Účty úložiště a zabezpečení
Účty Azure Storage jsou ideální pro úlohy, které vyžadují rychlou a konzistentní dobu odezvy nebo mají vysoký počet operací vstupního výstupu (IOP) za sekundu. Účty úložiště obsahují všechny datové objekty Azure Storage, mezi které patří:
- Objekty blob
- Sdílené složky
- Fronty
- Tabulky
- Disky
Účty úložiště poskytují jedinečný obor názvů pro vaše data, který je přístupný kdekoli přes HTTP
nebo HTTPS
.
Další informace o různých typech účtů úložiště, které podporují různé funkce, najdete v tématu Typy účtů úložiště.
Informace o tom, jak účet úložiště Azure zvyšuje zabezpečení úloh aplikace, najdete v následujících článcích:
- Standardní hodnoty zabezpečení Azure pro Azure Storage
- Šifrování služby Azure Storage pro neaktivní uložená data
- Použití privátních koncových bodů pro Azure Storage
Následující části obsahují aspekty návrhu, kontrolní seznam konfigurace a doporučené možnosti konfigurace specifické pro účty úložiště Azure a zabezpečení.
Na co dát pozor při navrhování
Mezi účty úložiště Azure patří následující aspekty návrhu:
- Názvy účtů úložiště musí mít 3 až 24 znaků a můžou obsahovat jenom číslice a malá písmena.
- Aktuální specifikace smlouvy SLA najdete v referenčních informacích o smlouvě SLA pro účty úložiště.
- Přejděte na stránku Redundance Azure Storage a zjistěte, která možnost redundance je nejvhodnější pro konkrétní scénář.
- Názvy účtů úložiště musí být v rámci Azure jedinečné. Žádné dva účty úložiště nemohou mít stejný název.
Kontrolní seznam
Nakonfigurovali jste účet služby Azure Storage s ohledem na zabezpečení?
- Povolte Azure Defender pro všechny účty úložiště.
- Zapněte obnovitelné odstranění dat objektů blob.
- K autorizaci přístupu k datům objektů blob použijte ID Microsoft Entra.
- Při přiřazování oprávnění Microsoft Entra objektu zabezpečení prostřednictvím Azure RBAC zvažte princip nejnižší úrovně oprávnění.
- Použití spravovaných identit pro přístup k datům objektů blob a front.
- K ukládání důležitých obchodních dat použijte správu verzí objektů blob nebo neměnné objekty blob.
- Omezte výchozí přístup k internetu pro účty úložiště.
- Povolte pravidla brány firewall.
- Omezte síťový přístup na konkrétní sítě.
- Povolte důvěryhodným službám Microsoftu přístup k účtu úložiště.
- U všech účtů úložiště povolte možnost Vyžadovat zabezpečený přenos .
- Omezte tokeny sdíleného přístupového podpisu (SAS) jenom na
HTTPS
připojení. - Vyhněte se autorizaci pomocí sdíleného klíče pro přístup k účtům úložiště.
- Klíče účtu pravidelně vygenerujte.
- Vytvořte plán odvolání a vytvořte ho pro všechny sas, které vydáte klientům.
- Použijte časy blízkého vypršení platnosti u improvizovaného SAS, sdíleného přístupového podpisu služby nebo sdíleného přístupového podpisu účtu.
Doporučení ke konfiguraci
Při konfiguraci účtu služby Azure Storage zvažte následující doporučení pro optimalizaci zabezpečení:
Doporučení | Description |
---|---|
Povolte Azure Defender pro všechny účty úložiště. | Azure Defender pro Azure Storage poskytuje další vrstvu bezpečnostních informací, která detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům úložiště nebo jejich zneužití. Výstrahy zabezpečení se aktivují v Azure Security Center, když dojde k anomáliím v aktivitě. Upozornění se také odesílají e-mailem správcům předplatného s podrobnostmi o podezřelé aktivitě a doporučeními, jak hrozby prošetřit a napravit. Další informace najdete v tématu Konfigurace Azure Defenderu pro Azure Storage. |
Zapněte obnovitelné odstranění dat objektů blob. | Obnovitelné odstranění objektů blob služby Azure Storage umožňuje obnovit data objektů blob po jejich odstranění. |
K autorizaci přístupu k datům objektů blob použijte ID Microsoft Entra. | id Microsoft Entra poskytuje vynikající zabezpečení a snadné použití oproti sdílenému klíči pro autorizaci požadavků do úložiště objektů blob. Pokud je to možné, doporučujeme u aplikací objektů blob a front používat Microsoft Entra autorizaci, abyste minimalizovali potenciální ohrožení zabezpečení související se sdíleným klíčem. Další informace najdete v tématu Autorizace přístupu k objektům blob a frontám Azure pomocí ID Microsoft Entra. |
Při přiřazování oprávnění Microsoft Entra objektu zabezpečení prostřednictvím Azure RBAC zvažte princip nejnižší úrovně oprávnění. | Při přiřazování role uživateli, skupině nebo aplikaci udělte ho objektu zabezpečení jenom ta oprávnění, která jsou potřebná k dokončení svých úkolů. Omezení přístupu k prostředkům pomáhá zabránit neúmyslnému i škodlivému zneužití vašich dat. |
Použití spravovaných identit pro přístup k datům objektů blob a front. | Azure Blob a Queue Storage podporují ověřování Microsoft Entra s využitím spravovaných identit pro prostředky Azure. Spravované identity pro prostředky Azure můžou autorizovat přístup k datům objektů blob a front pomocí Microsoft Entra přihlašovacích údajů z aplikací spuštěných na virtuálních počítačích Azure, aplikací funkcí, škálovacích sad virtuálních počítačů a dalších služeb. Použitím spravovaných identit pro prostředky Azure společně s ověřováním Microsoft Entra se můžete vyhnout ukládání přihlašovacích údajů do aplikací, které běží v cloudu, a problémům s vypršením platnosti instančních objektů. Další informace najdete v tématu Autorizace přístupu k datům objektů blob a front pomocí spravovaných identit pro prostředky Azure . |
K ukládání důležitých obchodních dat použijte správu verzí objektů blob nebo neměnné objekty blob. | Zvažte použití správy verzí objektů blob k údržbě předchozích verzí objektu nebo použití blokování z právních důvodů a zásad uchovávání informací na základě času k ukládání dat objektů blob ve stavu WORM (Write Once, Read Many). Neměnné objekty blob se dají číst, ale během intervalu uchovávání se nedají upravovat ani odstraňovat. Další informace najdete v tématu Ukládání důležitých podnikových dat objektů blob s neměnným úložištěm. |
Omezte výchozí přístup k internetu pro účty úložiště. | Ve výchozím nastavení není síťový přístup k účtům úložiště omezený a je otevřený pro veškerý provoz přicházející z internetu. Přístup k účtům úložiště by měl být udělen pouze konkrétním virtuálním sítím Azure, kdykoli je to možné, nebo pomocí privátních koncových bodů umožnit klientům ve virtuální síti zabezpečený přístup k datům přes Private Link. Další informace najdete v tématu Použití privátních koncových bodů pro Azure Storage . Pro účty úložiště, které musí být přístupné přes internet, je možné vytvořit výjimky. |
Povolte pravidla brány firewall. | Nakonfigurujte pravidla brány firewall tak, aby omezte přístup k vašemu účtu úložiště na požadavky, které pocházejí ze zadaných IP adres nebo rozsahů, nebo ze seznamu podsítí ve virtuální síti Azure Virtual Network. Další informace o konfiguraci pravidel brány firewall najdete v tématu Konfigurace virtuálních sítí a bran firewall služby Azure Storage. |
Omezte síťový přístup na konkrétní sítě. | Omezení síťového přístupu na sítě hostující klienty vyžadující přístup snižuje vystavení vašich prostředků síťovým útokům, a to buď pomocí integrované funkce brány firewall a virtuálních sítí, nebo pomocí privátních koncových bodů. |
Povolte důvěryhodným službám Microsoftu přístup k účtu úložiště. | Zapnutí pravidel brány firewall pro účty úložiště ve výchozím nastavení blokuje příchozí požadavky na data, pokud požadavky nepocházejí ze služby provozované v rámci Virtual Network Azure (VNet) nebo z povolených veřejných IP adres. Mezi blokované požadavky patří požadavky z jiných služeb Azure, z Azure Portal, ze služeb protokolování a metrik atd. Žádosti z jiných služeb Azure můžete povolit přidáním výjimky, která důvěryhodným službám Microsoftu povolí přístup k účtu úložiště. Další informace o přidání výjimky pro důvěryhodné služby Microsoftu najdete v tématu Konfigurace virtuálních sítí a bran firewall služby Azure Storage. |
U všech účtů úložiště povolte možnost Vyžadovat zabezpečený přenos . | Když povolíte možnost Vyžadovat zabezpečený přenos , všechny požadavky provedené vůči účtu úložiště se musí provádět přes zabezpečená připojení. Všechny požadavky provedené přes protokol HTTP selžou. Další informace najdete v tématu Vyžadovat zabezpečený přenos ve službě Azure Storage. |
Omezte tokeny sdíleného přístupového podpisu (SAS) jenom na HTTPS připojení. |
Vyžadování, HTTPS když klient používá token SAS pro přístup k datům objektů blob, pomáhá minimalizovat riziko odposlouchávání. Další informace najdete v tématu Udělení omezeného přístupu k prostředkům Azure Storage pomocí sdílených přístupových podpisů (SAS). |
Vyhněte se autorizaci pomocí sdíleného klíče pro přístup k účtům úložiště. | K autorizaci požadavků do služby Azure Storage a zabránění autorizaci sdíleného klíče se doporučuje použít ID Microsoft Entra. Ve scénářích, které vyžadují autorizaci sdíleného klíče, vždy upřednostňujte tokeny SAS před distribucí sdíleného klíče. |
Klíče účtu pravidelně vygenerujte. | Obměně klíčů účtu pravidelně snižuje riziko zveřejnění dat pro aktéry se zlými úmysly. |
Vytvořte plán odvolání a vytvořte ho pro všechny sas, které vydáte klientům. | Pokud dojde k ohrožení sdíleného přístupového podpisu, budete ho chtít okamžitě odvolat. Pokud chcete odvolat SAS delegování uživatele, odvoláte klíč delegování uživatele, abyste rychle zrušili platnost všech podpisů přidružených k danému klíči. Pokud chcete odvolat SDÍLENÝ přístupový podpis služby přidružený k uloženým zásadám přístupu, můžete uložené zásady přístupu odstranit, přejmenovat zásadu nebo změnit čas vypršení platnosti na čas, který je v minulosti. |
U improvizovaného SAS, SAS služby nebo sas účtu použijte blízké vypršení platnosti. | Pokud dojde k ohrožení sdíleného přístupového podpisu, je platný jenom na krátkou dobu. Tento postup je zvlášť důležitý, pokud nemůžete odkazovat na uložené zásady přístupu. Brzká doba vypršení platnosti také omezuje množství dat, která se dají zapsat do objektu blob, tím, že omezí dobu dostupnou k nahrání do objektu blob. Klienti by měli sas prodloužit před vypršením platnosti, aby měli čas na opakování, pokud služba poskytující SAS není dostupná. |