Partilhar via


Linha de base de segurança do Azure para Armazenamento

Esta linha de base de segurança aplica orientações da versão de referência de segurança da cloud da Microsoft 1.0 ao Armazenamento. A referência de segurança da cloud da Microsoft fornece recomendações sobre como pode proteger as suas soluções na cloud no Azure. O conteúdo é agrupado pelos controlos de segurança definidos pela referência de segurança da cloud da Microsoft e pelas orientações relacionadas aplicáveis ao Armazenamento.

Pode monitorizar esta linha de base de segurança e as respetivas recomendações com Microsoft Defender para a Cloud. Azure Policy definições serão listadas na secção Conformidade Regulamentar da página Microsoft Defender do portal da Cloud.

Quando uma funcionalidade tem definições de Azure Policy relevantes, estas são listadas nesta linha de base para o ajudar a medir a conformidade com os controlos e recomendações de referência de segurança da cloud da Microsoft. Algumas recomendações podem exigir um plano de Microsoft Defender pago para ativar determinados cenários de segurança.

Nota

As funcionalidades não aplicáveis ao Armazenamento foram excluídas. Para ver como o Armazenamento mapeia completamente para a referência de segurança da cloud da Microsoft, veja o ficheiro de mapeamento completo da linha de base de segurança de armazenamento.

Perfil de segurança

O perfil de segurança resume os comportamentos de alto impacto do Armazenamento, o que pode resultar em considerações de segurança acrescidas.

Atributo comportamento do serviço Valor
Product Category (Categoria de Produto) Armazenamento
O cliente pode aceder ao HOST/SO Sem Acesso
O serviço pode ser implementado na rede virtual do cliente Verdadeiro
Armazena o conteúdo do cliente inativo Verdadeiro

Segurança da rede

Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Segurança de rede.

NS-1: Estabelecer limites de segmentação de rede

Funcionalidades

Integração da Rede Virtual

Descrição: o serviço suporta a implementação na Rede Virtual privada (VNet) do cliente. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Falso Não Aplicável Não Aplicável

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

NS-2: Proteger serviços cloud com controlos de rede

Funcionalidades

Descrição: Capacidade de filtragem de IP nativa do serviço para filtrar o tráfego de rede (não confundir com o NSG ou Azure Firewall). Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação de Configuração: implemente pontos finais privados para o Armazenamento do Azure para estabelecer um ponto de acesso privado para os recursos.

Referência: Utilizar pontos finais privados para o Armazenamento do Azure

Desativar o Acesso à Rede Pública

Descrição: o serviço suporta a desativação do acesso à rede pública através da utilização da regra de filtragem da ACL IP ao nível do serviço (não do NSG ou Azure Firewall) ou através de um botão de alternar "Desativar Acesso à Rede Pública". Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação de Configuração: desative o acesso à rede pública através da filtragem da ACL ip ao nível do serviço do Armazenamento do Microsoft Azure ou de um comutador de agregação para acesso à rede pública.

Referência: Alterar a regra de acesso à rede predefinida

Gestão de identidades

Para obter mais informações, veja Referência de segurança na cloud da Microsoft: Gestão de identidades.

IM-1: utilizar o sistema de autenticação e identidade centralizado

Funcionalidades

Autenticação Azure AD Necessária para o Acesso ao Plano de Dados

Descrição: o serviço suporta a utilização de autenticação Azure AD para acesso ao plano de dados. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Verdadeiro Verdadeiro Microsoft

Notas de funcionalidades: o armazenamento oferece várias formas de autorizar o plano de dados. O Azure fornece controlo de acesso baseado em funções do Azure (RBAC do Azure) para controlo detalhado sobre o acesso de um cliente aos recursos numa conta de armazenamento. Utilize Azure AD credenciais sempre que possível como melhor prática de segurança, em vez de utilizar a chave de conta, que pode ser mais facilmente comprometida. Quando a estrutura da aplicação exigir assinaturas de acesso partilhado para aceder ao armazenamento de Blobs, utilize as credenciais de Azure AD para criar assinaturas de acesso partilhado (SAS) de delegação de utilizadores sempre que possível para uma segurança superior.

Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.

Referência: Autorizar o acesso a dados no Armazenamento do Azure

Métodos de Autenticação Local para Acesso ao Plano de Dados

Descrição: métodos de autenticação locais suportados para o acesso ao plano de dados, como um nome de utilizador local e uma palavra-passe. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Notas de funcionalidades: evite a utilização de contas ou métodos de autenticação locais, estas devem ser desativadas sempre que possível. Em vez disso, utilize Azure AD para autenticar sempre que possível.

Orientação de Configuração: restrinja a utilização de métodos de autenticação local para o acesso ao plano de dados. Em vez disso, utilize o Azure Active Directory (Azure AD) como o método de autenticação predefinido para controlar o acesso ao plano de dados.

Referência: modelo de permissão SFTP

IM-3: Gerir identidades de aplicações de forma segura e automática

Funcionalidades

Identidades Geridas

Descrição: as ações do plano de dados suportam a autenticação com identidades geridas. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação de Configuração: utilize identidades geridas do Azure em vez de principais de serviço sempre que possível, o que pode autenticar-se nos serviços e recursos do Azure que suportam a autenticação do Azure Active Directory (Azure AD). As credenciais de identidade gerida são totalmente geridas, rodadas e protegidas pela plataforma, evitando credenciais codificadas em código fonte ou ficheiros de configuração.

Referência: Autorizar o acesso a dados de blobs com identidades geridas para recursos do Azure

Principais de Serviço

Descrição: o plano de dados suporta a autenticação através de principais de serviço. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação Adicional: com Azure AD, pode utilizar o controlo de acesso baseado em funções do Azure (RBAC do Azure) para conceder permissões a um principal de segurança, que pode ser um utilizador, grupo ou principal de serviço de aplicação. O principal de segurança é autenticado por Azure AD para devolver um token OAuth 2.0. Em seguida, o token pode ser utilizado para autorizar um pedido contra o serviço Blob.

Referência: Autorizar o acesso a blobs com o Azure Active Directory

IM-7: Restringir o acesso a recursos com base nas condições

Funcionalidades

Acesso Condicional para Plano de Dados

Descrição: o acesso ao plano de dados pode ser controlado com Azure AD Políticas de Acesso Condicional. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação de Configuração: defina as condições e critérios aplicáveis para o acesso condicional do Azure Active Directory (Azure AD) na carga de trabalho. Considere casos de utilização comuns, como bloquear ou conceder acesso a partir de localizações específicas, bloquear o comportamento de início de sessão de risco ou exigir dispositivos geridos pela organização para aplicações específicas.

Referência: Não permitir a autorização da Chave Partilhada para utilizar Azure AD Acesso Condicional

IM-8: Restringir a exposição de credenciais e segredos

Funcionalidades

Integração e Armazenamento de Suporte de Credenciais de Serviço e Segredos no Azure Key Vault

Descrição: o plano de dados suporta a utilização nativa do Azure Key Vault para arquivo de credenciais e segredos. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação de Configuração: certifique-se de que os segredos e as credenciais são armazenados em localizações seguras, como o Azure Key Vault, em vez de os incorporar em ficheiros de código ou configuração.

Referência: Gerir chaves de conta de armazenamento com Key Vault e a CLI do Azure

Acesso privilegiado

Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Acesso privilegiado.

PA-1: separar e limitar utilizadores altamente privilegiados/administrativos

Funcionalidades

Contas de Administração Local

Descrição: o serviço tem o conceito de uma conta administrativa local. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Falso Não Aplicável Não Aplicável

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

PA-7: Siga o princípio da administração (mínimo privilégio) suficiente

Funcionalidades

RBAC do Azure para Plano de Dados

Descrição: o Azure Role-Based Controlo de Acesso (RBAC do Azure) pode ser utilizado para gerir o acesso às ações do plano de dados do serviço. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação de Configuração: o Armazenamento do Azure suporta a utilização do Azure Active Directory (Azure AD) para autorizar pedidos para dados de blobs. Com Azure AD, pode utilizar o controlo de acesso baseado em funções do Azure (RBAC do Azure) para conceder permissões a um principal de segurança, que pode ser um utilizador, grupo ou principal de serviço de aplicação.

Autorizar pedidos contra o Armazenamento do Azure com Azure AD fornece segurança superior e facilidade de utilização através da autorização de Chave Partilhada. A Microsoft recomenda a utilização de Azure AD autorização com as suas aplicações de blobs sempre que possível para garantir o acesso com privilégios mínimos necessários.

Referência: Autorizar o acesso a blobs com o Azure Active Directory

PA-8: Determinar o processo de acesso para o suporte do fornecedor de cloud

Funcionalidades

Sistema de Proteção de Dados do Cliente

Descrição: o Customer Lockbox pode ser utilizado para o acesso ao suporte da Microsoft. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação de Configuração: em cenários de suporte em que a Microsoft precisa de aceder aos seus dados, utilize o Customer Lockbox para rever e, em seguida, aprove ou rejeite cada um dos pedidos de acesso a dados da Microsoft.

Referência: Caixa de Bloqueio do Cliente

Proteção de dados

Para obter mais informações, veja Referência de segurança na cloud da Microsoft: Proteção de dados.

DP-1: Detetar, classificar e etiquetar dados confidenciais

Funcionalidades

Deteção e Classificação de Dados Confidenciais

Descrição: as ferramentas (como o Azure Purview ou o Azure Information Protection) podem ser utilizadas para a deteção e classificação de dados no serviço. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Notas de funcionalidades: a integração do armazenamento com o Azure Purview está atualmente em pré-visualização privada.

Orientação de Configuração: utilize o Azure Purview para analisar, classificar e etiquetar quaisquer dados confidenciais que residem no Armazenamento do Azure.

Referência: Ligar ao armazenamento de Blobs do Azure no Microsoft Purview

DP-2: Monitorizar anomalias e ameaças que visam dados confidenciais

Funcionalidades

Fuga de Dados/Prevenção de Perda

Descrição: o serviço suporta a solução DLP para monitorizar o movimento de dados confidenciais (no conteúdo do cliente). Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação de Configuração: o Defender para Armazenamento analisa continuamente o fluxo de telemetria gerado pelos serviços Armazenamento de Blobs do Azure e Ficheiros do Azure. Quando são detetadas atividades potencialmente maliciosas, são gerados alertas de segurança. Estes alertas são apresentados no Microsoft Defender para a Cloud, juntamente com os detalhes da atividade suspeita, juntamente com os passos de investigação relevantes, as ações de remediação e as recomendações de segurança.

Microsoft Defender para Armazenamento está incorporado no Microsoft Defender para a Cloud. Quando ativa Microsoft Defender para as funcionalidades de segurança melhoradas da Cloud na sua subscrição, o Microsoft Defender para Armazenamento é ativado automaticamente para todas as suas contas de armazenamento. Pode ativar ou desativar o Defender para Armazenamento para contas de armazenamento individuais numa subscrição específica.

Referência: Configurar Microsoft Defender para Armazenamento

DP-3: Encriptar dados confidenciais em trânsito

Funcionalidades

Dados na Encriptação de Trânsito

Descrição: o serviço suporta a encriptação de dados em trânsito para o plano de dados. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Verdadeiro Verdadeiro Microsoft

Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.

Referência: Impor uma versão mínima necessária do Transport Layer Security (TLS) para pedidos para uma conta de armazenamento

DP-4: Ativar a encriptação de dados inativos por predefinição

Funcionalidades

Encriptação de Dados Inativos Utilizando Chaves de Plataforma

Descrição: a encriptação inativa de dados através de chaves de plataforma é suportada, qualquer conteúdo de cliente inativo é encriptado com estas chaves geridas pela Microsoft. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Verdadeiro Verdadeiro Microsoft

Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.

Referência: Encriptação do Armazenamento do Azure para dados inativos

DP-5: Utilize a opção chave gerida pelo cliente na encriptação de dados inativos quando necessário

Funcionalidades

Encriptação de Dados Inativos com CMK

Descrição: a encriptação de dados inativos com chaves geridas pelo cliente é suportada para o conteúdo do cliente armazenado pelo serviço. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação de Configuração: se necessário para a conformidade regulamentar, defina o caso de utilização e o âmbito do serviço em que a encriptação com chaves geridas pelo cliente é necessária. Ativar e implementar a encriptação de dados inativos para os dados no âmbito com a chave gerida pelo cliente para o Armazenamento do Microsoft Azure

Referência: Chaves geridas pelo cliente para a encriptação do Armazenamento do Azure

DP-6: Utilizar um processo de gestão de chaves segura

Funcionalidades

Gestão de Chaves no Azure Key Vault

Descrição: o serviço suporta a integração do Azure Key Vault para quaisquer chaves de cliente, segredos ou certificados. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação de Configuração: utilize o Azure Key Vault para criar e controlar o ciclo de vida das chaves de encriptação, incluindo a geração de chaves, a distribuição e o armazenamento. Rode e revogue as chaves no Azure Key Vault e no seu serviço com base numa agenda definida ou quando existe uma descontinuação ou comprometimento chave. Quando é necessário utilizar a chave gerida pelo cliente (CMK) ao nível da carga de trabalho, do serviço ou da aplicação, certifique-se de que segue as melhores práticas para a gestão de chaves: utilize uma hierarquia de chaves para gerar uma chave de encriptação de dados (DEK) separada com a chave de encriptação (KEK) no cofre de chaves. Confirme que as chaves estão registadas no Azure Key Vault e referenciadas através de IDs de chave do serviço ou da aplicação. Se precisar de trazer a sua própria chave (BYOK) para o serviço (como importar chaves protegidas por HSM dos HSMs no local para o Azure Key Vault), siga as diretrizes recomendadas para realizar a geração inicial de chaves e a transferência de chaves.

Referência: Gerir chaves da conta de armazenamento com Key Vault e a CLI do Azure

Gestão de ativos

Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Gestão de ativos.

AM-2: Utilizar apenas serviços aprovados

Funcionalidades

Suporte do Azure Policy

Descrição: as configurações do serviço podem ser monitorizadas e impostas através de Azure Policy. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação de Configuração: defina e implemente configurações de segurança padrão para recursos de rede associados à sua Conta de Armazenamento do Azure com Azure Policy. Utilize Azure Policy aliases nos espaços de nomes "Microsoft.Storage" e "Microsoft.Network" para criar políticas personalizadas para auditar ou impor a configuração de rede dos recursos da conta de Armazenamento.

Também pode utilizar as definições de política incorporadas relacionadas com a Conta de armazenamento, tais como: As Contas de Armazenamento devem utilizar um ponto final de serviço de rede virtual

Referência: Azure Policy definições incorporadas para o Armazenamento do Azure

Deteção de registo e de ameaça

Para obter mais informações, veja Referência de segurança na cloud da Microsoft: Registo e deteção de ameaças.

LT-1: Ativar as capacidades de deteção de ameaças

Funcionalidades

Microsoft Defender de Serviço/Oferta de Produtos

Descrição: o serviço tem uma solução de Microsoft Defender específica da oferta para monitorizar e alertar sobre problemas de segurança. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação de Configuração: utilize Microsoft Defender para Armazenamento para fornecer uma camada adicional de informações de segurança que deteta tentativas invulgares e potencialmente prejudiciais de acesso ou exploração de contas de armazenamento. Utiliza capacidades avançadas de deteção de ameaças e dados do Microsoft Threat Intelligence para fornecer alertas de segurança contextuais. Esses alertas também incluem passos para mitigar as ameaças detetadas e evitar ataques futuros.

Referência: Introdução ao Microsoft Defender para Armazenamento

LT-4: Ativar o registo para investigação de segurança

Funcionalidades

Registos de Recursos do Azure

Descrição: o Serviço produz registos de recursos que podem fornecer métricas e registos específicos do serviço melhorados. O cliente pode configurar estes registos de recursos e enviá-los para o seu próprio sink de dados, como uma conta de armazenamento ou uma área de trabalho do Log Analytics. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação de Configuração: Ingerir registos através do Azure Monitor para agregar dados de segurança gerados por dispositivos de pontos finais, recursos de rede e outros sistemas de segurança. No Azure Monitor, utilize as Áreas de Trabalho do Log Analytics para consultar e efetuar análises e utilizar as Contas de Armazenamento do Azure para armazenamento de longo prazo/arquivo, opcionalmente com funcionalidades de segurança como armazenamento imutável e retenção imposta.

Referência: Monitorização Armazenamento de Blobs do Azure

Cópia de segurança e recuperação

Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Cópia de segurança e recuperação.

BR-1: Garantir cópias de segurança automatizadas regulares

Funcionalidades

Azure Backup

Descrição: o serviço pode ser efetuado uma cópia de segurança pelo serviço Azure Backup. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Notas de funcionalidades: atualmente, Azure Backup só é suportada para o armazenamento de Blobs do Azure. Os dados da fila e da tabela podem ser efetuados com a ferramenta de linha de comandos AzCopy.

Orientação de Configuração: ative Azure Backup e configure a origem da cópia de segurança numa frequência pretendida e com um período de retenção pretendido. Azure Backup permite-lhe configurar facilmente a cópia de segurança operacional para proteger blobs de blocos nas suas contas de armazenamento. A cópia de segurança dos blobs está configurada ao nível da conta de armazenamento. Assim, todos os blobs na conta de armazenamento estão protegidos com cópia de segurança operacional.

Pode configurar a cópia de segurança para várias contas de armazenamento com o Centro de Cópias de Segurança. Também pode configurar a cópia de segurança de uma conta de armazenamento com as propriedades de Proteção de Dados da conta de armazenamento.

Referência: Descrição geral da cópia de segurança operacional dos Blobs do Azure

Capacidade de Cópia de Segurança Nativa do Serviço

Descrição: o serviço suporta a sua própria capacidade de cópia de segurança nativa (se não estiver a utilizar Azure Backup). Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação Adicional: a cópia de segurança operacional dos blobs é uma solução de cópia de segurança local. Assim, os dados de cópia de segurança não são transferidos para o cofre de cópias de segurança, mas são armazenados na própria conta de armazenamento de origem. No entanto, o Cofre de cópias de segurança ainda funciona como a unidade de gestão de cópias de segurança. Além disso, esta é uma solução de cópia de segurança contínua, o que significa que não precisa de agendar cópias de segurança e todas as alterações serão mantidas e restauráveis do estado num ponto no tempo selecionado.

Referência: Descrição geral da cópia de segurança operacional dos Blobs do Azure

Passos seguintes