Grundlegendes zu den Sicherheitsfunktionen von Azure Storage
Contoso ist auf große Mengen von Daten in Azure Storage stark angewiesen. Ihre Anwendungen verwenden Blobs, unstrukturierten Tabellenspeichern, Azure Data Lake und SMB-basierte (Server Message Block) Dateifreigaben.
Nachdem bei einem Mitbewerber eine Datensicherheitsverletzung festgestellt wurde, weist Contoso den Netzwerkadministrator an, die Datensicherheit der Organisation zu prüfen. Als Datenberater von Contoso versichern Sie dem Netzwerkadministrator, dass Azure-Speicherkonten zahlreiche Funktionen für einen hohen Schutz der Daten in der Cloud bereitstellen:
- Schutz von ruhenden Daten
- Schutz von Daten während der Übertragung
- Unterstützung von domänenübergreifendem Browserzugriff
- Festlegen des Datenzugriffs
- Überwachen des Speicherzugriffs
Verschlüsselung ruhender Daten
Zuerst werden alle Daten, die in Azure Storage geschrieben werden, mithilfe der Speicherdienstverschlüsselung (SSE) mit einem 256-Bit-AES-Verschlüsselungsverfahren (Advanced Encryption Standard) automatisch verschlüsselt, das FIPS 140-2-konform ist. Durch die SSE werden Ihre Daten beim Schreiben in Azure Storage automatisch verschlüsselt. Wenn Sie Daten aus Azure Storage lesen, entschlüsselt Azure Storage die Daten, bevor es sie zurückgibt. Dadurch entstehen keine weiteren Kosten, und die Leistung wird nicht beeinträchtigt. Dieser Vorgang kann nicht deaktiviert werden.
Bei VMs können Sie virtuelle Festplatten (Virtual Hard Disks, VHDs) mit Azure Disk Encryption verschlüsseln. Bei dieser Verschlüsselung wird BitLocker für Windows-Images und dm-crypt für Linux verwendet.
Die Schlüssel werden automatisch im Azure Key Vault gespeichert, um Ihnen die Steuerung und Verwaltung der Datenträgerverschlüsselungsschlüssel und -geheimnisse zu erleichtern. Das bedeutet, dass ein Angreifer nicht auf die Daten zugreifen kann, auch wenn er Zugriff auf das VHD-Image erhält und dieses herunterlädt.
Verschlüsselung während der Übertragung
Durch die Sicherheit auf Transportebene können Sie Ihrer Daten bei der Übertragung zwischen Azure und dem Client schützen. Verwenden Sie immer HTTPS, um die Kommunikation über das öffentliche Internet zu sichern. Wenn Sie REST-APIs aufrufen, um auf Objekte im Speicherkonto zuzugreifen, können Sie die Verwendung von HTTPS erzwingen, indem Sie die sichere Übertragung für das Speicherkonto erfordern. Wenn Sie die sichere Übertragung aktiviert haben, werden Verbindungen über HTTP verweigert. Mit diesem Flag wird auch die sichere Übertragung über SMB erzwungen, indem SMB 3.0 für alle Dateifreigabeeinbindungen erforderlich ist.
CORS-Support
Contoso speichert verschiedene Websiteressourcentypen in Azure Storage. Dazu gehören z.B. auch Bilder und Videos. Contoso legt GET-Anforderungen auf bestimmte Domänen fest, um Browser-Apps zu schützen.
Azure Storage unterstützt den domänenübergreifenden Zugriff durch Ressourcenfreigabe zwischen verschiedenen Ursprüngen (Cross-Origin Resource Sharing, CORS). CORS verwendet HTTP-Header, damit eine Web-App in einer Domäne auf Ressourcen von einem Server in einer anderen Domäne zugreifen kann. Mithilfe von CORS kann sichergestellt werden, dass Web-Apps nur autorisierte Inhalte von autorisierten Quellen laden.
Die CORS-Unterstützung ist ein optionales Flag, das Sie in Speicherkonten aktivieren können. Das Flag fügt die entsprechenden Header hinzu, wenn Sie die HTTP-GET-Anforderung verwenden, um Ressourcen aus dem Speicherkonto abzurufen.
Rollenbasierte Zugriffssteuerung
Der Client sendet eine Anforderung über HTTP oder HTTPS, um auf Daten in einem Speicherkonto zuzugreifen. Jede an eine gesicherte Ressource gesendete Anforderung muss autorisiert sein. Der Dienst stellt sicher, dass der Client über die nötigen Berechtigungen für den Zugriff auf die Daten verfügt. Sie können sich zwischen verschiedenen Zugriffsoptionen entscheiden. Die flexibelste Lösung ist wohl der rollenbasierte Zugriff.
Azure Storage unterstützt Microsoft Entra ID und die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) sowohl für die Ressourcenverwaltung als auch für Datenvorgänge. Sie können Sicherheitsprinzipalen RBAC-Rollen zuweisen, die für das Speicherkonto gelten. Sie können Active Directory verwenden, um Ressourcenverwaltungsvorgänge wie die Konfiguration zu autorisieren. Active Directory wird für Datenvorgänge in Blob Storage und Queue Storage unterstützt.
Sie können RBAC-Rollen, die für ein Abonnement, eine Ressourcengruppe, ein Speicherkonto, einen einzelnen Container oder eine Warteschlange gelten, einem Sicherheitsprinzipal oder einer verwalteten Identität für Azure-Ressourcen zuweisen.
Überwachen des Zugriffs
Die Überwachung ist ein weiterer Aspekt der Zugriffssteuerung. Sie können den Zugriff auf Azure Storage mit dem integrierten Storage Analytics-Dienst überwachen.
Storage Analytics protokolliert jeden Vorgang in Echtzeit, und Sie können die Protokolle in Storage Analytics nach bestimmten Anforderungen durchsuchen. Sie können nach Authentifizierungsmethode, dem Erfolg des Vorgang oder der Ressource, auf die zugegriffen wurde, filtern.