Prozkoumání funkcí zabezpečení služby Azure Storage
Contoso se zcela spoléhá na velké objemy dat ve službě Azure Storage. V mnoha aplikacích tato společnost spoléhá na objekty blob, nestrukturované úložiště tabulek, Azure Data Lake a sdílené složky založené na protokolu SMB (Server Message Block).
Poté, co u jednoho konkurenta došlo k porušení zabezpečení dat, dostal správce sítě ve společnosti Contoso za úkol zkontrolovat zabezpečení dat společnosti. Jako datový konzultant společnosti Contoso ujistíte správce sítě, že účty Azure Storage pro data v cloudu poskytují několik výhod zabezpečení na vysoké úrovni:
- Ochrana neaktivních uložených dat
- Ochrana dat během přenosu
- Podpora mezidoménového přístupu z prohlížeče
- Řízení, kdo má přístup k datům
- Auditování přístupu k úložišti
Šifrování neaktivních uložených dat
Všechna data zapsaná do služby Azure Storage se automaticky šifrují pomocí funkce Šifrování služby Storage (SSE) a 256bitového šifrování AES (Advanced Encryption Standard) a odpovídají specifikaci FIPS 140-2. SSE automaticky šifruje data při zápisu do služby Azure Storage. Při čtení dat ze služby Azure Storage je tato služba před jejich vrácením dešifruje. Za toto zpracování se neúčtují žádné další poplatky a nedochází k degradaci výkonu. Tuto funkci nelze zakázat.
Pro virtuální počítače Azure poskytuje možnost šifrování virtuálních pevných disků (VHD) pomocí služby Azure Disk Encryption. Toto šifrování používá BitLocker pro image Windows a používá dm-crypt pro Linux.
Klíče se automaticky ukládají do služby Azure Key Vault, která pomáhá řídit a spravovat klíče a tajné kódy pro šifrování disků. Takže i když někdo získá přístup k imagi virtuálního pevného disku a stáhne si ji, nebude mít přístup k datům, které se na tomto virtuálním pevném disku nacházejí.
Šifrování během přenosu
Povolením zabezpečení na úrovni přenosu mezi Azure a klientem zajistíte, že data budou zabezpečená. K zajištění zabezpečené komunikace přes veřejný internet používejte vždy protokol HTTPS. Při volání rozhraní REST API pro přístup k objektům v účtech úložiště můžete vynutit použití protokolu HTTPS tím, že pro účet úložiště budete vyžadovat zabezpečený přenos. Po nastavení vyžadování zabezpečeného přenosu budou připojení pomocí protokolu HTTP zamítnuta. Tento příznak také vynutí zabezpečený přenos přes protokol SMB tím, že pro připojení veškerých sdílených složek vyžaduje SMB 3.0.
Podpora sdílení prostředků mezi zdroji (CORS)
Společnost Contoso ukládá ve službě Azure Storage několik typů webových prostředků. Mezi tyto typy patří například obrázky a videa. Kvůli zabezpečení aplikací v prohlížeči společnost Contoso omezuje požadavky GET na konkrétní domény.
Azure Storage podporuje mezidoménový přístup prostřednictvím sdílení prostředků mezi zdroji (CORS). CORS prostřednictvím hlaviček HTTP umožňuje webové aplikaci v jedné doméně přistupovat k prostředkům na serveru v jiné doméně. Pomocí CORS je zajištěno, že webové aplikace načítají jenom autorizovaný obsah z autorizovaných zdrojů.
Podpora CORS je volitelný příznak, který lze u účtů úložiště povolit. Příznak přidá příslušné hlavičky při načítání prostředků z účtu úložiště prostřednictvím požadavků HTTP GET.
Řízení přístupu na základě role
Pokud chcete získat přístup k datům v účtu úložiště, klient odešle žádost přes protokol HTTP nebo HTTPS. Všechny žádosti o přístup k zabezpečeným prostředkům musí být autorizovány. Služba ověří, že daný klient má oprávnění vyžadovaná pro přístup k datům. Můžete zvolit z několika možností přístupu. Pravděpodobně nejflexibilnější možností je přístup na základě role.
Azure Storage podporuje Microsoft Entra ID a řízení přístupu na základě role (RBAC) pro správu prostředků i operace s daty. Pro objekty zabezpečení můžete přiřadit role RBAC, které jsou vymezeny na účet úložiště. Službu Active Directory můžete použít k autorizaci operací správy prostředků, jako je konfigurace. Active Directory se podporuje u datových operací ve službách Blob Storage a Queue Storage.
Role RBAC můžete přiřadit k objektu zabezpečení nebo spravované identitě prostředků Azure, které jsou vymezeny na předplatné, skupinu prostředků, účet úložiště nebo jednotlivé kontejnery nebo fronty.
Auditování přístupu
Auditování je další částí řízení přístupu. Přístup ke službě Azure Storage je možné auditovat pomocí integrované služby Analýza úložiště.
Analýza úložiště protokoluje všechny operace v reálném čase a v těchto protokolech můžete vyhledávat konkrétní požadavky. Můžete filtrovat na základě mechanismu ověřování, úspěšnosti operace nebo prostředku, ke kterému jste získali přístup.