Azure-beveiligingsbasislijn voor Storage
Deze beveiligingsbasislijn past richtlijnen van de Microsoft Cloud Security Benchmark versie 1.0 toe op Storage. De Microsoft Cloud Security-benchmark biedt aanbevelingen over hoe u uw cloudoplossingen in Azure kunt beveiligen. De inhoud wordt gegroepeerd op basis van de beveiligingscontroles die zijn gedefinieerd door de Microsoft-cloudbeveiligingsbenchmark en de gerelateerde richtlijnen die van toepassing zijn op Storage.
U kunt deze beveiligingsbasislijn en de bijbehorende aanbevelingen bewaken met behulp van Microsoft Defender for Cloud. Azure Policy definities worden weergegeven in de sectie Naleving van regelgeving van de pagina Microsoft Defender voor cloudportal.
Wanneer een functie relevante Azure Policy definities heeft, worden deze vermeld in deze basislijn om u te helpen bij het meten van de naleving van de besturingselementen en aanbevelingen van de Microsoft-cloudbeveiligingsbenchmark. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender-plan vereist om bepaalde beveiligingsscenario's mogelijk te maken.
Notitie
Functies die niet van toepassing zijn op Opslag zijn uitgesloten. Als u wilt zien hoe Opslag volledig wordt toegewezen aan de Microsoft Cloud Security-benchmark, raadpleegt u het volledige toewijzingsbestand voor opslagbeveiligingsbasislijnen.
Beveiligingsprofiel
Het beveiligingsprofiel bevat een overzicht van het gedrag met hoge impact van Storage, wat kan leiden tot verhoogde beveiligingsoverwegingen.
| Kenmerk servicegedrag | Waarde |
|---|---|
| Productcategorie | Storage |
| Klant heeft toegang tot HOST/besturingssysteem | Geen toegang |
| Service kan worden geïmplementeerd in het virtuele netwerk van de klant | Waar |
| Inhoud van klanten in rust opgeslagen | Waar |
Netwerkbeveiliging
Zie de Microsoft-cloudbeveiligingsbenchmark: Netwerkbeveiliging voor meer informatie.
NS-1: netwerksegmentatiegrenzen vaststellen
Functies
Integratie van virtueel netwerk
Beschrijving: service ondersteunt implementatie in het privé-Virtual Network (VNet) van de klant. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Niet waar | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
NS-2: Cloudservices beveiligen met netwerkbesturing
Functies
Azure Private Link
Beschrijving: Serviceeigen IP-filtermogelijkheid voor het filteren van netwerkverkeer (niet te verwarren met NSG of Azure Firewall). Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: implementeer privé-eindpunten voor Azure Storage om een privétoegangspunt voor de resources tot stand te brengen.
Naslaginformatie: Privé-eindpunten gebruiken voor Azure Storage
Openbare netwerktoegang uitschakelen
Beschrijving: De service ondersteunt het uitschakelen van openbare netwerktoegang via de ip-ACL-filterregel op serviceniveau (niet NSG of Azure Firewall) of met behulp van een schakeloptie 'Openbare netwerktoegang uitschakelen'. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: schakel openbare netwerktoegang uit met behulp van IP-ACL-filtering op Azure Storage-serviceniveau of een schakeloptie voor openbare netwerktoegang.
Naslaginformatie: De standaardregel voor netwerktoegang wijzigen
Identiteitsbeheer
Zie de Microsoft Cloud Security Benchmark: Identity management (Identiteitsbeheer) voor meer informatie.
IM-1: Gecentraliseerd identiteits- en verificatiesysteem gebruiken
Functies
Azure AD verificatie vereist voor toegang tot gegevensvlak
Beschrijving: de service ondersteunt het gebruik van Azure AD verificatie voor toegang tot het gegevensvlak. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Waar | Microsoft |
Functieopmerkingen: Opslag biedt meerdere manieren om het gegevensvlak te autoriseren. Azure biedt op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) voor nauwkeurige controle over de toegang van een client tot resources in een opslagaccount. Gebruik Azure AD referenties indien mogelijk als best practice voor beveiliging in plaats van de accountsleutel, die gemakkelijker kan worden aangetast. Wanneer voor het ontwerp van uw toepassing shared access signatures zijn vereist voor toegang tot Blob Storage, gebruikt u Azure AD referenties om shared access signatures (SAS) voor gebruikersdelegatie te maken, indien mogelijk voor een betere beveiliging.
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist, omdat dit is ingeschakeld bij een standaardimplementatie.
Naslaginformatie: Toegang tot gegevens in Azure Storage autoriseren
Lokale verificatiemethoden voor toegang tot gegevensvlak
Beschrijving: lokale verificatiemethoden die worden ondersteund voor toegang tot het gegevensvlak, zoals een lokale gebruikersnaam en wachtwoord. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Functieopmerkingen: Vermijd het gebruik van lokale verificatiemethoden of -accounts. Deze moeten waar mogelijk worden uitgeschakeld. Gebruik in plaats daarvan waar mogelijk Azure AD om te verifiëren.
Configuratierichtlijnen: Beperk het gebruik van lokale verificatiemethoden voor toegang tot het gegevensvlak. Gebruik in plaats daarvan Azure Active Directory (Azure AD) als de standaardverificatiemethode om de toegang tot uw gegevensvlak te beheren.
Naslaginformatie: SFTP-machtigingsmodel
IM-3: toepassingsidentiteiten veilig en automatisch beheren
Functies
Beheerde identiteiten
Beschrijving: Gegevensvlakacties ondersteunen verificatie met behulp van beheerde identiteiten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: gebruik indien mogelijk beheerde Azure-identiteiten in plaats van service-principals, die kunnen worden geverifieerd bij Azure-services en -resources die ondersteuning bieden voor Azure Active Directory-verificatie (Azure AD). Referenties voor beheerde identiteiten worden volledig beheerd, geroteerd en beveiligd door het platform, waarbij in code vastgelegde referenties in broncode- of configuratiebestanden worden vermeden.
Naslaginformatie: Toegang tot blobgegevens autoriseren met beheerde identiteiten voor Azure-resources
Service-principals
Beschrijving: gegevensvlak ondersteunt verificatie met behulp van service-principals. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Aanvullende richtlijnen: Met Azure AD kunt u op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) gebruiken om machtigingen te verlenen aan een beveiligingsprincipal, die een gebruiker, groep of toepassingsservice-principal kan zijn. De beveiligingsprincipal wordt geverifieerd door Azure AD om een OAuth 2.0-token te retourneren. Het token kan vervolgens worden gebruikt om een aanvraag voor de Blob-service te autoriseren.
Naslaginformatie: Toegang tot blobs autoriseren met behulp van Azure Active Directory
IM-7: Toegang tot resources beperken op basis van voorwaarden
Functies
Voorwaardelijke toegang voor gegevensvlak
Beschrijving: toegang tot gegevensvlak kan worden beheerd met behulp van Azure AD beleid voor voorwaardelijke toegang. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: definieer de toepasselijke voorwaarden en criteria voor voorwaardelijke toegang van Azure Active Directory (Azure AD) in de workload. Overweeg veelvoorkomende gebruiksvoorbeelden, zoals het blokkeren of verlenen van toegang vanaf specifieke locaties, het blokkeren van riskant aanmeldingsgedrag of het vereisen van door de organisatie beheerde apparaten voor specifieke toepassingen.
Naslaginformatie: Autorisatie van gedeelde sleutels niet toestaan om Azure AD voorwaardelijke toegang te gebruiken
IM-8: De blootstelling van referenties en geheimen beperken
Functies
Servicereferenties en geheimen ondersteunen integratie en opslag in Azure Key Vault
Beschrijving: het gegevensvlak ondersteunt systeemeigen gebruik van Azure Key Vault voor het opslaan van referenties en geheimen. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: Zorg ervoor dat geheimen en referenties worden opgeslagen op beveiligde locaties, zoals Azure Key Vault, in plaats van ze in te sluiten in code- of configuratiebestanden.
Naslaginformatie: Opslagaccountsleutels beheren met Key Vault en de Azure CLI
Bevoegde toegang
Zie de Microsoft Cloud Security-benchmark: Bevoegde toegang voor meer informatie.
PA-1: Scheid en beperk gebruikers met hoge bevoegdheden/beheerders
Functies
Lokale Beheer-accounts
Beschrijving: De service heeft het concept van een lokaal beheerdersaccount. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| False | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
PA-7: Volg het principe just enough administration (minimale bevoegdheden)
Functies
Azure RBAC voor gegevensvlak
Beschrijving: Azure Role-Based Access Control (Azure RBAC) kan worden gebruikt voor het beheren van toegang tot de gegevensvlakacties van de service. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: Azure Storage ondersteunt het gebruik van Azure Active Directory (Azure AD) om aanvragen voor blobgegevens te autoriseren. Met Azure AD kunt u op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) gebruiken om machtigingen te verlenen aan een beveiligingsprincipal, die een gebruiker, groep of toepassingsservice-principal kan zijn.
Het autoriseren van aanvragen voor Azure Storage met Azure AD biedt superieure beveiliging en gebruiksgemak ten opzichte van autorisatie met gedeelde sleutels. Microsoft raadt aan om waar mogelijk Azure AD-autorisatie te gebruiken met uw blobtoepassingen om toegang met minimale vereiste bevoegdheden te garanderen.
Naslaginformatie: Toegang tot blobs autoriseren met behulp van Azure Active Directory
PA-8: Toegangsproces voor ondersteuning van cloudproviders bepalen
Functies
Klanten-lockbox
Beschrijving: Customer Lockbox kan worden gebruikt voor toegang tot Microsoft-ondersteuning. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: In ondersteuningsscenario's waarin Microsoft toegang moet hebben tot uw gegevens, gebruikt u Customer Lockbox om elk van de aanvragen voor toegang tot gegevens van Microsoft te controleren en vervolgens goed te keuren of af te wijzen.
Referentie: Customer Lockbox
Gegevensbescherming
Zie de Microsoft-cloudbeveiligingsbenchmark: Gegevensbeveiliging voor meer informatie.
DP-1: Gevoelige gegevens detecteren, classificeren en labelen
Functies
Detectie en classificatie van gevoelige gegevens
Beschrijving: hulpprogramma's (zoals Azure Purview of Azure Information Protection) kunnen worden gebruikt voor gegevensdetectie en -classificatie in de service. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Functieopmerkingen: Opslagintegratie met Azure purview is momenteel in beperkte preview.
Configuratierichtlijnen: Gebruik Azure Purview om gevoelige gegevens in Azure Storage te scannen, classificeren en labelen.
Naslaginformatie: Verbinding maken met Azure Blob Storage in Microsoft Purview
DP-2: Afwijkingen en bedreigingen bewaken die gericht zijn op gevoelige gegevens
Functies
Preventie van gegevenslekken/-verlies
Beschrijving: De service ondersteunt de DLP-oplossing voor het bewaken van de verplaatsing van gevoelige gegevens (in de inhoud van de klant). Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: Defender for Storage analyseert voortdurend de telemetriestroom die wordt gegenereerd door de Azure Blob Storage- en Azure Files-services. Wanneer mogelijk schadelijke activiteiten worden gedetecteerd, worden er beveiligingswaarschuwingen gegenereerd. Deze waarschuwingen worden weergegeven in Microsoft Defender for Cloud, samen met de details van de verdachte activiteit, samen met de relevante onderzoeksstappen, herstelacties en beveiligingsaanbeveling.
Microsoft Defender voor opslag is ingebouwd in Microsoft Defender for Cloud. Wanneer u de verbeterde beveiligingsfuncties van Microsoft Defender for Cloud inschakelt voor uw abonnement, wordt Microsoft Defender voor Opslag automatisch ingeschakeld voor al uw opslagaccounts. U kunt Defender for Storage in- of uitschakelen voor afzonderlijke opslagaccounts onder een specifiek abonnement.
Naslaginformatie: Microsoft Defender configureren voor opslag
DP-3: Gevoelige gegevens tijdens overdracht versleutelen
Functies
Gegevens-in-transitversleuteling
Beschrijving: de service ondersteunt versleuteling van gegevens-in-transit voor gegevensvlak. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Waar | Microsoft |
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist, omdat dit is ingeschakeld bij een standaardimplementatie.
Naslaginformatie: Een minimaal vereiste versie van Tls (Transport Layer Security) afdwingen voor aanvragen voor een opslagaccount
DP-4: Versleuteling van data-at-rest standaard inschakelen
Functies
Data-at-rest-versleuteling met behulp van platformsleutels
Beschrijving: Versleuteling van gegevens in rust met behulp van platformsleutels wordt ondersteund. Alle inhoud van de klant wordt versleuteld met deze door Microsoft beheerde sleutels. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Waar | Microsoft |
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist, omdat dit is ingeschakeld bij een standaardimplementatie.
Naslaginformatie: Azure Storage-versleuteling voor data-at-rest
DP-5: De optie door de klant beheerde sleutel gebruiken in data-at-rest-versleuteling indien nodig
Functies
Data-at-rest-versleuteling met CMK
Beschrijving: Versleuteling van inactieve gegevens met behulp van door de klant beheerde sleutels wordt ondersteund voor klantinhoud die door de service wordt opgeslagen. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: indien vereist voor naleving van regelgeving, definieert u de use-case en het servicebereik waarvoor versleuteling met behulp van door de klant beheerde sleutels nodig is. Versleuteling van data-at-rest inschakelen en implementeren voor de gegevens binnen het bereik met behulp van door de klant beheerde sleutel voor Azure Storage
Naslaginformatie: Door de klant beheerde sleutels voor Azure Storage-versleuteling
DP-6: Een beveiligd sleutelbeheerproces gebruiken
Functies
Sleutelbeheer in Azure Key Vault
Beschrijving: de service ondersteunt Azure Key Vault-integratie voor alle klantsleutels, geheimen of certificaten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: Gebruik Azure Key Vault om de levenscyclus van uw versleutelingssleutels te maken en te beheren, inclusief het genereren, distribueren en opslaan van sleutels. Uw sleutels in Azure Key Vault en uw service draaien en intrekken op basis van een gedefinieerd schema of wanneer er sprake is van een buitengebruikstelling of inbreuk op de sleutel. Wanneer er behoefte is aan het gebruik van door de klant beheerde sleutel (CMK) in het workload-, service- of toepassingsniveau, moet u de aanbevolen procedures voor sleutelbeheer volgen: gebruik een sleutelhiërarchie om een afzonderlijke dek (Data Encryption Key) te genereren met uw sleutelversleutelingssleutel (KEK) in uw sleutelkluis. Zorg ervoor dat sleutels worden geregistreerd bij Azure Key Vault en waarnaar wordt verwezen via sleutel-id's van de service of toepassing. Als u uw eigen sleutel (BYOK) moet meenemen naar de service (zoals het importeren van met HSM beveiligde sleutels van uw on-premises HSM's in Azure Key Vault), volgt u de aanbevolen richtlijnen om de eerste sleutelgeneratie en sleuteloverdracht uit te voeren.
Naslaginformatie: Opslagaccountsleutels beheren met Key Vault en de Azure CLI
Asset-management
Zie de Microsoft Cloud Security Benchmark: Asset management voor meer informatie.
AM-2: Alleen goedgekeurde services gebruiken
Functies
Ondersteuning voor Azure Policy
Beschrijving: serviceconfiguraties kunnen worden bewaakt en afgedwongen via Azure Policy. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: Definieer en implementeer standaardbeveiligingsconfiguraties voor netwerkresources die zijn gekoppeld aan uw Azure Storage-account met Azure Policy. Gebruik Azure Policy aliassen in de naamruimten 'Microsoft.Storage' en 'Microsoft.Network' om aangepast beleid te maken om de netwerkconfiguratie van uw opslagaccountresources te controleren of af te dwingen.
U kunt ook gebruikmaken van ingebouwde beleidsdefinities met betrekking tot het opslagaccount, zoals: Opslagaccounts moeten een service-eindpunt voor een virtueel netwerk gebruiken
Naslaginformatie: Azure Policy ingebouwde definities voor Azure Storage
Logboekregistratie en bedreidingsdetectie
Zie de Microsoft Cloud Security Benchmark: Logboekregistratie en bedreigingsdetectie voor meer informatie.
LT-1: Mogelijkheden voor detectie van bedreigingen inschakelen
Functies
Microsoft Defender voor service-/productaanbiedingen
Beschrijving: De service heeft een specifieke Microsoft Defender oplossing om beveiligingsproblemen te bewaken en te waarschuwen. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: gebruik Microsoft Defender voor opslag om een extra beveiligingsinformatielaag te bieden die ongebruikelijke en mogelijk schadelijke pogingen detecteert om toegang te krijgen tot of misbruik te maken van opslagaccounts. Het maakt gebruik van geavanceerde mogelijkheden voor bedreigingsdetectie en Microsoft Threat Intelligence-gegevens om contextuele beveiligingswaarschuwingen te bieden. Deze waarschuwingen bevatten ook stappen om de gedetecteerde bedreigingen te beperken en toekomstige aanvallen te voorkomen.
Naslaginformatie: Inleiding tot Microsoft Defender voor Opslag
LT-4: Logboekregistratie inschakelen voor beveiligingsonderzoek
Functies
Azure-resourcelogboeken
Beschrijving: de service produceert resourcelogboeken die uitgebreide servicespecifieke metrische gegevens en logboekregistratie kunnen bieden. De klant kan deze resourcelogboeken configureren en naar hun eigen gegevenssink verzenden, zoals een opslagaccount of Log Analytics-werkruimte. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: Logboeken opnemen via Azure Monitor om beveiligingsgegevens te aggregeren die zijn gegenereerd door eindpuntapparaten, netwerkresources en andere beveiligingssystemen. Gebruik in Azure Monitor Log Analytics-werkruimte(s) om query's uit te voeren en analyses uit te voeren, en gebruik Azure Storage-accounts voor langetermijnopslag/archivering, optioneel met beveiligingsfuncties zoals onveranderbare opslag en afgedwongen bewaarperioden.
Naslaginformatie: Azure Blob Storage bewaken
Back-ups maken en herstellen
Zie de Microsoft Cloud Security Benchmark: Back-up en herstel voor meer informatie.
BR-1: Zorgen voor regelmatige geautomatiseerde back-ups
Functies
Azure Backup
Beschrijving: er kan een back-up van de service worden gemaakt door de Azure Backup service. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Functieopmerkingen: Azure Backup wordt momenteel alleen ondersteund voor Azure Blob Storage. U kunt een back-up maken van wachtrij- en tabelgegevens met behulp van het opdrachtregelprogramma AzCopy.
Configuratierichtlijnen: schakel Azure Backup in en configureer de back-upbron op een gewenste frequentie en met een gewenste bewaarperiode. met Azure Backup kunt u eenvoudig operationele back-ups configureren voor het beveiligen van blok-blobs in uw opslagaccounts. Back-up van blobs wordt geconfigureerd op het niveau van het opslagaccount. Alle blobs in het opslagaccount worden dus beveiligd met operationele back-ups.
U kunt back-ups configureren voor meerdere opslagaccounts met behulp van het Back-upcentrum. U kunt ook een back-up configureren voor een opslagaccount met behulp van de gegevensbeschermingseigenschappen van het opslagaccount.
Naslaginformatie: Overzicht van operationele back-ups voor Azure Blobs
Systeemeigen back-upmogelijkheid van service
Beschrijving: de service ondersteunt zijn eigen systeemeigen back-upmogelijkheid (als u Azure Backup niet gebruikt). Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Aanvullende richtlijnen: Operationele back-up van blobs is een lokale back-upoplossing. De back-upgegevens worden dus niet overgedragen naar de Backup-kluis, maar worden opgeslagen in het bronopslagaccount zelf. De Backup-kluis fungeert echter nog steeds als de eenheid voor het beheren van back-ups. Dit is ook een oplossing voor continue back-up, wat betekent dat u geen back-ups hoeft te plannen en dat alle wijzigingen op een geselecteerd tijdstip worden bewaard en vanuit de status kunnen worden hersteld.
Naslaginformatie: Overzicht van operationele back-ups voor Azure Blobs
Volgende stappen
- Zie het overzicht van de Benchmark voor Microsoft-cloudbeveiliging
- Meer informatie over Azure-beveiligingsbasislijnen