Poznawanie funkcji zabezpieczeń usługi Azure Storage

10 min

Działalność firmy Contoso w znacznym stopniu zależy od ogromnych ilości danych w usłudze Azure Storage. Wiele jej aplikacji korzysta z obiektów blob, magazynu tabel bez struktury, usługi Azure Data Lake oraz udziałów plików opartych na protokole SMB (Server Message Block).

Po tym, jak u konkurenta firmy Contoso doszło do wykradzenia danych, firma Contoso zleciła administratorowi sieci sprawdzenie bezpieczeństwa danych w organizacji. Jako konsultant ds. danych firmy Contoso możesz zapewnić administratora sieci, że konta usługi Azure Storage oferują kilka funkcji zabezpieczeń wysokiego poziomu dla danych w chmurze:

Ochrona magazynowanych danych
Ochrona przesyłanych danych
Obsługa dostępu między domenami w przeglądarce
Kontrolowanie, kto ma dostęp do danych
Przeprowadzanie inspekcji dostępu do magazynu

Szyfrowanie w spoczynku

Wszystkie dane zapisywane w usłudze Azure Storage są automatycznie szyfrowane przy użyciu funkcji szyfrowania usługi Storage (Storage Service Encryption, SSE) korzystającej z 256-bitowego szyfru AES (Advanced Encryption Standard) i są zgodne ze standardem FIPS 140-2. Funkcja SSE automatycznie szyfruje dane zapisywane w usłudze Azure Storage. Podczas odczytywania danych z usługi Azure Storage usługa ta odszyfrowuje dane przed ich zwróceniem. Ten proces nie powoduje naliczania żadnych dodatkowych opłat i nie obniża wydajności. Nie można go wyłączyć.

W przypadku maszyn wirtualnych platforma Azure umożliwia szyfrowanie wirtualnych dysków twardych (VHD) przy użyciu usługi Azure Disk Encryption. To szyfrowanie używa funkcji BitLocker dla obrazów systemu Windows i używa narzędzia dm-crypt dla systemu Linux.

Klucze są automatycznie zapisywane w usłudze Azure Key Vault, co pomaga kontrolować klucze szyfrowania dysków i wpisy tajne oraz zarządzać nimi. Dlatego nawet jeśli ktoś uzyska dostęp do obrazu wirtualnego dysku twardego i pobierze go, nie dostanie się do danych zapisanych na tym dysku.

Szyfrowanie podczas transferu

Bezpieczeństwo danych można zapewnić, włączając zabezpieczenia na poziomie transportu między platformą Azure a klientem. Zawsze używaj protokołu HTTPS do zabezpieczania komunikacji przez publiczny Internet. Podczas wywoływania interfejsów API REST w celu uzyskania dostępu do obiektów na kontach magazynu można wymusić używanie protokołu HTTPS, żądając bezpiecznego transferu dla konta magazynu. Po włączeniu bezpiecznego transferu połączenia, które używają protokołu HTTP, będą odrzucane. Flaga ta pozwala również wymuszać bezpieczny transfer za pośrednictwem protokołu SMB — dla wszystkich instalacji udziałów plików będzie wymagany protokół SMB 3.0.

Obsługa mechanizmu CORS

Firma Contoso przechowuje kilka typów zawartości witryn internetowych w usłudze Azure Storage. Obejmują one obrazy i wideo. Aby zapewnić bezpieczeństwo aplikacji przeglądarki, firma Contoso ogranicza żądania GET do określonych domen.

Usługa Azure Storage obsługuje dostęp między domenami za pośrednictwem mechanizmu współużytkowania zasobów między źródłami (CORS). Mechanizm CORS korzysta z nagłówków HTTP, umożliwiając aplikacji internetowej z jednej domeny dostęp do zasobów serwera z innej domeny. Użycie mechanizmu CORS gwarantuje, że aplikacje internetowe ładują tylko zawartość z autoryzowanych źródeł.

Obsługa mechanizmu CORS to opcjonalna flaga, którą można włączyć na kontach magazynu. Flaga dodaje odpowiednie nagłówki, gdy używa się żądań GET HTTP do pobierania zasobów z konta magazynu.

Kontrola dostępu oparta na rolach

Aby uzyskać dostęp do danych na koncie magazynu, klient wysyła żądanie za pośrednictwem protokołu HTTP lub HTTPS. Każde żądanie kierowane do bezpiecznego zasobu musi być autoryzowane. Usługa zapewnia, że klient ma uprawnienia wymagane do uzyskania dostępu do danych. Do wyboru jest kilka opcji dostępu. Najbardziej elastyczną opcją jest zapewne dostęp oparty na rolach.

Usługa Azure Storage obsługuje funkcję Microsoft Entra ID i kontroli dostępu opartej na rolach (RBAC) na potrzeby zarządzania zasobami i operacji na danych. W przypadku podmiotów zabezpieczeń można przypisać role RBAC, które są ograniczone do konta magazynu. Za pomocą usługi Active Directory można autoryzować operacje zarządzania zasobami, takie jak konfiguracja. Usługa Active Directory jest obsługiwana w przypadku operacji na danych w magazynie obiektów blob i kolejek.

Role RBAC można przypisać do podmiotu zabezpieczeń lub tożsamości zarządzanej dla zasobów platformy Azure, które są ograniczone do subskrypcji, grupy zasobów, konta magazynu lub pojedynczego kontenera lub kolejki.

Inspekcje dostępu

Inspekcja jest innym elementem kontroli dostępu. Inspekcję dostępu do usługi Azure Storage można przeprowadzić przy użyciu wbudowanej usługi Storage Analytics.