Contas de Armazenamento e excelência operacional
As Contas de Armazenamento do Azure são ideais para cargas de trabalho que requerem tempos de resposta rápidos e consistentes ou que têm um elevado número de operações de saída de entrada (IOP) por segundo. As contas de armazenamento contêm todos os objetos de dados do Armazenamento do Azure, que incluem:
- Blobs
- Partilhas de ficheiros
- Filas
- Tabelas
- Discos
As contas de armazenamento fornecem um espaço de nomes exclusivo para os seus dados acessíveis em qualquer lugar através HTTP de ou HTTPS.
Para obter mais informações sobre os diferentes tipos de contas de armazenamento que suportam diferentes funcionalidades, veja Tipos de contas de armazenamento.
Para compreender como uma conta de armazenamento do Azure pode promover a excelência operacional para a sua carga de trabalho, veja os seguintes artigos:
- Melhores práticas para monitorizar Armazenamento de Blobs do Azure
- Utilizar a análise do Armazenamento do Azure para recolher dados de registos e métricas
- Azure Storage analytics logging (Registo de análise do Armazenamento do Azure)
As secções seguintes incluem considerações de design, uma lista de verificação de configuração e opções de configuração recomendadas específicas para contas de armazenamento do Azure e excelência operacional.
Considerações de design
As contas de armazenamento do Azure incluem as seguintes considerações de design:
As contas de armazenamento para fins gerais v1 fornecem acesso a todos os serviços de Armazenamento do Azure, mas podem não ter as funcionalidades mais recentes ou os preços mais baixos por gigabyte. É recomendado utilizar contas de armazenamento v2 para fins gerais, na maioria dos casos. As razões para utilizar a v1 incluem:
- As aplicações requerem o modelo de implementação clássica.
- As aplicações consomem muita transação ou utilizam largura de banda de georreplicação significativa, mas não requerem uma grande capacidade.
- A utilização de uma API REST do Serviço de Armazenamento anterior a 14 de fevereiro de 2014 ou de uma biblioteca de cliente com uma versão anterior ao
4.xnecessário. Não é possível atualizar uma aplicação.
Para obter mais informações, veja a Descrição geral da conta de armazenamento.
- Os nomes das contas de armazenamento têm de ter entre três e 24 carateres e podem conter números e letras minúsculas apenas.
- Para especificações de SLA atuais, veja SLA para Contas de Armazenamento.
- Aceda a Redundância do Armazenamento do Azure para determinar qual é a melhor opção de redundância para um cenário específico.
- Os nomes das contas de armazenamento têm de ser exclusivos no Azure. Duas contas de armazenamento não podem ter o mesmo nome.
Lista de Verificação
Configurou a sua Conta de Armazenamento do Azure tendo em conta a excelência operacional?
- Ative o Azure Defender para todas as suas contas de armazenamento.
- Ative a eliminação recuperável para dados de blobs.
- Utilize Microsoft Entra ID para autorizar o acesso aos dados de blobs.
- Considere o princípio do menor privilégio ao atribuir permissões a um principal de segurança Microsoft Entra através do RBAC do Azure.
- Utilize identidades geridas para aceder a dados de blobs e filas.
- Utilize o controlo de versões de blobs ou blobs imutáveis para armazenar dados críticos para a empresa.
- Restringir o acesso predefinido à Internet para contas de armazenamento.
- Ativar regras de firewall.
- Limitar o acesso de rede a redes específicas.
- Permitir que os serviços Microsoft fidedignos acedam à conta de armazenamento.
- Ative a opção Transferência segura necessária em todas as suas contas de armazenamento.
- Limitar tokens de assinatura de acesso partilhado (SAS) apenas a
HTTPSligações. - Evite e impeça a utilização da autorização de Chave Partilhada para aceder a contas de armazenamento.
- Regenerar periodicamente as chaves da conta.
- Crie um plano de revogação e coloque-o em vigor para qualquer SAS que emita aos clientes.
- Utilize tempos de expiração de curto prazo numa SAS improvisada, SAS de serviço ou SAS de conta.
Recomendações de configuração
Considere as seguintes recomendações para otimizar a excelência operacional ao configurar a sua Conta de Armazenamento do Azure:
| Recomendação | Description |
|---|---|
| Ative o Azure Defender para todas as suas contas de armazenamento. | O Armazenamento do Azure Defender para o Azure fornece uma camada adicional de informações de segurança que deteta tentativas potencialmente prejudiciais e invulgares para aceder ou explorar contas de armazenamento. Os alertas de segurança são acionados em Centro de Segurança do Azure quando ocorrem anomalias na atividade. Os alertas também são enviados por e-mail para os administradores da subscrição, com detalhes de atividades suspeitas e recomendações sobre como investigar e remediar ameaças. Para obter mais informações, veja Configurar o Azure Defender para o Armazenamento do Azure. |
| Ative a eliminação recuperável para dados de blobs. | A eliminação recuperável dos blobs do Armazenamento do Azure permite-lhe recuperar dados de blobs depois de terem sido eliminados. |
| Utilize Microsoft Entra ID para autorizar o acesso aos dados de blobs. | Microsoft Entra ID fornece segurança superior e facilidade de utilização através da Chave Partilhada para autorizar pedidos para o armazenamento de blobs. É recomendado utilizar Microsoft Entra autorização com as aplicações de blobs e filas sempre que possível para minimizar potenciais vulnerabilidades de segurança inerentes à Chave Partilhada. Para obter mais informações, veja Autorizar o acesso a blobs e filas do Azure com Microsoft Entra ID. |
| Considere o princípio do menor privilégio ao atribuir permissões a um principal de segurança Microsoft Entra através do RBAC do Azure. | Ao atribuir uma função a um utilizador, grupo ou aplicação, conceda a esse principal de segurança apenas as permissões necessárias para concluir as respetivas tarefas. Limitar o acesso aos recursos ajuda a evitar utilizações indevidas não intencionais e maliciosas dos seus dados. |
| Utilize identidades geridas para aceder a dados de blobs e filas. | O armazenamento de Blobs e Filas do Azure suporta Microsoft Entra autenticação com identidades geridas para recursos do Azure. As identidades geridas dos recursos do Azure podem autorizar o acesso a dados de blobs e filas com Microsoft Entra credenciais de aplicações em execução em máquinas virtuais (VMs) do Azure, aplicações de funções, conjuntos de dimensionamento de máquinas virtuais e outros serviços. Ao utilizar identidades geridas para recursos do Azure juntamente com Microsoft Entra autenticação, pode evitar armazenar credenciais com as aplicações que são executadas na cloud e problemas com principais de serviço prestes a expirar. Veja Autorizar o acesso a dados de blobs e filas com identidades geridas para recursos do Azure para obter mais informações. |
| Utilize o controlo de versões de blobs ou blobs imutáveis para armazenar dados críticos para a empresa. | Considere utilizar o controlo de versões de Blobs para manter versões anteriores de um objeto ou a utilização de retenções legais e políticas de retenção baseadas no tempo para armazenar dados de blobs num estado WORM (Write Once, Read Many). Os blobs imutáveis podem ser lidos, mas não podem ser modificados ou eliminados durante o intervalo de retenção. Para obter mais informações, veja Armazenar dados de blobs críticos para a empresa com armazenamento imutável. |
| Restringir o acesso predefinido à Internet para contas de armazenamento. | Por predefinição, o acesso de rede a Contas de Armazenamento não é restrito e está aberto a todo o tráfego proveniente da Internet. O acesso a contas de armazenamento só deve ser concedido a Redes Virtuais do Azure específicas sempre que possível ou utilize pontos finais privados para permitir que os clientes numa rede virtual (VNet) acedam aos dados de forma segura através de um Private Link. Referência Utilize pontos finais privados para o Armazenamento do Azure para obter mais informações. Podem ser efetuadas exceções para Contas de Armazenamento que precisam de estar acessíveis através da Internet. |
| Ativar regras de firewall. | Configure regras de firewall para limitar o acesso à sua conta de armazenamento a pedidos com origem em intervalos ou endereços IP especificados ou a partir de uma lista de sub-redes numa Rede Virtual do Azure (VNet). Para obter mais informações sobre como configurar regras de firewall, veja Configurar firewalls e redes virtuais do Armazenamento do Azure. |
| Limitar o acesso de rede a redes específicas. | Limitar o acesso de rede a redes que alojam clientes que necessitam de acesso reduz a exposição dos seus recursos a ataques de rede através da funcionalidade de Firewall e redes virtuais incorporadas ou através de pontos finais privados. |
| Permitir que os serviços Microsoft fidedignos acedam à conta de armazenamento. | Ativar as regras de firewall para contas de armazenamento bloqueia os pedidos de dados recebidos por predefinição, a menos que os pedidos tenham origem num serviço que funcione num Rede Virtual do Azure (VNet) ou a partir de endereços IP públicos permitidos. Os pedidos bloqueados incluem esses pedidos de outros serviços do Azure, do portal do Azure, de serviços de registo e métricas, etc. Pode permitir pedidos de outros serviços do Azure ao adicionar uma exceção para permitir que os serviços Microsoft fidedignos acedam à conta de armazenamento. Para obter mais informações sobre como adicionar uma exceção para serviços Microsoft fidedignos, veja Configurar firewalls e redes virtuais do Armazenamento do Azure. |
| Ative a opção Transferência segura necessária em todas as suas contas de armazenamento. | Quando ativa a opção Transferência segura necessária , todos os pedidos feitos na conta de armazenamento têm de ocorrer em ligações seguras. Todos os pedidos efetuados através de HTTP falharão. Para obter mais informações, veja Exigir transferência segura no Armazenamento do Azure. |
Limitar tokens de assinatura de acesso partilhado (SAS) apenas a HTTPS ligações. |
HTTPS Exigir quando um cliente utiliza um token de SAS para aceder a dados de blobs ajuda a minimizar o risco de escutas. Para obter mais informações, veja Conceder acesso limitado aos recursos do Armazenamento do Microsoft Azure com assinaturas de acesso partilhado (SAS). |
| Evite e impeça a utilização da autorização de Chave Partilhada para aceder a contas de armazenamento. | É recomendado utilizar Microsoft Entra ID para autorizar pedidos para o Armazenamento do Azure e impedir a Autorização de Chave Partilhada. Para cenários que requerem autorização de Chave Partilhada, prefira sempre os tokens de SAS em vez de distribuir a Chave Partilhada. |
| Regenerar periodicamente as chaves da conta. | Rodar as chaves de conta reduz periodicamente o risco de expor os seus dados a atores maliciosos. |
| Crie um plano de revogação e coloque-o em vigor para qualquer SAS que emita aos clientes. | Se uma SAS for comprometida, deverá revogar essa SAS imediatamente. Para revogar uma SAS de delegação de utilizador, revogue a chave de delegação de utilizador para invalidar rapidamente todas as assinaturas associadas a essa chave. Para revogar uma SAS de serviço associada a uma política de acesso armazenada, pode eliminar a política de acesso armazenada, mudar o nome da política ou alterar o tempo de expiração para uma hora anterior. |
| Utilize tempos de expiração de curto prazo numa SAS improvisada, SAS de serviço ou SAS de conta. | Se uma SAS for comprometida, é válida apenas por um curto período de tempo. Esta prática é especialmente importante se não conseguir referenciar uma política de acesso armazenada. Os tempos de expiração de curto prazo também limitam a quantidade de dados que podem ser escritos num blob ao limitar o tempo disponível para carregar para o mesmo. Os clientes devem renovar bem a SAS antes da expiração para permitir tempo para repetições se o serviço que fornece a SAS estiver indisponível. |