Een basislijn voor een Azure-opslagaccount maken

Voltooid

Een Azure Storage-account biedt een unieke naamruimte waar u uw Azure Storage-gegevensobjecten kunt opslaan en openen.

Aanbevelingen voor beveiliging van Azure Storage-accounts

In de volgende secties worden de aanbevelingen van Azure Storage beschreven die zich in CIS Microsoft Azure Foundations Security Benchmark v. 3.0.0 bevinden. Inbegrepen bij elke aanbeveling zijn de basisstappen die u in Azure Portal moet uitvoeren. Voer deze stappen uit voor uw eigen abonnement en gebruik uw eigen resources om elke beveiligingsaanaanveling te valideren. Houd er rekening mee dat opties op Niveau 2 mogelijk beperkingen tot gevolg kunnen hebben voor bepaalde functies of activiteiten. Het is dan ook belangrijk dat u zorgvuldig te werk gaat bij het bepalen van de beveiligingsopties die u wilt afdwingen.

Beveiligde overdrachten vereisen - Niveau 1

Dit is een stap die u moet uitvoeren om ervoor te zorgen dat uw Azure Storage-gegevens worden beveiligd door de gegevens tussen de client en Azure Storage te versleutelen. De eerste aanbeveling is om altijd het HTTPS-protocol te gebruiken. Het gebruik van HTTPS zorgt voor veilige communicatie via het openbare internet. Als u het gebruik van HTTPS wilt afdwingen wanneer u REST API's aanroept voor toegang tot objecten in opslagaccounts, schakelt u de optie Veilige overdracht in voor het opslagaccount. Nadat u dit besturingselement hebt ingeschakeld, worden verbindingen die gebruikmaken van HTTP geweigerd. Voer de volgende stappen uit voor elk opslagaccount in uw abonnement.

  1. Meld u aan bij het Azure-portaal. Zoek en selecteer Opslagaccounts.

  2. Selecteer een opslagaccount in het deelvenster Opslagaccounts .

  3. Selecteer Configuratie onder Instellingen in het linkermenu.

  4. Zorg ervoor dat beveiligde overdracht is ingesteld op Ingeschakeld in het deelvenster Configuratie.

  5. Als u instellingen wijzigt, selecteert u Opslaan in de menubalk.

Schermopname van de instelling voor beveiligde overdrachtsopslag in Azure Portal.

Versleuteling van blob (binary large object) inschakelen - Niveau 1

Azure Blob Storage is de Oplossing voor Microsoft-objectopslag voor de cloud. Blob Storage is geoptimaliseerd voor het opslaan van enorme hoeveelheden ongestructureerde gegevens. Ongestructureerde gegevens zijn gegevens die niet voldoen aan een specifiek gegevensmodel of -definitie. Voorbeelden van ongestructureerde gegevens zijn tekst en binaire gegevens. Versleuteling door de Storage-service zorgt voor bescherming van data-at-rest. Azure Storage versleutelt uw gegevens terwijl ze worden geschreven in de datacenters en ontsleutelt deze automatisch voor u wanneer u deze opent.

  1. Meld u aan bij het Azure-portaal. Zoek en selecteer Opslagaccounts.

  2. Selecteer een opslagaccount in het deelvenster Opslagaccounts .

  3. Selecteer Versleuteling in het linkermenu onder Beveiliging en netwerken.

  4. Houd er in het deelvenster Versleuteling rekening mee dat Azure Storage-versleuteling is ingeschakeld voor alle nieuwe en bestaande opslagaccounts en dat deze niet kan worden uitgeschakeld.

Schermopname van beveiligde opslagversleuteling wordt automatisch ingeschakeld.

Regelmatig opnieuw toegangssleutels genereren - Niveau 1

Wanneer u een opslagaccount in Azure maakt, genereert Azure twee 512-bits toegangssleutels voor opslag. Deze sleutels worden gebruikt voor verificatie wanneer het opslagaccount wordt geopend. Als u deze sleutels regelmatig roteert, zorgt u ervoor dat elke onbedoelde toegang tot of blootstelling van deze sleutels wordt beperkt door tijd. Voer de volgende stappen uit voor elk opslagaccount in uw Azure-abonnement.

  1. Meld u aan bij het Azure-portaal. Zoek en selecteer Opslagaccounts.

  2. Selecteer een opslagaccount in het deelvenster Opslagaccounts .

  3. Selecteer in het linkermenu Beveiliging en netwerken en selecteer vervolgens Toegangssleutels.

  4. Controleer de laatst gedraaide datum voor elke sleutel.

    Schermopname van de laatst gedraaide datum voor opslagaccountsleutels.

    Als u Azure Key Vault niet gebruikt met sleutelrotatie, kunt u de knop Sleutel draaien selecteren om uw toegangssleutels handmatig te draaien.

Vereisen dat handtekeningtokens voor gedeelde toegang binnen een uur verlopen - Niveau 1

Een handtekening voor gedeelde toegang is een URI die beperkte toegangsrechten verleent aan Azure Storage-resources. U kunt een handtekening voor gedeelde toegang opgeven voor clients die niet moeten worden vertrouwd met de sleutel van uw opslagaccount, maar aan wie u de toegang tot bepaalde opslagaccountresources wilt delegeren. Door een handtekening voor gedeelde toegang te distribueren aan deze clients, kunt u ze gedurende een bepaalde periode toegang geven tot een resource, met een opgegeven set machtigingen.

Notitie

Voor de aanbevelingen in CIS Microsoft Azure Foundations Security Benchmark v. 3.0.0 kunnen de verlooptijden van het handtekeningtoken voor gedeelde toegang niet automatisch worden geverifieerd. Voor de aanbeveling is handmatige verificatie vereist.

Vereisen dat handtekeningtokens voor gedeelde toegang alleen worden gedeeld via HTTPS - Niveau 1

Handtekeningtokens voor gedeelde toegang mogen alleen worden toegestaan via het HTTPS-protocol. Voer de volgende stappen uit voor elk opslagaccount in uw Azure-abonnement.

  1. Meld u aan bij het Azure-portaal. Zoek en selecteer Opslagaccounts.

  2. Selecteer een opslagaccount in het deelvenster Opslagaccounts .

  3. Selecteer Shared Access Signature in het menu onder Beveiliging en netwerken.

  4. Stel in het deelvenster Shared Access Signature onder Begin- en vervaldatum/-tijd de begin- en einddatum en -tijden in.

  5. Selecteer onder Toegestane protocollen alleen HTTPS.

  6. Als u instellingen wijzigt, selecteert u de knop SAS genereren en verbindingsreeks onder aan het scherm.

Schermopname van een handtekening voor gedeelde toegang in de instellingen van een opslagaccount en het HTTPS-protocol dat alleen is toegestaan.

Configureer handtekeningfuncties voor gedeelde toegang in de volgende secties.

Versleuteling van Azure-bestanden inschakelen - Niveau 1

Azure Disk Encryption versleutelt het besturingssysteem en de gegevensschijven in IaaS-VM's. Versleuteling aan de clientzijde en versleuteling aan de serverzijde (SSE) worden beide gebruikt voor het versleutelen van gegevens in Azure Storage. Voer de volgende stappen uit voor elk opslagaccount in uw Azure-abonnement.

  1. Meld u aan bij het Azure-portaal. Zoek en selecteer Opslagaccounts.

  2. Selecteer een opslagaccount in het deelvenster Opslagaccounts .

  3. Selecteer Versleuteling in het linkermenu onder Beveiliging en netwerken.

  4. Houd er in het deelvenster Versleuteling rekening mee dat Azure Storage-versleuteling is ingeschakeld voor alle nieuwe en bestaande blobopslag en bestandsopslag en dat deze niet kan worden uitgeschakeld.

Schermopname van versleuteling wordt automatisch ingeschakeld voor alle blobs en bestanden in opslagaccounts.

Alleen persoonlijke toegang tot blobcontainers vereisen - Niveau 1

U kunt anonieme, openbare leestoegang tot een container en de bijbehorende blobs in Azure Blob Storage inschakelen. Door anonieme, openbare leestoegang in te schakelen, kunt u alleen-lezentoegang verlenen tot deze resources zonder uw accountsleutel te delen en zonder dat hiervoor een handtekening voor gedeelde toegang is vereist. Standaard kunnen een container en blobs in deze container alleen worden geopend door een gebruiker die de juiste machtigingen heeft gekregen. Als u anonieme gebruikers leestoegang wilt verlenen tot een container en de bijbehorende blobs, kunt u het toegangsniveau van de container instellen op openbaar.

Als u echter openbare toegang verleent tot een container, kunnen anonieme gebruikers blobs lezen binnen een openbaar toegankelijke container zonder dat de aanvraag is geautoriseerd. U wordt aangeraden in plaats daarvan toegang tot opslagcontainers in te stellen op privé. Voer de volgende stappen uit voor elk opslagaccount in uw Azure-abonnement.

  1. Meld u aan bij het Azure-portaal. Zoek en selecteer Opslagaccounts.

  2. Selecteer een opslagaccount in het deelvenster Opslagaccounts .

  3. Selecteer Containers in het linkermenu onder Gegevensopslag.

  4. Zorg ervoor dat het niveau van openbare toegang is ingesteld op Privé in het deelvenster Containers.

Schermopname van een opslagcontainer met toegangsniveau ingesteld op privé.