Überprüfen von Sicherheitsstrategien für Azure Storage
Administratoren greifen auf verschiedene Strategien zurück, um die Sicherheit ihrer Daten zu gewährleisten. Zu den gängigen Ansätzen zählen Verschlüsselung, Authentifizierung, Autorisierung und Benutzerzugriffssteuerung mit Anmeldeinformationen, Dateiberechtigungen und privaten Signaturen. Azure Storage bietet eine Sammlung von Sicherheitsfunktionen, die auf gängigen Strategien basieren und Ihnen helfen, Ihre Daten abzusichern.
Wissenswertes über Sicherheitsstrategien für Azure Storage
Sehen wir uns einige Merkmale bezüglich Sicherheit von Azure Storage an.
Verschlüsselung ruhender Daten Die Speicherdienstverschlüsselung (SSE) mit einem 256-Bit-AES-Verschlüsselungsverfahren (Advanced Encryption Standard) verschlüsselt alle Daten, die in Azure Storage geschrieben werden. Wenn Sie Daten aus Azure Storage lesen, entschlüsselt Azure Storage die Daten, bevor es sie zurückgibt. Dadurch entstehen keine zusätzlichen Kosten, und die Leistung wird nicht beeinträchtigt. Dieser Vorgang kann nicht deaktiviert werden.
Authentifizierung. Microsoft Entra ID und rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) werden für Azure Storage sowohl für Ressourcenverwaltungs- als auch für Datenvorgänge unterstützt.
- Weisen Sie RBAC-Rollen, die auf das Azure Storage-Konto beschränkt sind, Dienstprinzipalen zu, und verwenden Sie Microsoft Entra ID, um Ressourcenverwaltungsvorgänge wie die Schlüsselverwaltung zu autorisieren.
- Die Microsoft Entra-Integration wird für Datenvorgänge in Azure Blob Storage und Azure Queue Storage unterstützt.
Verschlüsselung während der Datenübertragung. Durch die Sicherheit auf Transportebene können Sie Ihrer Daten bei der Übertragung zwischen Azure und dem Client schützen. Verwenden Sie immer HTTPS, um die Kommunikation über das öffentliche Internet zu sichern. Wenn Sie REST-APIs aufrufen, um auf Objekte im Speicherkonto zuzugreifen, können Sie die Verwendung von HTTPS erzwingen, indem Sie die sichere Übertragung für das Speicherkonto erfordern. Wenn Sie die sichere Übertragung aktiviert haben, werden Verbindungen über HTTP verweigert. Mit diesem Flag wird auch die sichere Übertragung über SMB erzwungen, indem SMB 3.0 für alle Dateifreigabeeinbindungen erforderlich ist.
Datenträgerverschlüsselung. Bei VMs können Sie virtuelle Festplatten (Virtual Hard Disks, VHDs) mit Azure Disk Encryption verschlüsseln. Bei dieser Verschlüsselung wird BitLocker für Windows-Images und dm-crypt für Linux verwendet. Die Schlüssel werden automatisch im Azure Key Vault gespeichert, um Ihnen die Steuerung und Verwaltung der Datenträgerverschlüsselungsschlüssel und -geheimnisse zu erleichtern. Das bedeutet, dass ein Angreifer nicht auf die Daten zugreifen kann, auch wenn er Zugriff auf das VHD-Image erhält und dieses herunterlädt.
Shared Access Signatures. Mithilfe einer Shared Access Signature (SAS) kann delegierter Zugriff auf die Datenobjekte in Azure Storage gewährt werden.
Autorisierung. Jede Anforderung, die an eine abgesicherte Ressource in Blob Storage, Azure Files, Queue Storage oder Azure Cosmos DB (Azure Table Storage) gerichtet wird, muss autorisiert werden. Die Autorisierung stellt sicher, dass auf Ressourcen in Ihrem Speicherkonto nur zugegriffen werden kann, wenn Sie dies wünschen, und auch nur von den Benutzern und Anwendungen, denen Sie Zugriff gewähren.
Wissenswertes zu den Sicherheitsaspekten der Autorisierung
Prüfen Sie die folgenden Strategien zur Autorisierung von Anforderungen an Azure Storage. Überlegen Sie, welche Sicherheitsstrategien sich für Ihre Azure Storage-Lösung anbieten.
| Autorisierungsstrategie | Beschreibung |
|---|---|
| Microsoft Entra ID | Microsoft Entra ID ist der cloudbasierte Identitäts- und Zugriffsverwaltungsdienst von Microsoft. MitMicrosoft Entra ID können Sie Benutzer*innen, Gruppen oder Anwendungen über rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) Zugriff präzise zuweisen. |
| Gemeinsam verwendeter Schlüssel | Die Autorisierung mittels freigegebener Schlüssel basiert auf den Zugriffsschlüsseln Ihres Azure Storage-Kontos und anderen Parametern, um eine verschlüsselte Signaturzeichenfolge zu erzeugen. Die Zeichenfolge wird im Autorisierungsheader an die Anforderung übergeben. |
| Shared Access Signatures | Eine SAS delegiert den Zugriff an eine bestimmte Ressource in Ihrem Azure Storage-Konto mit angegebenen Berechtigungen und für ein angegebenes Zeitintervall. |
| Anonymer Zugriff auf Container und Blobs | Optional können Sie Blobressourcen auf Container- oder Blobebene öffentlich machen. Jeder Benutzer hat anonymen Lesezugriff auf öffentliche Container und Blobs. Leseanforderungen an öffentliche Container und Blobs erfordern keine Autorisierung. |