設計に組み込むことで、クラウド・ストレージ・アーキテクチャは本当に明敏でタフであることができる。