Azure Storage-beveiligingsfuncties verkennen

Voltooid

Contoso is sterk afhankelijk van enorme hoeveelheden gegevens in Azure Storage. De vele toepassingen vertrouwen op blobs, ongestructureerde tabelopslag, Azure Data Lake en op SMB (Server Message Block) gebaseerde bestandsshares.

Na een beveiligingsschending bij een concurrent van Contoso, geeft Contoso de netwerkbeheerder opdracht om de gegevensbeveiliging van de organisatie te controleren. Als gegevensconsulent van Contoso verzekert u de netwerkbeheerder ervan dat Azure Storage-accounts verschillende beveiligingsfuncties op hoog niveau bieden voor de gegevens in de cloud:

• De gegevens 'at rest' beveiligen
• De gegevens 'in transit' beveiligen
• Browsertoegang voor meerdere domeinen ondersteunen
• Beheren wie toegang heeft tot gegevens
• Toegang tot de opslag controleren

Versleuteling 'at rest'

Alle gegevens die worden geschreven naar Azure Storage worden automatisch versleuteld via SSE (Storage Service Encryption) met 256-bits AES-versleuteling (Advanced Encryption Standard), en zijn conform FIPS 140-2. Bij het schrijven naar Azure Storage worden gegevens via SSE automatisch versleuteld. Wanneer u gegevens van Azure Storage leest, worden de gegevens eerst ontsleuteld voordat ze worden geretourneerd. Voor dit proces worden geen extra kosten in rekening gebracht. Het proces heeft geen nadelige gevolgen voor de prestaties. De functie kan niet worden uitgeschakeld.

Voor virtuele machines (VM's) kunt u met behulp van Azure Disk Encryption virtuele harde schijven (VHD's) versleutelen. Deze versleuteling maakt gebruik van BitLocker voor Windows-installatiekopieën en maakt gebruik van dm-crypt voor Linux.

De sleutels worden automatisch opgeslagen in Azure Key Vault, zodat u de schijfversleutelingssleutels en -geheimen kunt beheren. Dus zelfs als iemand toegang tot de installatiekopie van de VHD krijgt en deze downloadt, hebben ze geen toegang tot de gegevens op de VHD.

Versleuteling 'in transit'

Beveilig uw gegevens door beveiliging op transportniveau in te schakelen tussen Azure en de client. Gebruik altijd HTTPS om de communicatie via het openbare internet te beveiligen. U kunt het gebruik van HTTPS afdwingen bij het aanroepen van de REST API's voor toegang tot objecten in opslagaccounts door veilige overdracht te vereisen voor het opslagaccount. Nadat u veilige gegevensoverdracht hebt ingeschakeld, worden verbindingen die HTTP gebruiken, geweigerd. Hiermee wordt ook veilige overdracht via SMB afgedwongen door af te dwingen dat SMB 3.0 wordt gebruikt voor alle koppelingen van bestandsshares.

CORS-ondersteuning

Contoso slaat verschillende typen assets van websites op in Azure Storage. Deze typen bevatten afbeeldingen en video's. Om browser-apps te beveiligen, beperkt Contoso GET-aanvragen tot specifieke domeinen.

Azure Storage biedt ondersteuning voor toegang tot meerdere domeinen via CORS (Cross-Origin Resource Sharing). CORS maakt gebruik van HTTP-headers zodat een webtoepassing op één domein toegang heeft tot resources vanaf een server op een ander domein. Door gebruik te maken van CORS kunnen web-apps ervoor zorgen dat alleen geautoriseerde inhoud wordt geladen vanuit geautoriseerde bronnen.

CORS-ondersteuning is een optionele vlag die u voor opslagaccounts kunt inschakelen. Aan de hand van de vlag worden de juiste headers toegevoegd wanneer u HTTP GET-aanvragen gebruikt voor het ophalen van resources uit het opslagaccount.

Op rollen gebaseerd toegangsbeheer

Voor toegang tot de gegevens in een opslagaccount verzendt de client een aanvraag via HTTP of HTTPS. Elke aanvraag voor een beveiligde resource moet worden goedgekeurd. De service zorgt ervoor dat de client over de vereiste machtigingen beschikt voor toegang tot de gegevens. U kunt verschillende toegangsopties kiezen. Wellicht is toegang op basis van rollen de meest flexibele oplossing.

Azure Storage ondersteunt Microsoft Entra ID en op rollen gebaseerd toegangsbeheer (RBAC) voor zowel resourcebeheer als gegevensbewerkingen. Voor beveiligingsprinciplen kunt u RBAC-rollen toewijzen die zijn afgestemd op het opslagaccount. U kunt Active Directory gebruiken om resourcebeheerbewerkingen, zoals configuratie, te autoriseren. Active Directory wordt ondersteund voor gegevensbewerkingen in blob-opslag en Queue Storage.

U kunt RBAC-rollen toewijzen aan een beveiligingsprincipaal of een beheerde identiteit voor Azure-resources die zijn afgestemd op een abonnement, een resourcegroep, een opslagaccount of een afzonderlijke container of wachtrij.

Toegang controleren

U kunt de toegang ook beheren door een controle uit te voeren. U kunt de toegang tot Azure Storage controleren met behulp van de ingebouwde Storage Analytics-service.

In Opslaganalyse wordt elke bewerking in realtime geregistreerd en u kunt in de Opslaganalyse-logboeken zoeken naar specifieke aanvragen. U kunt filteren op basis van het verificatiemechanisme, het succes van de bewerking of de resource die is geopend.