Konta magazynu i zabezpieczenia
Konta usługi Azure Storage są idealne w przypadku obciążeń wymagających szybkich i spójnych czasów odpowiedzi lub dużej liczby operacji wejściowych (IOP) na sekundę. Konta magazynu zawierają wszystkie obiekty danych usługi Azure Storage, które obejmują:
- Obiekty blob
- Udziały plików
- Kolejki
- Tabele
- Dyski
Konta magazynu zapewniają unikatową przestrzeń nazw dla danych, które są dostępne w dowolnym miejscu HTTP
lub HTTPS
.
Aby uzyskać więcej informacji na temat różnych typów kont magazynu, które obsługują różne funkcje, zobacz Typy kont magazynu.
Aby dowiedzieć się, jak konto usługi Azure Storage zwiększa bezpieczeństwo obciążenia aplikacji, zapoznaj się z następującymi artykułami:
- Punkt odniesienia zabezpieczeń platformy Azure dla usługi Azure Storage
- Szyfrowanie w usłudze Azure Storage dla danych magazynowanych
- Używanie prywatnych punktów końcowych dla usługi Azure Storage
Poniższe sekcje obejmują zagadnienia dotyczące projektowania, listę kontrolną konfiguracji i zalecane opcje konfiguracji specyficzne dla kont i zabezpieczeń usługi Azure Storage.
Zagadnienia dotyczące projektowania
Konta usługi Azure Storage obejmują następujące zagadnienia dotyczące projektowania:
- Nazwy kont magazynu muszą zawierać od trzech do 24 znaków i mogą zawierać tylko cyfry i małe litery.
- Aby uzyskać informacje o bieżących specyfikacjach umowy SLA, zapoznaj się z umową SLA dla kont magazynu.
- Przejdź do obszaru Nadmiarowość usługi Azure Storage , aby określić, która opcja nadmiarowości jest najlepsza dla konkretnego scenariusza.
- Nazwy kont magazynu muszą być unikatowe na platformie Azure. Każde konto magazynu musi mieć inną nazwę.
Lista kontrolna
Czy skonfigurowano konto usługi Azure Storage z uwzględnieniem zabezpieczeń?
- Włącz usługę Azure Defender dla wszystkich kont magazynu.
- Włącz usuwanie nietrwałe dla danych obiektów blob.
- Użyj identyfikatora Microsoft Entra, aby autoryzować dostęp do danych obiektów blob.
- Podczas przypisywania uprawnień do podmiotu zabezpieczeń Microsoft Entra przy użyciu kontroli dostępu opartej na rolach platformy Azure należy wziąć pod uwagę zasadę najniższych uprawnień.
- Użyj tożsamości zarządzanych, aby uzyskać dostęp do danych obiektów blob i kolejek.
- Przechowywanie danych krytycznych dla działania firmy przy użyciu przechowywania wersji obiektów blob lub niezmiennych obiektów blob.
- Ogranicz domyślny dostęp do Internetu dla kont magazynu.
- Włącz reguły zapory.
- Ogranicz dostęp sieciowy do określonych sieci.
- Zezwalaj zaufanym usługom firmy Microsoft na dostęp do konta magazynu.
- Włącz opcję Wymagany bezpieczny transfer na wszystkich kontach magazynu.
- Ogranicz tokeny sygnatury dostępu współdzielonego tylko do
HTTPS
połączeń. - Unikaj i zapobiegaj używaniu autoryzacji klucza współdzielonego do uzyskiwania dostępu do kont magazynu.
- Okresowe ponowne generowanie kluczy konta.
- Utwórz plan odwołania i umieść go dla dowolnej sygnatury dostępu współdzielonego, która jest wystawiana klientom.
- Użyj czasu wygaśnięcia w najbliższej perspektywie dla zaimprowizowania sygnatury dostępu współdzielonego, sygnatury dostępu współdzielonego usługi lub sygnatury dostępu współdzielonego konta.
Zalecenia dotyczące konfiguracji
Rozważ następujące zalecenia, aby zoptymalizować zabezpieczenia podczas konfigurowania konta usługi Azure Storage:
Zalecenie | Opis |
---|---|
Włącz usługę Azure Defender dla wszystkich kont magazynu. | Usługa Azure Defender dla usługi Azure Storage udostępnia dodatkową warstwę analizy zabezpieczeń, która wykrywa nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do kont magazynu lub wykorzystania ich. Alerty zabezpieczeń są wyzwalane w Azure Security Center w przypadku wystąpienia anomalii w działaniu. Alerty są również wysyłane za pośrednictwem poczty e-mail do administratorów subskrypcji, ze szczegółami podejrzanych działań i rekomendacjami dotyczącymi sposobu badania i korygowania zagrożeń. Aby uzyskać więcej informacji, zobacz Konfigurowanie usługi Azure Defender dla usługi Azure Storage. |
Włącz usuwanie nietrwałe dla danych obiektów blob. | Usuwanie nietrwałe dla obiektów blob usługi Azure Storage umożliwia odzyskiwanie danych obiektów blob po ich usunięciu. |
Użyj identyfikatora Microsoft Entra, aby autoryzować dostęp do danych obiektów blob. | Microsoft Entra ID zapewnia doskonałe zabezpieczenia i łatwość użycia klucza wspólnego na potrzeby autoryzowania żądań do magazynu obiektów blob. Zaleca się używanie autoryzacji Microsoft Entra w aplikacjach obiektów blob i kolejek, gdy jest to możliwe, aby zminimalizować potencjalne luki w zabezpieczeniach związane z kluczem udostępnionym. Aby uzyskać więcej informacji, zobacz Autoryzowanie dostępu do obiektów blob i kolejek platformy Azure przy użyciu identyfikatora Microsoft Entra. |
Podczas przypisywania uprawnień do podmiotu zabezpieczeń Microsoft Entra przy użyciu kontroli dostępu opartej na rolach platformy Azure należy wziąć pod uwagę zasadę najniższych uprawnień. | Podczas przypisywania roli do użytkownika, grupy lub aplikacji przyznaj temu podmiotowi zabezpieczeń tylko te uprawnienia niezbędne do wykonywania zadań. Ograniczenie dostępu do zasobów pomaga zapobiec przypadkowemu i złośliwemu niewłaściwemu użyciu danych. |
Użyj tożsamości zarządzanych, aby uzyskać dostęp do danych obiektów blob i kolejek. | Usługi Azure Blob i Queue Storage obsługują uwierzytelnianie Microsoft Entra za pomocą tożsamości zarządzanych dla zasobów platformy Azure. Tożsamości zarządzane dla zasobów platformy Azure mogą autoryzować dostęp do danych obiektów blob i kolejek przy użyciu poświadczeń Microsoft Entra z aplikacji działających na maszynach wirtualnych platformy Azure, aplikacjach funkcji, zestawach skalowania maszyn wirtualnych i innych usługach. Korzystając z tożsamości zarządzanych dla zasobów platformy Azure wraz z uwierzytelnianiem Microsoft Entra, można uniknąć przechowywania poświadczeń z aplikacjami uruchomionymi w chmurze i problemami z wygasającą jednostką usługi. Aby uzyskać więcej informacji, zobacz Autoryzowanie dostępu do danych obiektów blob i kolejek za pomocą tożsamości zarządzanych dla zasobów platformy Azure . |
Przechowywanie danych krytycznych dla działania firmy przy użyciu przechowywania wersji obiektów blob lub niezmiennych obiektów blob. | Rozważ użycie przechowywania wersji obiektów blob w celu zachowania poprzednich wersji obiektu lub użycia zasad archiwizacji ze względów prawnych i zasad przechowywania na podstawie czasu do przechowywania danych obiektów blob w stanie WORM (zapis raz, odczyt wielu). Niezmienne obiekty blob można odczytywać, ale nie można ich modyfikować ani usuwać w okresie przechowywania. Aby uzyskać więcej informacji, zapoznaj się z tematem Przechowywanie danych obiektów blob krytycznych dla działania firmy z niezmiennym magazynem. |
Ogranicz domyślny dostęp do Internetu dla kont magazynu. | Domyślnie dostęp sieciowy do kont magazynu nie jest ograniczony i jest otwarty dla całego ruchu pochodzącego z Internetu. Dostęp do kont magazynu należy udzielić określonym sieciom wirtualnym platformy Azure tylko wtedy, gdy jest to możliwe lub używać prywatnych punktów końcowych, aby umożliwić klientom w sieci wirtualnej bezpieczny dostęp do danych za pośrednictwem Private Link. Aby uzyskać więcej informacji, zobacz Używanie prywatnych punktów końcowych dla usługi Azure Storage . Wyjątki mogą być tworzone dla kont magazynu, które muszą być dostępne przez Internet. |
Włącz reguły zapory. | Skonfiguruj reguły zapory, aby ograniczyć dostęp do konta magazynu do żądań pochodzących z określonych adresów IP lub zakresów albo z listy podsieci w usłudze Azure Virtual Network (VNet). Aby uzyskać więcej informacji na temat konfigurowania reguł zapory, zobacz Konfigurowanie zapór i sieci wirtualnych usługi Azure Storage. |
Ogranicz dostęp sieciowy do określonych sieci. | Ograniczenie dostępu sieciowego do sieci hostujących klientów wymagających dostępu zmniejsza narażenie zasobów na ataki sieciowe przy użyciu wbudowanej funkcji zapory i sieci wirtualnych lub przy użyciu prywatnych punktów końcowych. |
Zezwalaj zaufanym usługom firmy Microsoft na dostęp do konta magazynu. | Włączenie reguł zapory dla kont magazynu domyślnie blokuje żądania przychodzące dla danych, chyba że żądania pochodzą z usługi działającej w ramach usługi Azure Virtual Network (VNet) lub z dozwolonych publicznych adresów IP. Zablokowane żądania obejmują te żądania z innych usług platformy Azure, z Azure Portal, z usług rejestrowania i metryk itd. Możesz zezwolić na żądania z innych usług platformy Azure, dodając wyjątek, aby zezwolić zaufanym usługom firmy Microsoft na dostęp do konta magazynu. Aby uzyskać więcej informacji na temat dodawania wyjątku dla zaufanych usług firmy Microsoft, zobacz Konfigurowanie zapór i sieci wirtualnych usługi Azure Storage. |
Włącz opcję Wymagany bezpieczny transfer na wszystkich kontach magazynu. | Po włączeniu opcji Wymagany bezpieczny transfer wszystkie żądania dotyczące konta magazynu muszą odbywać się za pośrednictwem bezpiecznych połączeń. Wszystkie żądania wysyłane za pośrednictwem protokołu HTTP kończą się niepowodzeniem. Aby uzyskać więcej informacji, zapoznaj się z tematem Require secure transfer in Azure Storage (Wymagaj bezpiecznego transferu w usłudze Azure Storage). |
Ogranicz tokeny sygnatury dostępu współdzielonego tylko do HTTPS połączeń. |
Wymaganie HTTPS , gdy klient używa tokenu SAS do uzyskiwania dostępu do danych obiektów blob, pomaga zminimalizować ryzyko podsłuchiwania. Aby uzyskać więcej informacji, zobacz Udzielanie ograniczonego dostępu do zasobów usługi Azure Storage przy użyciu sygnatur dostępu współdzielonego (SAS). |
Unikaj i zapobiegaj używaniu autoryzacji klucza współdzielonego do uzyskiwania dostępu do kont magazynu. | Zaleca się użycie identyfikatora Microsoft Entra w celu autoryzowania żądań do usługi Azure Storage i zapobiegania autoryzacji klucza współużytkowanego. W przypadku scenariuszy wymagających autoryzacji klucza współużytkowanego zawsze preferuj tokeny SAS w przypadku dystrybucji klucza wspólnego. |
Okresowe ponowne generowanie kluczy konta. | Okresowe obracanie kluczy kont zmniejsza ryzyko ujawnienia danych złośliwym podmiotom. |
Utwórz plan odwołania i umieść go dla dowolnej sygnatury dostępu współdzielonego, która jest wystawiana klientom. | W przypadku naruszenia zabezpieczeń sygnatury dostępu współdzielonego należy natychmiast odwołać tę sygnaturę dostępu współdzielonego. Aby odwołać sygnaturę dostępu współdzielonego delegowania użytkownika, odwołaj klucz delegowania użytkownika, aby szybko unieważnić wszystkie podpisy skojarzone z tym kluczem. Aby odwołać sygnaturę dostępu współdzielonego usługi skojarzona z zapisanymi zasadami dostępu, możesz usunąć przechowywane zasady dostępu, zmienić nazwę zasad lub zmienić czas wygaśnięcia na czas, który znajduje się w przeszłości. |
Używaj niemalterminowych czasów wygaśnięcia w impromptu SAS, sygnatury dostępu współdzielonego usługi lub sygnatury dostępu współdzielonego konta. | Jeśli bezpieczeństwo sygnatury dostępu współdzielonego zostało naruszone, jest ważne tylko przez krótki czas. Ta praktyka jest szczególnie ważna, jeśli nie można odwoływać się do przechowywanych zasad dostępu. Niemalterminowe czasy wygaśnięcia ograniczają również ilość danych, które można zapisać w obiekcie blob, ograniczając czas dostępny do przekazania do niego. Klienci powinni odnowić sygnaturę dostępu współdzielonego na długo przed wygaśnięciem, aby umożliwić ponowne próby, jeśli usługa dostarczająca sygnaturę dostępu współdzielonego jest niedostępna. |