Examinar as estratégias de segurança de Armazenamento do Azure
Os administradores usam estratégias diferentes para garantir a segurança dos dados. As abordagens comuns incluem criptografia, autenticação, autorização e controle de acesso do usuário com credenciais, permissões de arquivo e assinaturas privadas. O Armazenamento do Azure oferece um conjunto de recursos de segurança com base em estratégias comuns para ajudá-lo a proteger seus dados.
Informações sobre as estratégias de segurança do Armazenamento do Azure
Vamos examinar algumas características da segurança do Armazenamento do Azure.
Criptografia em repouso. O Storage Service Encryption (SSE) com uma cifra Advanced Encryption Standard (AES) de 256 bits criptografa todos os dados gravados no Armazenamento do Azure. Quando você lê dados do Armazenamento do Azure, ele descriptografa os dados antes de retorná-los. Esse processo não gera custos extras e não prejudica o desempenho. Ele não pode ser desabilitado.
Autenticação. O Microsoft Entra ID e o RBAC (controle de acesso baseado em função) têm suporte para o Armazenamento do Azure para operações de gerenciamento de recursos e operações de dados.
- Atribua funções RBAC com escopo de uma conta de armazenamento do Azure a entidades de segurança e use o Microsoft Entra ID para autorizar operações de gerenciamento de recursos, como o gerenciamento de chaves.
- A integração do Microsoft Entra tem suporte para operações de dados no Armazenamento de Blobs do Azure e no Armazenamento de Filas do Azure.
Criptografia em trânsito. Mantenha seus dados protegidos habilitando a segurança no nível do transporte entre o Azure e o cliente. Sempre use HTTPS para proteger a comunicação na Internet pública. Ao chamar as APIs REST para acessar objetos em contas de armazenamento, você pode impor o uso de HTTPS exigindo a transferência segura para a conta de armazenamento. Depois que a transferência segura for habilitada, as conexões que usam HTTP serão recusadas. Esse sinalizador também forçará a transferência segura por SMB, exigindo o SMB 3.0 em todas as montagens de compartilhamento de arquivo.
Criptografia de disco. Para VMs (máquinas virtuais), o Azure permite criptografar os VHDs (discos rígidos virtuais) usando o Azure Disk Encryption. Esta criptografia usa o BitLocker para imagens do Windows e o dm-crypt para Linux. O Azure Key Vault armazena as chaves automaticamente para ajudar a controlar e gerenciar as chaves e os segredos de criptografia de disco. Portanto, mesmo se um usuário obtiver acesso à imagem do VHD e baixá-la, ele não poderá acessar os dados no VHD.
Assinaturas de acesso compartilhado. O acesso delegado aos objetos de dados no Armazenamento do Azure pode ser permitido usando uma SAS (assinatura de acesso compartilhado).
Autorização. Todas as solicitações feitas em um recurso seguro no Armazenamento de Blobs, Arquivos do Azure, Armazenamento de Filas ou Azure Cosmos DB (Armazenamento de Tabelas do Azure) devem ser autorizadas. A autorização garante que os recursos na conta de armazenamento fiquem acessíveis somente quando você quiser e somente para os usuários ou aplicativos aos quais você conceder acesso.
Coisas a considerar ao usar a segurança de autorização
Examine as estratégias a seguir para autorizar solicitações para o Armazenamento do Azure. Pense em quais estratégias de segurança funcionariam no Armazenamento do Azure.
| Estratégia de autorização | Descrição |
|---|---|
| Microsoft Entra ID | O Microsoft Entra ID é a solução de gerenciamento de identidade e acesso baseada em nuvem da Microsoft. Com o Microsoft Entra ID, é possível atribuir acesso refinado a usuários, grupos ou aplicativos usando o controle de acesso baseado em função. |
| Chave Compartilhada | A autorização com Chave Compartilhada usa as chaves de acesso da conta de armazenamento do Azure e outros parâmetros para produzir uma cadeia de caracteres de assinatura criptografada. A cadeia de caracteres é passada na solicitação no cabeçalho Autorização. |
| Assinaturas de acesso compartilhado | As SAS delegam acesso a um recurso específico de sua conta de armazenamento do Azure, com permissões especificadas e para um intervalo de tempo especificado. |
| Acesso anônimo a contêineres e blobs | Opcionalmente, você pode tornar os recursos de blob públicos no nível do contêiner ou do blob. Qualquer usuário pode ter acesso de leitura anônimo a um contêiner ou blob público. Solicitações de leitura para contêineres e blobs públicos não exigem autorização. |