Criar uma linha de base de contas do Armazenamento do Azure
Uma conta de Armazenamento do Azure fornece um namespace exclusivo onde você pode armazenar e acessar os objetos de dados do Armazenamento do Azure.
Recomendações de segurança da conta de Armazenamento do Azure
As seções a seguir descrevem as recomendações de Armazenamento do Azure que estão no CIS Microsoft Azure Foundations Security Benchmark v. 3.0.0. As etapas básicas a serem concluídas no portal do Azure estão incluídas em cada recomendação. Conclua essas etapas para sua assinatura e usando seus recursos para validar cada recomendação de segurança. Tenha em mente que as opções de Nível 2 podem restringir alguns recursos ou atividades, portanto, considere cuidadosamente quais opções de segurança você decide impor.
Exigir transferências com segurança aprimorada – Nível 1
Esta é uma etapa que você deve realizar para garantir a segurança dos dados do Armazenamento do Azure: criptografar os dados entre o cliente e o Armazenamento do Microsoft Azure. A primeira recomendação é sempre usar o protocolo HTTPS. Usar HTTPS garante a comunicação segura na Internet pública. Para impor o uso de HTTPS ao chamar APIs REST para acessar objetos em contas de armazenamento, habilite a opção Transferência segura necessária na conta de armazenamento. Após você ativar esse controle, as conexões que usam HTTP serão recusadas. Conclua as etapas a seguir para cada conta de armazenamento em sua assinatura.
Entre no portal do Azure. Pesquise e selecione Contas de armazenamento.
No painel Contas armazenamento, selecione uma conta de armazenamento.
No menu à esquerda, em Configurações, selecione Configuração.
No painel Configuração, verifique se Transferência segura necessária está definido como Habilitado.
Se você alterar alguma configuração, selecione Salvar na barra de menus.
Habilitar criptografia de BLOB (objeto binário grande) – Nível 1
O Armazenamento de Blobs do Azure é uma solução de armazenamento de objetos da Microsoft para a nuvem. O Armazenamento de Blobs é otimizado para armazenar grandes quantidades de dados não estruturados. Dados não estruturados são dados que não estão de acordo com uma definição ou um modelo de dados específico. Exemplos de dados não estruturados incluem dados de texto e dados binários. A criptografia do serviço de Armazenamento protege seus dados em repouso. O Armazenamento do Azure criptografa os dados conforme eles são gravados em nossos datacenters e eles são descriptografados automaticamente quando você os acessa.
Entre no portal do Azure. Pesquise e selecione Contas de armazenamento.
No painel Contas armazenamento, selecione uma conta de armazenamento.
No menu esquerdo, em Segurança + rede, selecione Criptografia.
No painel Criptografia, observe que a criptografia do Armazenamento do Microsoft Azure está habilitada para todas as contas de armazenamento novas e existentes e que não pode ser desabilitada.
Regenerar periodicamente as chaves de acesso – Nível 1
Quando você cria uma conta de armazenamento no Azure, o Azure gera chaves de acesso de armazenamento de 512 bits. Essas chaves são usadas para autenticação quando a conta de armazenamento é acessada. Realizar uma rotação periódica dessas chaves garante que qualquer acesso inadvertido ou exposição dessas chaves seja limitado quanto ao tempo. Conclua as etapas a seguir para cada conta de armazenamento em sua assinatura do Azure.
Entre no portal do Azure. Pesquise e selecione Contas de armazenamento.
No painel Contas armazenamento, selecione uma conta de armazenamento.
No menu à esquerda, selecione Segurança + rede e, em seguida, selecione Chaves de acesso.
Revise a data da Última rotação de cada chave.
Se você não estiver usando o Azure Key Vault com rotação de chave, poderá selecionar o botão Girar chave para girar manualmente suas chaves de acesso.
Exigir que os tokens de assinatura de acesso compartilhado expirem dentro de uma hora – Nível 1
Uma assinatura de acesso compartilhado é um URI que concede direitos de acesso restrito a recursos do Armazenamento do Azure. Você pode fornecer uma assinatura de acesso compartilhado a clientes que não devem ser confiáveis com a chave da sua conta de armazenamento, mas aos quais você deseja delegar o acesso a determinados recursos da conta de armazenamento. Ao distribuir um URI de assinatura de acesso compartilhado para esses clientes, você pode conceder a eles acesso a um recurso por um período especificado, com um conjunto especificado de permissões.
Observação
Para as recomendações do CIS Microsoft Azure Foundations Security Benchmark v. 3.0.0, os tempos de expiração do token de assinatura de acesso compartilhado não podem ser verificados automaticamente. A recomendação requer verificação manual.
Exigir que os tokens de assinatura de acesso compartilhado sejam compartilhados somente via HTTPS – Nível 1
Tokens de Assinatura de Acesso Compartilhado devem ser permitidos somente pelo protocolo HTTPS. Conclua as etapas a seguir para cada conta de armazenamento em sua assinatura do Azure.
Entre no portal do Azure. Pesquise e selecione Contas de armazenamento.
No painel Contas armazenamento, selecione uma conta de armazenamento.
No menu, em Segurança + rede, selecione Assinatura de acesso compartilhado.
No painel Assinatura de acesso compartilhado, em Data/hora de início e vencimento, defina as datas e horas de Início e Término.
Em Protocolos permitidos, selecione SOMENTE HTTPS.
Se você alterar alguma configuração, selecione o botão Gerar SAS e cadeia de conexão na parte inferior da tela.
Configure os recursos da assinatura de acesso compartilhado nas próximas seções.
Habilitar criptografia dos Arquivos do Azure – Nível 1
O Azure Disk Encryption criptografa os discos do sistema operacional e de dados em VMs IaaS. A criptografia do cliente e a SSE (criptografia do servidor) são usadas para criptografar dados no Armazenamento do Azure. Conclua as etapas a seguir para cada conta de armazenamento em sua assinatura do Azure.
Entre no portal do Azure. Pesquise e selecione Contas de armazenamento.
No painel Contas armazenamento, selecione uma conta de armazenamento.
No menu esquerdo, em Segurança + rede, selecione Criptografia.
No painel Criptografia, observe que a criptografia do Armazenamento do Azure está habilitada para armazenamento de blobs e armazenamento de arquivos novos e existentes e que não pode ser desabilitada.
Exigir acesso somente privado aos contêineres de blob – Nível 1
Você pode habilitar acesso de leitura pública anônima a um contêiner e seus blobs no Armazenamento de Blobs do Azure. Ao ativar o acesso de leitura pública anônima, você poderá conceder acesso somente leitura a esses recursos sem compartilhar sua chave de conta e sem exigir uma assinatura de acesso compartilhado. Por padrão, um contêiner e todos os blobs dentro dele poderão ser acessados somente por um usuário a quem as permissões apropriadas tenham sido concedidas. Para conceder aos usuários anônimos acesso de leitura a um contêiner e aos respectivos blobs, é possível definir o nível de acesso do contêiner como público.
No entanto, quando você concede acesso público a um contêiner, usuários anônimos podem ler blobs em um contêiner publicamente acessível sem autorizar a solicitação. Uma recomendação de segurança é, em vez disso, definir o acesso aos contêineres de armazenamento como privado. Conclua as etapas a seguir para cada conta de armazenamento em sua assinatura do Azure.
Entre no portal do Azure. Pesquise e selecione Contas de armazenamento.
No painel Contas armazenamento, selecione uma conta de armazenamento.
No menu esquerdo, em Armazenamento de dados, selecione Contêineres.
No painel Contêineres, verifique se Nível de acesso público está definido como Privado.
