Revisión de las estrategias de seguridad de Azure Storage
Los administradores usan distintas estrategias para garantizar que sus datos estén seguros. Entre los enfoques comunes se incluyen el cifrado, la autenticación, la autorización y el control de acceso de usuarios con credenciales, permisos de archivo y firmas privadas. Azure Storage ofrece un conjunto de funcionalidades de seguridad basadas en estrategias comunes que le ayudarán a proteger los datos.
Cosas que debe saber sobre las estrategias de seguridad de Azure Storage
Veamos algunas de las características de seguridad de Azure Storage.
Cifrado. Todos los datos escritos en Azure Storage se cifran automáticamente con el cifrado de Azure Storage.
Autenticación. Microsoft Entra ID y el control de acceso basado en roles (RBAC) son compatibles con Azure Storage para las operaciones de administración de recursos y las operaciones de datos.
- Asigne roles RBAC en el ámbito de la cuenta de almacenamiento de Azure a las entidades de seguridad y use Microsoft Entra ID para autorizar las operaciones de administración de recursos, como la administración de claves.
- La integración de Microsoft Entra se admite para las operaciones de datos en Azure Blob Storage y Azure Queue Storage.
Datos en tránsito. Los datos se pueden proteger en tránsito entre una aplicación y Azure usando cifrado de cliente, HTTPS o SMB 3.0.
Cifrado de discos. Los discos del sistema operativo y los discos de datos que Azure Virtual Machines usa se pueden cifrar mediante Azure Disk Encryption.
Firmas de acceso compartido. Se puede conceder acceso delegado a los objetos de datos en Azure Storage mediante el uso de una firma de acceso compartido (SAS).
Autorización. Todas las solicitudes que se realicen en un recurso protegido en Blob Storage, Azure Files, Queue Storage o Azure Cosmos DB (Azure Table Storage) deben estar autorizadas. La autorización garantiza que los recursos de la cuenta de almacenamiento estén accesibles únicamente cuando así lo quiera y solo para los usuarios o las aplicaciones a los que conceda acceso.
Cosas que deben tenerse en cuenta al usar la seguridad de autorización
Revise las estrategias siguientes para autorizar solicitudes en Azure Storage. Piense en qué estrategias de seguridad funcionarían para su instancia de Azure Storage.
| Estrategia de autorización | Descripción |
|---|---|
| Microsoft Entra ID | Microsoft Entra ID es el servicio de administración de identidades y acceso basada en la nube de Microsoft. Con Microsoft Entra ID, puede asignar acceso específico a usuarios, grupos o aplicaciones mediante el control de acceso basado en roles. |
| Clave compartida | La autorización de clave compartida se basa en las claves de acceso de la cuenta de almacenamiento de Azure y en otros parámetros para generar una cadena de firma cifrada. La cadena se pasa en la solicitud, en el encabezado de autorización. |
| Firmas de acceso compartido | Una firma de acceso compartido (SAS) delega el acceso a un recurso determinado de la cuenta de almacenamiento de Azure con los permisos especificados y durante un intervalo de tiempo concreto. |
| Acceso anónimo a contenedores y blobs | Opcionalmente, puede hacer que los recursos de blobs se hagan públicos en los contenedores o blobs. Cualquier usuario puede acceder a un contenedor o blob público para consultarlo de forma anónima. Las solicitudes de lectura para contenedores y blobs públicos no requieren autorización. |