Beveiligingsstrategieën voor Azure Storage controleren
Beheerders gebruiken verschillende strategieën om ervoor te zorgen dat hun gegevens veilig zijn. Veelvoorkomende benaderingen zijn versleuteling, verificatie, autorisatie en toegangsbeheer voor gebruikers met referenties, bestandsmachtigingen en persoonlijke handtekeningen. Azure Storage biedt een reeks beveiligingsmogelijkheden op basis van algemene strategieën om u te helpen uw gegevens te beveiligen.
Dingen die u moet weten over Beveiligingsstrategieën van Azure Storage
Laten we eens kijken naar enkele kenmerken van Azure Storage-beveiliging.
Versleuteling-at-rest. Met SSE (Storage Service Encryption) met een 256-bits AES-coderingsstandaard (Advanced Encryption Standard) worden alle gegevens versleuteld die naar Azure Storage zijn geschreven. Wanneer u gegevens van Azure Storage leest, worden de gegevens eerst ontsleuteld voordat ze worden geretourneerd. Dit proces brengt geen extra kosten in rekening en verslechtert de prestaties niet. De functie kan niet worden uitgeschakeld.
Verificatie. Microsoft Entra ID en op rollen gebaseerd toegangsbeheer (RBAC) worden ondersteund voor Azure Storage voor zowel resourcebeheerbewerkingen als gegevensbewerkingen.
- Wijs RBAC-rollen toe die zijn afgestemd op een Azure-opslagaccount aan beveiligingsprinciplen en gebruik Microsoft Entra-id om resourcebeheerbewerkingen, zoals sleutelbeheer, te autoriseren.
- Microsoft Entra-integratie wordt ondersteund voor gegevensbewerkingen in Azure Blob Storage en Azure Queue Storage.
Versleuteling tijdens overdracht. Beveilig uw gegevens door beveiliging op transportniveau in te schakelen tussen Azure en de client. Gebruik altijd HTTPS om de communicatie via het openbare internet te beveiligen. U kunt het gebruik van HTTPS afdwingen bij het aanroepen van de REST API's voor toegang tot objecten in opslagaccounts door veilige overdracht te vereisen voor het opslagaccount. Nadat u veilige gegevensoverdracht hebt ingeschakeld, worden verbindingen die HTTP gebruiken, geweigerd. Hiermee wordt ook veilige overdracht via SMB afgedwongen door af te dwingen dat SMB 3.0 wordt gebruikt voor alle koppelingen van bestandsshares.
Schijfversleuteling. Voor virtuele machines (VM's) kunt u met behulp van Azure Disk Encryption virtuele harde schijven (VHD's) versleutelen. Deze versleuteling maakt gebruik van BitLocker voor Windows-installatiekopieën en maakt gebruik van dm-crypt voor Linux. De sleutels worden automatisch opgeslagen in Azure Key Vault, zodat u de schijfversleutelingssleutels en -geheimen kunt beheren. Dus zelfs als iemand toegang tot de installatiekopie van de VHD krijgt en deze downloadt, hebben ze geen toegang tot de gegevens op de VHD.
Handtekeningen voor gedeelde toegang. Gedelegeerde toegang tot de gegevensobjecten in Azure Storage kan worden verleend met behulp van een Shared Access Signature (SAS).
Autorisatie. Elke aanvraag voor een beveiligde resource in Blob Storage, Azure Files, Queue Storage of Azure Cosmos DB (Azure Table Storage) moet zijn geautoriseerd. Autorisatie zorgt ervoor dat resources in uw opslagaccount alleen toegankelijk zijn wanneer u wilt dat ze zijn en alleen voor die gebruikers of toepassingen die u toegang verleent.
Aandachtspunten bij het gebruik van autorisatiebeveiliging
Bekijk de volgende strategieën voor het autoriseren van aanvragen naar Azure Storage. Denk na over welke beveiligingsstrategieën voor uw Azure Storage zouden werken.
| Autorisatiestrategie | Beschrijving |
|---|---|
| Microsoft Entra ID | Microsoft Entra ID is de cloudservice voor identiteits- en toegangsbeheer van Microsoft. Met Microsoft Entra ID kunt u verfijnde toegang toewijzen aan gebruikers, groepen of toepassingen met behulp van op rollen gebaseerd toegangsbeheer. |
| Gedeelde sleutel | Autorisatie van gedeelde sleutels is afhankelijk van toegangssleutels voor uw Azure-opslagaccount en andere parameters om een versleutelde handtekeningtekenreeks te produceren. De tekenreeks wordt doorgegeven aan de aanvraag in de autorisatieheader. |
| Handtekeningen voor gedeelde toegang | Een SAS delegeert de toegang tot een bepaalde resource in uw Azure-opslagaccount met opgegeven machtigingen en voor een opgegeven tijdsinterval. |
| Anonieme toegang tot containers en blobs | U kunt optioneel blob-resources openbaar maken op container- of blobniveau. Een openbare container of blob is toegankelijk voor elke gebruiker voor anonieme leestoegang. Leesaanvragen voor openbare containers en blobs vereisen geen autorisatie. |