Cuentas de Storage y seguridad
Las cuentas de Azure Storage son ideales para cargas de trabajo que requieren tiempos de respuesta rápidos y coherentes o que tengan un gran número de operaciones de entrada y salida por segundo (IOP). Las cuentas de Storage contienen todos los objetos de datos de Azure Storage, entre los que se incluyen:
- Datos BLOB
- Recursos compartidos de archivos
- Colas
- Tablas
- Discos
Las cuentas de Storage proporcionan un espacio de nombres único para los datos al que se puede acceder desde cualquier lugar a través de HTTP
o HTTPS
.
Para más información sobre los diferentes tipos de cuentas de almacenamiento que admiten características diferentes, consulte Tipos de cuentas de almacenamiento.
Para conocer la forma en que una cuenta de Azure Storage aumenta la seguridad de la carga de trabajo de una aplicación, consulte los artículos siguientes:
- Línea de base de seguridad de Azure Storage
- Cifrado de Azure Storage para datos en reposo
- Uso de puntos de conexión privados para Azure Storage
En las secciones siguientes se incluyen consideraciones de diseño, una lista de comprobación de configuración y opciones de configuración recomendadas específicas de las cuentas de almacenamiento de Azure y la seguridad.
Consideraciones de diseño
Las cuentas de Azure Storage incluyen las siguientes consideraciones de diseño:
- Los nombres de las cuentas de Storage deben tener entre 3 y 24 caracteres, y solo pueden incluir números y letras en minúscula.
- Para las especificaciones actuales del Acuerdo de Nivel de Servicio, consulte SLA para cuentas de Storage.
- Vaya a Redundancia de Azure Storage para decidir qué opción de redundancia es la mejor para un escenario específico.
- Los nombres de las cuentas de almacenamiento deben ser únicos dentro de Azure. No puede haber dos cuentas de almacenamiento con el mismo nombre.
Lista de comprobación
¿Ha pensado en la seguridad al configurar una cuenta de Azure Storage?
- Habilite Azure Defender para todas las cuentas de almacenamiento.
- Active la eliminación temporal de datos de blobs.
- Use Microsoft Entra id. para autorizar el acceso a los datos de blobs.
- Tenga en cuenta el principio de privilegios mínimos al asignar permisos a una entidad de seguridad de Microsoft Entra mediante RBAC de Azure.
- Use identidades administradas para acceder a los datos de los blobs y las colas.
- Use el control de versiones de los blobs o los blobs inmutables para almacenar datos críticos para la empresa.
- Restrinja el acceso predeterminado a Internet a las cuentas de almacenamiento.
- Habilitar reglas de firewall.
- Limite el acceso a la red para redes específicas.
- Permita que los servicios Microsoft de confianza accedan a la cuenta de almacenamiento.
- Habilite la opción Se requiere transferencia segura en todas las cuentas de almacenamiento.
- Limite los tokens de firma de acceso compartido (SAS) solo a conexiones
HTTPS
. - Evite usar la autorización de clave compartida para acceder a las cuentas de almacenamiento e impida que otros la usen.
- Regenere las claves de cuenta periódicamente.
- Cree y aplique un plan de revocación para cualquier SAS que emita a los clientes.
- Use horas de expiración a corto plazo en las SAS imprevistas, SAS de servicio o SAS de cuenta.
Recomendaciones para la configuración
Tenga en cuenta las siguientes recomendaciones para optimizar la seguridad al configurar una cuenta de Azure Storage:
Recomendación | Descripción |
---|---|
Habilite Azure Defender para todas las cuentas de almacenamiento. | Azure Defender para Azure Storage proporciona un nivel extra de inteligencia de seguridad que detecta intentos poco habituales y potencialmente peligrosos de acceder a las cuentas de almacenamiento o de vulnerarlas. Las alertas de seguridad se desencadenan en Azure Security Center cuando se producen anomalías en la actividad. Las alertas también se envían por correo electrónico a los administradores de las suscripciones, con detalles de actividad sospechosa y recomendaciones sobre cómo investigar y solucionar las amenazas. Para más información, consulte Configuración de Azure Defender para Azure Storage. |
Active la eliminación temporal de datos de blobs. | La eliminación temporal de los blobs de Azure Storage permite recuperar datos de blobs después de haberlos eliminado. |
Use Microsoft Entra id. para autorizar el acceso a los datos de blobs. | Microsoft Entra id. proporciona una mayor seguridad y facilidad de uso sobre la clave compartida para autorizar las solicitudes a Blob Storage. Se recomienda usar Microsoft Entra autorización con las aplicaciones de blob y cola siempre que sea posible para minimizar posibles vulnerabilidades de seguridad inherentes a la clave compartida. Para más información, consulte Autorización del acceso a blobs y colas de Azure mediante el identificador de Microsoft Entra. |
Tenga en cuenta el principio de privilegios mínimos al asignar permisos a una entidad de seguridad de Microsoft Entra mediante RBAC de Azure. | Al asignar un rol a un usuario, grupo o aplicación, conceda a esa entidad de seguridad solo aquellos permisos necesarios para que pueda completar sus tareas. La limitación del acceso a los recursos ayuda a prevenir el mal uso involuntario y malintencionado de los datos. |
Use identidades administradas para acceder a los datos de los blobs y las colas. | Azure Blob y Queue Storage admiten la autenticación Microsoft Entra con identidades administradas para recursos de Azure. Las identidades administradas para recursos de Azure pueden autorizar el acceso a datos de blobs y colas mediante Microsoft Entra credenciales de las aplicaciones que se ejecutan en máquinas virtuales (VM) de Azure, aplicaciones de funciones, conjuntos de escalado de máquinas virtuales y otros servicios. Mediante el uso de identidades administradas para recursos de Azure junto con Microsoft Entra autenticación, puede evitar almacenar credenciales con las aplicaciones que se ejecutan en la nube y problemas con las entidades de servicio que expiran. Para obtener información, consulte Autorización del acceso a datos de blobs y colas con identidades administradas para los recursos de Azure. |
Use el control de versiones de los blobs o los blobs inmutables para almacenar datos críticos para la empresa. | Considere la posibilidad de usar el control de versiones de blobs para mantener versiones anteriores de un objeto o el uso de retenciones legales y directivas de retención basadas en el tiempo para almacenar datos de blobs en un estado WORM (muchas lecturas, una sola escritura). Los blobs inmutables se pueden leer, pero no se pueden modificar ni eliminar durante el intervalo de retención. Para más información, consulte Almacenamiento de datos de blobs críticos para la empresa con almacenamiento inmutable. |
Restrinja el acceso predeterminado a Internet a las cuentas de almacenamiento. | De manera predeterminada, el acceso de red a las cuentas de almacenamiento no está restringido y está abierto a todo el tráfico procedente de Internet. El acceso a las cuentas de almacenamiento se debe conceder a redes virtuales de Azure específicas solo siempre que sea posible, o use puntos de conexión privados para permitir que los clientes de una red virtual (VNet) accedan a los datos de forma segura a través de una instancia de Private Link. Para más información, consulte Uso de puntos de conexión privados para Azure Storage. Se pueden hacer excepciones para las cuentas de Storage a las que se deba acceder a través de Internet. |
Habilitar reglas de firewall. | Configure las reglas de firewall para limitar el acceso a su cuenta de almacenamiento a las solicitudes que partan de direcciones IP o intervalos especificados, o de una lista de subredes de una red virtual de Azure (VNet). Para más información acerca de la configuración de reglas de firewall, consulte Configuración de redes virtuales y firewalls de Azure Storage. |
Limite el acceso a la red para redes específicas. | La limitación del acceso de red a las redes que hospedan clientes que requieren acceso reduce la exposición de los recursos a ataques de red mediante la funcionalidad de firewall y redes virtuales integrada o mediante puntos de conexión privados. |
Permita que los servicios Microsoft de confianza accedan a la cuenta de almacenamiento. | La activación de las reglas de firewall para las cuentas de almacenamiento bloquea las solicitudes entrantes para los datos de manera predeterminada, salvo que las solicitudes procedan de un servicio que funcione en una red virtual (VNet) de Azure o desde direcciones IP públicas permitidas. Las solicitudes bloqueadas incluyen aquellas de otros servicios de Azure, desde Azure Portal, desde los servicios de registro y de métricas, etc. Para permitir solicitudes de otros servicios de Azure, agregue una excepción que permita que los servicios de Microsoft de confianza accedan a la cuenta de almacenamiento. Para más información sobre la adición de una excepción para los servicios de Microsoft de confianza, consulte Configuración de redes virtuales y firewalls de Azure Storage. |
Habilite la opción Se requiere transferencia segura en todas las cuentas de almacenamiento. | Cuando habilite la opción Se requiere transferencia segura, deben usarse conexiones seguras para realizar todas las solicitudes realizadas en la cuenta de almacenamiento. Las solicitudes realizadas a través de HTTP producirán un error. Para más información, consulte Requisito de transferencia segura en Azure Storage. |
Limite los tokens de firma de acceso compartido (SAS) solo a conexiones HTTPS . |
Requerir HTTPS cuando un cliente usa un token de SAS para acceder a los datos de los blobs ayuda a minimizar el riesgo de interceptación. Para más información, consulte Concesión de acceso limitado a recursos de Azure Storage mediante firmas de acceso compartido (SAS). |
Evite usar la autorización de clave compartida para acceder a las cuentas de almacenamiento e impida que otros la usen. | Se recomienda usar Microsoft Entra identificador para autorizar solicitudes a Azure Storage y evitar la autorización de clave compartida. En los escenarios en que se requiera autorización de clave compartida, siempre se prefieren los tokens de SAS antes que la distribución de la clave compartida. |
Regenere las claves de cuenta periódicamente. | El cambio periódico de las claves de una cuenta reduce el riesgo de exponer los datos a actores malintencionados. |
Cree y aplique un plan de revocación para cualquier SAS que emita a los clientes. | Si una SAS está en peligro, querrá revocar esa SAS de inmediato. Para revocar una SAS de delegación de usuario, revoque la clave de delegación de usuario para invalidar rápidamente todas las firmas asociadas con ella. Para revocar una SAS de servicio asociada a una directiva de acceso almacenado, puede eliminar esta directiva, cambiar su nombre, o cambiar su tiempo de vencimiento a un tiempo pasado. |
Use horas de expiración a corto plazo en las SAS imprevistas, SAS de servicio o SAS de cuenta. | Si una SAS está en peligro, es válida solo durante un breve período. Esta práctica es especialmente importante si no puede hacer referencia a una directiva de acceso almacenada. Las expiraciones a corto plazo también limitan la cantidad de datos que puede escribirse en un blob mediante la limitación del tiempo disponible para cargarlos. Los clientes deben renovar la SAS bastante antes de la expiración para que haya tiempo para los reintentos si el servicio que ofrece la SAS no está disponible. |