Nastavení standardních hodnot pro účty Azure Storage

  • 5 min

Účet Azure Storage poskytuje jedinečný obor názvů, ve kterém můžete ukládat datové objekty Azure Storage a přistupovat k němu.

Doporučení k zabezpečení účtu služby Azure Storage

Následující části popisují doporučení služby Azure Storage, která jsou ve srovnávacím testu zabezpečení CIS Microsoft Azure Foundations v. 3.0.0. Součástí každého doporučení jsou základní kroky, které je potřeba provést na webu Azure Portal. Tyto kroky byste měli provést pro vlastní předplatné a pomocí vlastních prostředků ověřit každé doporučení zabezpečení. Mějte na paměti, že možnosti na úrovni 2 můžou omezovat některé funkce nebo aktivity, takže pečlivě zvažte, které možnosti zabezpečení budete nakonec vynucovat.

Vyžadování přenosů s rozšířeným zabezpečením – úroveň 1

Toto je krok, který byste měli provést, abyste zajistili, že zabezpečení dat služby Azure Storage je šifrování dat mezi klientem a službou Azure Storage. Prvním doporučením je vždy používat protokol HTTPS. Použití protokolu HTTPS zajišťuje zabezpečenou komunikaci přes veřejný internet. Pokud chcete vynutit použití protokolu HTTPS při volání rozhraní REST API pro přístup k objektům v účtech úložiště, zapněte požadovanou možnost zabezpečeného přenosu pro účet úložiště. Po zapnutí tohoto ovládacího prvku budou připojení, která používají protokol HTTP, odmítnuta. Pro každý účet úložiště ve vašem předplatném proveďte následující kroky.

  1. Přihlaste se k portálu Azure. Vyhledejte a vyberte Účty úložiště.

  2. V podokně Účty úložiště vyberte účet úložiště.

  3. V nabídce vlevo v části Nastavení vyberte Konfigurace.

  4. V podokně Konfigurace se ujistěte, že je vyžadován zabezpečený přenos nastavený na Povoleno.

  5. Pokud změníte jakékoli nastavení, vyberte v řádku nabídek možnost Uložit .

Snímek obrazovky znázorňující nastavení zabezpečeného úložiště pro přenos na webu Azure Portal

Povolení šifrování binárních rozsáhlých objektů (blob) – úroveň 1

Azure Blob Storage je řešení úložiště objektů Microsoftu pro cloud. Blob Storage je optimalizované pro ukládání obrovských objemů nestrukturovaných dat. Nestrukturovaná data jsou data, která nevyhovují konkrétnímu datovému modelu nebo definici. Příklady nestrukturovaných dat zahrnují textová a binární data. Neaktivní uložená data chrání šifrování služby Storage. Azure Storage šifruje vaše data tak, jak jsou napsaná v datových centrech, a při přístupu k datům je automaticky dešifruje.

  1. Přihlaste se k portálu Azure. Vyhledejte a vyberte Účty úložiště.

  2. V podokně Účty úložiště vyberte účet úložiště.

  3. V nabídce vlevo v části Zabezpečení a sítě vyberte Šifrování.

  4. V podokně Šifrování mějte na paměti, že šifrování služby Azure Storage je povolené pro všechny nové a existující účty úložiště a že není možné ho zakázat.

Snímek obrazovky znázorňující automatické povolení šifrování zabezpečeného úložiště

Pravidelné generování nových přístupových klíčů – úroveň 1

Když vytvoříte účet úložiště v Azure, Azure vygeneruje dva 512bitové přístupové klíče úložiště. Tyto klíče se používají k ověřování při přístupu k účtu úložiště. Obměně těchto klíčů pravidelně zajišťuje, že jakýkoli neúmyslný přístup k těmto klíčům nebo k jejich vystavení je omezený časem. Pro každý účet úložiště ve vašem předplatném Azure proveďte následující kroky.

  1. Přihlaste se k portálu Azure. Vyhledejte a vyberte Účty úložiště.

  2. V podokně Účty úložiště vyberte účet úložiště.

  3. V nabídce vlevo vyberte Zabezpečení a sítě a pak vyberte Přístupové klíče.

  4. Zkontrolujte datum poslední obměně pro každý klíč.

    Snímek obrazovky znázorňující datum poslední obměně pro klíče účtu úložiště

    Pokud nepoužíváte Službu Azure Key Vault s obměnou klíčem, můžete výběrem tlačítka Otočit klíč ručně otočit přístupové klíče.

Vyžadovat vypršení platnosti tokenů sdíleného přístupového podpisu do hodiny – úroveň 1

Sdílený přístupový podpis je identifikátor URI, který uděluje omezená přístupová práva k prostředkům Azure Storage. Sdílený přístupový podpis můžete poskytnout klientům, kterým by neměl být váš klíč účtu úložiště důvěryhodný, ale komu chcete delegovat přístup k určitým prostředkům účtu úložiště. V rámci distribuce identifikátoru URI pro sdílený přístupový podpis můžete těmto klientům udělit přístup k danému prostředku na určitou dobu a se stanovenou sadou oprávnění.

Poznámka:

V případě doporučení v srovnávacím testu zabezpečení CIS Microsoft Azure Foundations v. 3.0.0 není možné automaticky ověřit časy vypršení platnosti tokenu sdíleného přístupového podpisu. Doporučení vyžaduje ruční ověření.

Vyžadování sdílení tokenů sdíleného přístupového podpisu pouze přes HTTPS – úroveň 1

Tokeny sdíleného přístupového podpisu by měly být povolené jenom přes protokol HTTPS. Pro každý účet úložiště ve vašem předplatném Azure proveďte následující kroky.

  1. Přihlaste se k portálu Azure. Vyhledejte a vyberte Účty úložiště.

  2. V podokně Účty úložiště vyberte účet úložiště.

  3. V nabídce v části Zabezpečení a sítě vyberte Sdílený přístupový podpis.

  4. V podokně Sdílený přístupový podpis v části Datum a čas zahájení a vypršení platnosti nastavte počáteční a koncové datum a časy.

  5. V části Povolené protokoly vyberte pouze HTTPS.

  6. Pokud změníte jakékoli nastavení, vyberte v dolní části obrazovky tlačítko Generovat SAS a připojovací řetězec.

Snímek obrazovky se sdíleným přístupovým podpisem v nastavení účtu úložiště a povolený pouze protokol HTTPS

Funkce sdíleného přístupového podpisu nakonfigurujte v dalších částech.

Povolení služby Azure Disk Encryption – úroveň 1

Azure Disk Encryption šifruje disky s operačním systémem a datovými disky na virtuálních počítačích IaaS. Šifrování na straně klienta a šifrování na straně serveru (SSE) se používají k šifrování dat ve službě Azure Storage. Pro každý účet úložiště ve vašem předplatném Azure proveďte následující kroky.

  1. Přihlaste se k portálu Azure. Vyhledejte a vyberte Účty úložiště.

  2. V podokně Účty úložiště vyberte účet úložiště.

  3. V nabídce vlevo v části Zabezpečení a sítě vyberte Šifrování.

  4. V podokně Šifrování mějte na paměti, že šifrování služby Azure Storage je povolené pro všechna nová a existující úložiště objektů blob a úložiště souborů a že ho nejde zakázat.

Snímek obrazovky znázorňující automatické povolení šifrování pro všechny objekty blob a soubory v účtech úložiště

Požadavek na výhradně jen privátní přístup ke kontejnerům objektů blob – úroveň 1

Anonymní přístup pro veřejné čtení ke kontejneru a jeho objektům blob můžete povolit ve službě Azure Blob Storage. Zapnutím anonymního a veřejného přístupu pro čtení můžete těmto prostředkům udělit přístup jen pro čtení bez sdílení klíče účtu a bez nutnosti sdíleného přístupového podpisu. Ve výchozím nastavení může ke kontejneru a všem objektům blob v něm přistupovat jenom uživatel, kterému byla udělena příslušná oprávnění. Pokud chcete anonymním uživatelům udělit přístup pro čtení ke kontejneru a jeho objektům blob, můžete nastavit úroveň přístupu kontejneru na veřejnou.

Pokud ale udělíte veřejný přístup ke kontejneru, můžou anonymní uživatelé číst objekty blob v rámci veřejně přístupného kontejneru bez autorizace požadavku. Doporučujeme místo toho nastavit přístup k kontejnerům úložiště na privátní. Pro každý účet úložiště ve vašem předplatném Azure proveďte následující kroky.

  1. Přihlaste se k portálu Azure. Vyhledejte a vyberte Účty úložiště.

  2. V podokně Účty úložiště vyberte účet úložiště.

  3. V nabídce vlevo v části Úložiště dat vyberte Kontejnery.

  4. V podokně Kontejnery se ujistěte, že je úroveň veřejného přístupu nastavená na privátní.

Snímek obrazovky znázorňující kontejner úložiště s úrovní přístupu nastavenou na privátní