Explorar os recursos de segurança do Armazenamento do Azure

10 minutos

A Contoso depende muito de grandes quantidades de dados no Armazenamento do Azure. Seus muitos aplicativos dependem de blobs, do Armazenamento de Tabelas não estruturado, do Azure Data Lake e de compartilhamentos de arquivo com base no protocolo SMB.

Depois que um concorrente da Contoso sofreu uma violação de dados, ela solicita ao administrador de rede que verifique a segurança de dados da organização. Como consultor de dados da Contoso, você garante ao administrador de rede que as contas de Armazenamento do Azure oferecem vários benefícios de segurança de alto nível para os dados na nuvem:

Proteger os dados em repouso
Proteger os dados em trânsito
Dar suporte ao acesso entre domínios do navegador
Controlar quem pode acessar dados
Auditar o acesso ao armazenamento

Criptografia em repouso

Todos os dados gravados no Armazenamento do Microsoft Azure são criptografados automaticamente pela SSE (Criptografia do Serviço de Armazenamento) com uma criptografia AES de 256 bits e são compatíveis com o FIPS 140-2. A SSE criptografa automaticamente os dados ao gravá-los no Armazenamento do Azure. Quando você lê dados do Armazenamento do Azure, ele descriptografa os dados antes de retorná-los. Esse processo não resulta em nenhum encargo adicional e não prejudica o desempenho. Ele não pode ser desabilitado.

Para VMs (máquinas virtuais), o Azure permite criptografar os VHDs (discos rígidos virtuais) usando o Azure Disk Encryption. Esta criptografia usa o BitLocker para imagens do Windows e o dm-crypt para Linux.

O Azure Key Vault armazena as chaves automaticamente para ajudar a controlar e gerenciar as chaves e os segredos de criptografia de disco. Portanto, mesmo se um usuário obtiver acesso à imagem do VHD e baixá-la, ele não poderá acessar os dados no VHD.

Criptografia em trânsito

Mantenha seus dados protegidos habilitando a segurança no nível do transporte entre o Azure e o cliente. Sempre use HTTPS para proteger a comunicação na Internet pública. Ao chamar as APIs REST para acessar objetos em contas de armazenamento, você pode impor o uso de HTTPS exigindo a transferência segura para a conta de armazenamento. Depois que a transferência segura for habilitada, as conexões que usam HTTP serão recusadas. Esse sinalizador também forçará a transferência segura por SMB, exigindo o SMB 3.0 em todas as montagens de compartilhamento de arquivo.

Suporte a CORS

A Contoso armazena vários tipos de ativos de site no Armazenamento do Azure. Esses tipos incluem imagens e vídeos. Para proteger aplicativos de navegador, a Contoso bloqueia as solicitações GET para domínios específicos.

O Armazenamento do Azure dá suporte ao acesso entre domínios por meio do CORS (compartilhamento de recursos entre origens). O CORS usa cabeçalhos HTTP para que um aplicativo Web em um domínio possa acessar recursos de um servidor em um domínio diferente. Usando o CORS, os aplicativos Web garantem que somente o conteúdo autorizado de fontes autorizadas seja carregado.

O suporte ao CORS é um sinalizador opcional que você pode habilitar nas contas de armazenamento. O sinalizador adiciona os cabeçalhos apropriados quando você usa solicitações HTTP GET para recuperar os recursos da conta de armazenamento.

Controle de acesso baseado em função

Para acessar dados em uma conta de armazenamento, o cliente faz uma solicitação por HTTP ou HTTPS. Cada solicitação a um recurso seguro precisa ser autorizada. O serviço garante que o cliente tenha as permissões necessárias para acessar os dados. Você pode escolher entre várias opções de acesso. Sem dúvida, a opção mais flexível é o acesso baseado em função.

O Armazenamento do Azure oferece suporte ao Microsoft Entra ID e ao RBAC (controle de acesso baseado em função) para gerenciamento de recursos e operações de dados. Para entidades de segurança, você pode atribuir funções RBAC no escopo da conta de armazenamento. Você pode usar o Active Directory para autorizar as operações de gerenciamento de recursos, como as configurações. O Active Directory é compatível com as operações de dados no Armazenamento de Blobs e de Filas.

Você pode atribuir funções RBAC para uma entidade de segurança ou uma identidade gerenciada para recursos do Azure com escopo de uma assinatura, de um grupo de recursos, de uma conta de armazenamento ou ainda de um contêiner ou de uma fila individual.

Auditoria do acesso

A auditoria é outra parte do controle de acesso. Você pode auditar o acesso do Armazenamento do Azure usando o serviço de Análise de Armazenamento interno.