Erstellen einer Baseline für ein Azure Storage-Konto
Ein Azure-Speicherkonto stellt einen eindeutigen Namespace zum Speichern Ihrer Azure Storage-Datenobjekte und für den Zugriff darauf bereit.
Sicherheitsempfehlungen für Azure Storage-Konten
Die folgenden Abschnitte beschreiben weitere Empfehlungen für Azure Storage im CIS Microsoft Azure Foundations Security Benchmark v. 3.0.0. Bei den Empfehlungen sind jeweils auch die grundlegenden Schritte angegeben, die im Azure-Portal ausgeführt werden müssen. Führen Sie diese Schritte für Ihr eigenes Abonnement aus, und verwenden Sie Ihre eigenen Ressourcen, um die einzelnen Sicherheitsempfehlungen zu überprüfen. Beachten Sie, dass Ebene 2-Optionen einige Funktionen oder Aktivitäten einschränken können, deshalb überlegen Sie sorgfältig, welche Sicherheitsoptionen Sie durchsetzen möchten.
Übertragungen mit erhöhter Sicherheit erforderlich – Ebene 1
Ein Schritt, mit dem Sie die Sicherheit Ihrer Azure Storage-Daten sicherstellen sollten, ist das Verschlüsseln der Daten bei der Übertragung zwischen Client und Azure Storage. Erstens sollten Sie stets das Protokoll HTTPS verwenden. Es gewährleistet sichere Kommunikation über das öffentliche Internet. Um die Verwendung von HTTPS zu erzwingen, wenn Sie REST-APIs zum Zugriff auf Objekte in Speicherkonten aufrufen, aktivieren Sie für das Speicherkonto die Option Sichere Übertragung erforderlich. Nachdem Sie dieses Steuerelement aktiviert haben, werden keine Verbindungen über HTTP zugelassen. Führen Sie die folgenden Schritte für jedes Speicherkonto in Ihrem Abonnement aus.
Melden Sie sich beim Azure-Portal an. Suchen Sie nach der Option Speicherkonten, und wählen Sie sie aus.
Wählen Sie im Bereich Speicherkonten ein Speicherkonto aus.
Wählen Sie im linken Menü unter Einstellungen die Option Konfiguration aus.
Stellen Sie im Bereich Konfiguration sicher, dass Sichere Übertragung erforderlich auf Aktiviert festgelegt ist.
Wenn Sie Einstellungen ändern, wählen Sie auf der Menüleiste Speichern aus.
Aktivieren der BLOB-Verschlüsselung (Binary Large Object) – Ebene 1
Azure Blob Storage ist die Objektspeicherlösung von Microsoft für die Cloud. Blob Storage ist für die Speicherung großer Mengen unstrukturierter Daten optimiert. Unstrukturierte Daten sind Daten, die keinem bestimmten Datenmodell und keiner bestimmten Definition entsprechen. Beispiele unstrukturierter Daten sind Text- und Binärdaten. Die Speicherdienstverschlüsselung schützt Ihre ruhenden Daten. Azure Storage verschlüsselt Daten beim Schreiben in seine Rechenzentren und entschlüsselt sie automatisch, wenn Sie darauf zugreifen.
Melden Sie sich beim Azure-Portal an. Suchen Sie nach der Option Speicherkonten, und wählen Sie sie aus.
Wählen Sie im Bereich Speicherkonten ein Speicherkonto aus.
Klicken Sie unter Sicherheit und Netzwerk auf Verschlüsselung.
Im Bereich Verschlüsselung sehen Sie, dass die Azure Storage-Verschlüsselung für alle neuen und vorhandenen Speicherkonten aktiviert ist und nicht deaktiviert werden kann.
Zugriffsschlüssel regelmäßig neu generieren – Ebene 1
Wenn Sie in Azure ein Speicherkonto erstellen, generiert Azure zwei 512-Bit-Speicherzugriffsschlüssel. Diese Schlüssel dienen zur Authentifizierung, wenn auf das Speicherkonto zugegriffen wird. Durch regelmäßiges Rotieren dieser Schlüssel wird sichergestellt, dass ein versehentlicher Zugriff auf diese Schlüssel oder deren Preisgabe zeitlich begrenzt ist. Führen Sie die für jedes Speicherkonto in Ihrem Azure-Abonnement die folgenden Schritte aus.
Melden Sie sich beim Azure-Portal an. Suchen Sie nach der Option Speicherkonten, und wählen Sie sie aus.
Wählen Sie im Bereich Speicherkonten ein Speicherkonto aus.
Wählen Sie im linken Menübereich Sicherheit + Netzwerkbetrieb und dann Zugriffsschlüssel aus.
Überprüfen Sie das Datum unter Zuletzt rotiert am für jeden Schlüssel.
Wenn Sie Azure Key Vault nicht mit Schlüsselrotation verwenden, können Sie die Schaltfläche Schlüssel rotieren auswählen, um die Zugriffsschlüssel manuell zu rotieren.
SAS-Token (Shared Access Signature) müssen innerhalb einer Stunde ablaufen: Ebene 1
Eine Shared Access Signature (SAS) ist ein URI, der Azure Storage-Ressourcen eingeschränkte Zugriffsrechte gewährt. Sie können eine Shared Access Signature für Clients bereitstellen, denen Sie nicht Ihren Speicherkontoschlüssel anvertrauen möchten, aber denen Sie Zugriff auf bestimmte Speicherkontoressourcen gewähren möchten. Durch das Bereitstellen eines SAS-URI für diese Clients wird ihnen für einen bestimmten Zeitraum mit eingeschränkten Berechtigungen Zugriff auf eine Ressource gewährt.
Hinweis
Gemäß den Empfehlungen im CIS Microsoft Azure Foundation Security Benchmark v. 3.0.0 können Ablaufzeiten von SAS-Token nicht automatisch überprüft werden. Die Empfehlung erfordert eine manuelle Überprüfung.
SAS-Token (Shared Access Signature) dürfen nur über HTTPS zugelassen sein: Ebene 1
SAS-Token dürfen nur über das Protokoll HTTPS zugelassen werden. Führen Sie die für jedes Speicherkonto in Ihrem Azure-Abonnement die folgenden Schritte aus.
Melden Sie sich beim Azure-Portal an. Suchen Sie nach der Option Speicherkonten, und wählen Sie sie aus.
Wählen Sie im Bereich Speicherkonten ein Speicherkonto aus.
Wählen Sie im Menü unter Sicherheit und Netzwerk die Option Shared Access Signature aus.
Legen Sie im Bereich Shared Access Signature unter Datum/Uhrzeit für Start und Ablauf Datum und Uhrzeit für Start und Ende fest.
Wählen Sie unter Zugelassene Protokolle die Option Nur HTTPS aus.
Wenn Sie Einstellungen ändern, wählen Sie unten auf dem Bildschirm die Schaltfläche SAS und Verbindungszeichenfolge generieren aus.
Konfigurieren Sie SAS-Features in den nächsten Abschnitten.
Aktivieren der Azure Files-Verschlüsselung – Ebene 1
Azure Disk Encryption wird zum Verschlüsseln von Betriebssystem- und sonstigen Datenträgern auf IaaS-VMs verwendet. Client- und serverseitige Verschlüsselung werden zum Verschlüsseln von Daten in Azure Storage verwendet. Führen Sie die für jedes Speicherkonto in Ihrem Azure-Abonnement die folgenden Schritte aus.
Melden Sie sich beim Azure-Portal an. Suchen Sie nach der Option Speicherkonten, und wählen Sie sie aus.
Wählen Sie im Bereich Speicherkonten ein Speicherkonto aus.
Klicken Sie unter Sicherheit und Netzwerk auf Verschlüsselung.
Im Bereich Verschlüsselung sehen Sie, dass die Azure Storage-Verschlüsselung für alle neuen und vorhandenen Blob- und Dateispeicher aktiviert ist und nicht deaktiviert werden kann.
Anfordern, dass nur privater Zugriff auf BLOB-Container möglich ist – Ebene 1
Sie können anonymen, öffentlichen Lesezugriff auf einen Container und dessen Blobs in Azure Blob Storage aktivieren. Durch Aktivieren eines anonymen, öffentlichen Lesezugriffs können Sie schreibgeschützten Zugriff auf diese Ressourcen gewähren, ohne Ihren Kontoschlüssel freizugeben und ohne dass eine Shared Access Signature erforderlich ist. In der Standardeinstellung kann nur ein Benutzer mit den entsprechenden Berechtigungen auf einen Container und darin enthaltene Blobs zugreifen. Um anonymen Benutzern Lesezugriff auf einen Container und enthaltene Blobs zu gewähren, können Sie für den Container die Zugriffsebene Öffentlich festlegen.
Wenn Sie öffentlichen Zugriff auf einen Container gewähren, können jedoch anonyme Benutzer Blobs in einem öffentlich zugänglichen Container lesen, ohne dass die Anforderung authentifiziert werden muss. Eine Sicherheitsempfehlung lautet daher, den Zugriff auf Speichercontainer stattdessen auf Privat festzulegen. Führen Sie die für jedes Speicherkonto in Ihrem Azure-Abonnement die folgenden Schritte aus.
Melden Sie sich beim Azure-Portal an. Suchen Sie nach der Option Speicherkonten, und wählen Sie sie aus.
Wählen Sie im Bereich Speicherkonten ein Speicherkonto aus.
Wählen Sie im linken Menü unter Datenspeicher die Option Container aus.
Stellen Sie im Bereich Container sicher, dass Öffentliche Zugriffsebene auf Privat festgelegt ist.
