Beveiligingsstrategieën voor Azure Storage controleren
Beheerders gebruiken verschillende strategieën om ervoor te zorgen dat hun gegevens veilig zijn. Veelvoorkomende benaderingen zijn versleuteling, verificatie, autorisatie en toegangsbeheer voor gebruikers met referenties, bestandsmachtigingen en persoonlijke handtekeningen. Azure Storage biedt een reeks beveiligingsmogelijkheden op basis van algemene strategieën om u te helpen uw gegevens te beveiligen.
Dingen die u moet weten over Beveiligingsstrategieën van Azure Storage
Laten we eens kijken naar enkele kenmerken van Azure Storage-beveiliging.
Versleuteling. Alle gegevens die naar Azure Storage worden geschreven, worden automatisch versleuteld met behulp van Azure Storage-versleuteling.
Verificatie. Microsoft Entra ID en op rollen gebaseerd toegangsbeheer (RBAC) worden ondersteund voor Azure Storage voor zowel resourcebeheerbewerkingen als gegevensbewerkingen.
- Wijs RBAC-rollen toe die zijn afgestemd op een Azure-opslagaccount aan beveiligingsprinciplen en gebruik Microsoft Entra-id om resourcebeheerbewerkingen, zoals sleutelbeheer, te autoriseren.
- Microsoft Entra-integratie wordt ondersteund voor gegevensbewerkingen in Azure Blob Storage en Azure Queue Storage.
Gegevens die onderweg zijn. Gegevens kunnen tijdens overdracht tussen een toepassing en Azure worden beveiligd met behulp van versleuteling aan de clientzijde, HTTPS of SMB 3.0.
Schijfversleuteling. Schijven en gegevensschijven van besturingssystemen die door Azure Virtual Machines worden gebruikt, kunnen worden versleuteld met behulp van Azure Disk Encryption.
Handtekeningen voor gedeelde toegang. Gedelegeerde toegang tot de gegevensobjecten in Azure Storage kan worden verleend met behulp van een Shared Access Signature (SAS).
Autorisatie. Elke aanvraag voor een beveiligde resource in Blob Storage, Azure Files, Queue Storage of Azure Cosmos DB (Azure Table Storage) moet zijn geautoriseerd. Autorisatie zorgt ervoor dat resources in uw opslagaccount alleen toegankelijk zijn wanneer u wilt dat ze zijn en alleen voor die gebruikers of toepassingen die u toegang verleent.
Aandachtspunten bij het gebruik van autorisatiebeveiliging
Bekijk de volgende strategieën voor het autoriseren van aanvragen naar Azure Storage. Denk na over welke beveiligingsstrategieën voor uw Azure Storage zouden werken.
| Autorisatiestrategie | Beschrijving |
|---|---|
| Microsoft Entra ID | Microsoft Entra ID is de cloudservice voor identiteits- en toegangsbeheer van Microsoft. Met Microsoft Entra ID kunt u verfijnde toegang toewijzen aan gebruikers, groepen of toepassingen met behulp van op rollen gebaseerd toegangsbeheer. |
| Gedeelde sleutel | Autorisatie van gedeelde sleutels is afhankelijk van toegangssleutels voor uw Azure-opslagaccount en andere parameters om een versleutelde handtekeningtekenreeks te produceren. De tekenreeks wordt doorgegeven aan de aanvraag in de autorisatieheader. |
| Handtekeningen voor gedeelde toegang | Een SAS delegeert de toegang tot een bepaalde resource in uw Azure-opslagaccount met opgegeven machtigingen en voor een opgegeven tijdsinterval. |
| Anonieme toegang tot containers en blobs | U kunt optioneel blob-resources openbaar maken op container- of blobniveau. Een openbare container of blob is toegankelijk voor elke gebruiker voor anonieme leestoegang. Leesaanvragen voor openbare containers en blobs vereisen geen autorisatie. |