Gennemse sikkerhedsstrategier i Azure Storage
Administratorer bruger forskellige strategier til at sikre, at deres data er sikre. Almindelige metoder omfatter kryptering, godkendelse, godkendelse og brugeradgangskontrol med legitimationsoplysninger, filtilladelser og private signaturer. Azure Storage tilbyder en pakke med sikkerhedsfunktioner, der er baseret på almindelige strategier, der hjælper dig med at beskytte dine data.
Ting, du skal vide om Sikkerhedsstrategier i Azure Storage
Lad os se på nogle egenskaber ved Azure Storage-sikkerhed.
Kryptering i inaktive. SSE (Storage Service Encryption) med en 256-bit AES-krypteringsstandard krypterer alle data, der er skrevet til Azure Storage. Når du læser data fra Azure Storage, dekrypterer Azure Storage dataene, før du returnerer dem. Denne proces medfører ingen ekstra gebyrer og nedsætter ikke ydeevnen. Den kan ikke deaktiveres.
godkendelse. Microsoft Entra ID og rollebaseret adgangskontrol (RBAC) understøttes for Azure Storage til både ressourcestyringshandlinger og datahandlinger.
- Tildel RBAC-roller, der er begrænset til en Azure-lagerkonto, til sikkerhedsprincipaler, og brug Microsoft Entra-id til at godkende ressourcestyringshandlinger, f.eks. nøgleadministration.
- Microsoft Entra-integration understøttes for datahandlinger på Azure Blob Storage og Azure Queue Storage.
Kryptering under overførsel. Bevar dine data ved at aktivere sikkerhed på transportniveau mellem Azure og klienten. Brug altid HTTPS til at sikre kommunikation via det offentlige internet. Når du kalder REST API'erne for at få adgang til objekter på lagerkonti, kan du gennemtvinge brugen af HTTPS ved at kræve sikker overførsel for lagerkontoen. Når du har aktiveret sikker overførsel, afvises forbindelser, der bruger HTTP. Dette flag gennemtvinger også sikker overførsel via SMB ved at kræve SMB 3.0 for alle filshare-tilslutninger.
Diskkryptering. I forbindelse med virtuelle maskiner (VM'er) kan du kryptere virtuelle harddiske (VHD'er) ved hjælp af Azure Disk Encryption. Denne kryptering bruger BitLocker til Windows-afbildninger og bruger dm-crypt til Linux. Azure Key Vault gemmer nøglerne automatisk for at hjælpe dig med at styre og administrere diskkrypteringsnøgler og hemmeligheder. Så selvom nogen får adgang til VHD-billedet og downloader det, kan de ikke få adgang til dataene på VHD'en.
Signaturer for delt adgang. Uddelegeret adgang til dataobjekterne i Azure Storage kan tildeles ved hjælp af en SAS (Shared Access Signature).
godkendelse. Alle anmodninger, der sendes mod en sikret ressource i Blob Storage, Azure Files, Queue Storage eller Azure Cosmos DB (Azure Table Storage), skal godkendes. Autorisation sikrer, at ressourcer på din lagerkonto kun er tilgængelige, når du vil have dem, og kun for de brugere eller programmer, som du giver adgang.
Ting, du skal overveje, når du bruger godkendelsessikkerhed
Gennemse følgende strategier for godkendelse af anmodninger til Azure Storage. Tænk på, hvilke sikkerhedsstrategier der fungerer for dit Azure Storage.
| Godkendelsesstrategi | Beskrivelse |
|---|---|
| Microsoft Entra ID- | Microsoft Entra ID er Microsofts cloudbaserede tjeneste til identitets- og adgangsstyring. Med Microsoft Entra ID kan du tildele detaljeret adgang til brugere, grupper eller programmer ved hjælp af rollebaseret adgangskontrol. |
| delt nøgle | Godkendelse af delt nøgle er afhængig af adgangsnøgler til din Azure Storage-konto og andre parametre for at oprette en krypteret signaturstreng. Strengen overføres på anmodningen i godkendelsesheaderen. |
| signaturer for delt adgang | En SAS uddelegerer adgang til en bestemt ressource på din Azure Storage-konto med angivne tilladelser og for et angivet tidsinterval. |
| anonym adgang til objektbeholdere og blobs | Du kan eventuelt gøre blobressourcer offentlige på objektbeholder- eller blobniveau. En offentlig objektbeholder eller blob er tilgængelig for alle brugere for anonym læseadgang. Læseanmodninger til offentlige objektbeholdere og blobs kræver ikke godkendelse. |