Contas de Armazenamento e segurança
As Contas de Armazenamento do Azure são ideais para cargas de trabalho que exigem tempos de resposta rápidos e consistentes ou têm um alto número de operações IOP (saída e entrada) por segundo. As contas de armazenamento contêm todos os seus objetos de dados do Armazenamento do Azure, que incluem:
- Blobs
- Compartilhamentos de arquivo
- Filas
- Tabelas
- Discos
As contas de armazenamento fornecem um namespace exclusivo para os seus dados, acessível em qualquer lugar por HTTP
ou HTTPS
.
Para obter mais informações sobre os diferentes tipos de contas de armazenamento que dão suporte a diversos recursos, consulte Tipos de contas de armazenamento.
Para entender como uma conta de armazenamento do Azure aumenta a segurança para a carga de trabalho do aplicativo, consulte os seguintes artigos:
- Linha de base de segurança do Azure para armazenamento do Azure
- Criptografia do Armazenamento do Azure para dados em repouso
- Usar pontos de extremidade privados para o Armazenamento do Microsoft Azure
As seções a seguir incluem considerações de design, uma lista de verificação de configuração e opções de configuração recomendadas específicas para contas de armazenamento do Azure e segurança.
Considerações sobre o design
As contas de armazenamento do Azure incluem as seguintes considerações de design:
- Os nomes de conta de armazenamento devem ter entre três e 24 caracteres e podem conter apenas números e letras minúsculas.
- Para obter as especificações atuais do SLA, consulte SLA para Contas de Armazenamento.
- Acesse Redundância de Armazenamento do Azure para determinar a melhor opção de redundância para cenários específicos.
- Os nomes da sua conta de armazenamento devem ser exclusivos no Azure. Duas contas de armazenamento não podem ter o mesmo nome.
Lista de verificação
Você configurou a Conta de Armazenamento Azure com a segurança em mente?
- Habilite o Azure Defender para todas as suas contas de armazenamento.
- Ative a exclusão temporária para dados de blobs.
- Use Microsoft Entra ID para autorizar o acesso aos dados de blob.
- Considere o princípio de privilégio mínimo ao atribuir permissões a uma entidade de segurança Microsoft Entra por meio do RBAC do Azure.
- Use identidades gerenciadas para acessar dados de blob e de fila.
- Use o controle de versão de blob ou blobs imutáveis para armazenar dados comercialmente críticos.
- Restrinja o acesso padrão à Internet para contas de armazenamento.
- Habilite regras de firewall.
- Limite o acesso à rede a redes específicas.
- Permita que serviços da Microsoft confiáveis acessem a conta de armazenamento.
- Habilite a opção Transferência segura obrigatória em todas as suas contas de armazenamento.
- Limite tokens SAS (assinatura de acesso compartilhado) apenas a conexões
HTTPS
. - Evite e impeça o uso da autorização de Chave Compartilhada para acessar contas de armazenamento.
- Regenere suas chaves de conta periodicamente.
- Crie e coloque em prática um plano de revogação para qualquer SAS que você emita para clientes.
- Use períodos de vencimento breves em SASs improvisadas, de serviço ou de conta.
Recomendações de configuração
Considere as seguintes recomendações para otimizar a segurança ao configurar a Conta de Armazenamento do Azure:
Recomendação | Descrição |
---|---|
Habilite o Azure Defender para todas as suas contas de armazenamento. | O Azure Defender para Armazenamento do Azure fornece uma camada adicional de inteligência de segurança que detecta tentativas de acesso ou exploração de contas de armazenamento incomuns e potencialmente prejudiciais. Os alertas de segurança são disparados na Central de Segurança do Azure quando há anomalias na atividade. Eles também são enviados por email para administradores de assinaturas, com detalhes da atividade suspeita e recomendações sobre como investigar e corrigir as ameaças. Para obter mais informações, consulte Configurar o Azure Defender para o Armazenamento do Azure. |
Ative a exclusão temporária para dados de blobs. | A exclusão temporária para blobs do Armazenamento do Azure permite recuperar dados de blob após sua exclusão. |
Use Microsoft Entra ID para autorizar o acesso aos dados de blob. | Microsoft Entra ID fornece segurança superior e facilidade de uso sobre a Chave Compartilhada para autorizar solicitações para o armazenamento de blobs. É recomendável usar Microsoft Entra autorização com seus aplicativos de blob e fila quando possível para minimizar possíveis vulnerabilidades de segurança inerentes à Chave Compartilhada. Para obter mais informações, consulte Autorizar o acesso a blobs e filas do Azure usando Microsoft Entra ID. |
Considere o princípio de privilégio mínimo ao atribuir permissões a uma entidade de segurança Microsoft Entra por meio do RBAC do Azure. | Ao atribuir uma função a um usuário, grupo ou aplicativo, conceda a essa entidade de segurança somente as permissões necessárias à execução de suas tarefas. Limitar o acesso a recursos ajuda a impedir o uso indevido intencional e mal-intencionado dos seus dados. |
Use identidades gerenciadas para acessar dados de blob e de fila. | O Armazenamento de Blobs e Filas do Azure dá suporte Microsoft Entra autenticação com identidades gerenciadas para recursos do Azure. Identidades gerenciadas para recursos do Azure podem autorizar o acesso a dados de blob e fila usando Microsoft Entra credenciais de aplicativos em execução em VMs (máquinas virtuais) do Azure, aplicativos de funções, conjuntos de dimensionamento de máquinas virtuais e outros serviços. Usando identidades gerenciadas para recursos do Azure junto com Microsoft Entra autenticação, você pode evitar armazenar credenciais com seus aplicativos executados na nuvem e problemas com entidades de serviço expiradas. Consulte Autorizar o acesso a dados de blob e de fila com identidades gerenciadas para recursos do Azure para obter mais informações. |
Use o controle de versão de blob ou blobs imutáveis para armazenar dados comercialmente críticos. | Considere o uso do Controle de versão de blob para manter versões anteriores de um objeto, ou o uso de retenções legais e políticas de retenção baseadas em tempo para armazenar dados de blob em estado WORM (Write Once, Read Many). Blobs imutáveis podem ser lidos, mas não modificados ou excluídos durante o intervalo de retenção. Para obter mais informações, consulte Armazenar dados de blob comercialmente críticos com armazenamento imutável. |
Restrinja o acesso padrão à Internet para contas de armazenamento. | Por padrão, o acesso de rede a Contas de Armazenamento não é restrito e está aberto a todo o tráfego proveniente da Internet. Sempre que possível, o acesso a contas de armazenamento deve ser concedido somente a Redes Virtuais do Azure específicas, ou use pontos de extremidade privados para permitir que clientes em uma VNet (rede virtual) acessem dados com segurança por meio de um Link Privado. Confira Usar pontos de extremidade privados para o Armazenamento do Azure para obter mais informações. Pode haver exceções, no caso de Contas de Armazenamento que precisem ser acessíveis pela Internet. |
Habilite regras de firewall. | Configure as regras de firewall para limitar o acesso à sua conta de armazenamento a solicitações originadas de endereços IP especificados, ou intervalos ou de uma lista de sub-redes em uma VNet (Rede Virtual) do Azure. Para obter mais informações sobre como configurar regras de firewall, consulte Configurar firewalls e redes virtuais do Armazenamento do Azure. |
Limite o acesso à rede a redes específicas. | Limitar o acesso a redes que hospedem clientes que solicitem acesso reduz a exposição dos seus recursos a ataques na rede, seja com o uso do Firewall interno e da funcionalidade de redes virtuais ou de pontos de extremidade privados. |
Permita que serviços da Microsoft confiáveis acessem a conta de armazenamento. | Por padrão, a ativação de regras de firewall para contas de armazenamento bloqueia solicitações de entrada para os dados, a menos que tais solicitações venham de um serviço que opere em uma VNet (Rede Virtual) do Azure ou de endereços IP públicos permitidos. As solicitações bloqueadas incluem aquelas de outros serviços do Azure, do portal do Azure e de registro em log e métricas, entre outras. Você pode permitir solicitações de outros serviços do Azure adicionando uma exceção para permitir que serviços confiáveis da Microsoft acessem a conta de armazenamento. Para obter mais informações sobre como adicionar uma exceção para serviços Microsoft confiáveis, consulte Configurar firewalls e redes virtuais do Armazenamento do Azure. |
Habilite a opção Transferência segura obrigatória em todas as suas contas de armazenamento. | Quando você habilita a opção Transferência segura necessária, todas as solicitações feitas na conta de armazenamento devem ocorrer em conexões seguras. Todas as solicitações feitas por HTTP falharão. Para obter mais informações, consulte Exigir transferência segura no Armazenamento do Azure. |
Limite tokens SAS (assinatura de acesso compartilhado) apenas a conexões HTTPS . |
A exigência de HTTPS quando um cliente usar um token SAS para acessar dados de blob ajuda a minimizar o risco de interceptação. Para obter mais informações, confira Conceder acesso limitado a recursos do Armazenamento do Azure usando SAS (assinaturas de acesso compartilhado). |
Evite e impeça o uso da autorização de Chave Compartilhada para acessar contas de armazenamento. | É recomendável usar Microsoft Entra ID para autorizar solicitações ao Armazenamento do Azure e impedir a autorização de chave compartilhada. Em cenários que exijam autorização de Chave Compartilhada, prefira sempre tokens SAS à distribuição da Chave Compartilhada. |
Regenere suas chaves de conta periodicamente. | Girar as chaves de conta periodicamente reduz o risco de expor seus dados para atores mal-intencionados. |
Crie e coloque em prática um plano de revogação para qualquer SAS que você emita para clientes. | Se uma SAS for comprometida, revogue-a imediatamente. Para revogar uma SAS de delegação de usuário, revogue a chave de delegação de usuário para invalidar rapidamente todas as assinaturas associadas a essa chave. Para revogar uma SAS de serviço associada a uma política de acesso armazenada, você pode excluir essa política, renomeá-la ou alterar sua hora de expiração para uma hora passada. |
Use períodos de vencimento breves em SASs improvisadas, de serviço ou de conta. | Se uma SAS for comprometida, será válida apenas por um curto período. Essa prática é especialmente importante se não for possível referenciar uma política de acesso armazenada. Períodos de vencimento breves também limitam a quantidade de dados que podem ser gravados em um blob, limitando o tempo disponível para carregá-los. Os clientes devem renovar a SAS bem antes da expiração, para que haja tempo para novas tentativas caso o serviço que a fornece não esteja disponível. |