Rever as estratégias de segurança do Armazenamento do Azure
Os administradores usam estratégias diferentes para garantir que seus dados estejam seguros. As abordagens comuns incluem criptografia, autenticação, autorização e controle de acesso do usuário com credenciais, permissões de arquivo e assinaturas privadas. O Armazenamento do Azure oferece um conjunto de recursos de segurança com base em estratégias comuns para ajudá-lo a proteger seus dados.
Coisas a saber sobre as estratégias de segurança do Armazenamento do Azure
Vamos examinar algumas características da segurança do Armazenamento do Azure.
Encriptação em repouso. A Criptografia do Serviço de Armazenamento (SSE) com uma cifra AES (Advanced Encryption Standard) de 256 bits criptografa todos os dados gravados no Armazenamento do Azure. Quando lê dados do Armazenamento do Azure, o Armazenamento do Azure desencripta os dados antes de devolvê-los. Este processo não implica custos adicionais e não degrada o desempenho. Não pode ser desativado.
Autenticação. O Microsoft Entra ID e o RBAC (controle de acesso baseado em função) têm suporte para o Armazenamento do Azure para operações de gerenciamento de recursos e operações de dados.
- Atribua funções RBAC com escopo a uma conta de armazenamento do Azure a entidades de segurança e use a ID do Microsoft Entra para autorizar operações de gerenciamento de recursos, como gerenciamento de chaves.
- A integração do Microsoft Entra é suportada para operações de dados no Armazenamento de Blobs do Azure e no Armazenamento de Filas do Azure.
Encriptação em trânsito. Mantenha os seus dados em segurança ao ativar a segurança de nível de transporte entre o Azure e o cliente. Utilize sempre HTTPS para proteger a comunicação através da Internet pública. Ao chamar as APIs REST para aceder a objetos nas contas de armazenamento, pode impor a utilização de HTTPS ao exigir a transferência segura para a conta de armazenamento. Depois de ativar a transferência segura, as ligações que utilizam HTTP serão recusadas. Este sinalizador também irá impor a transferência segura através de SMB ao exigir o SMB 3.0 em todas as montagens de partilhas de ficheiros.
Encriptação de disco. Para máquinas virtuais (VMs), o Azure permite-lhe encriptar discos rígidos virtuais (VHDs) com o Azure Disk Encryption. Essa criptografia usa o BitLocker para imagens do Windows e usa dm-crypt para Linux. O Azure Key Vault armazena as chaves automaticamente para ajudá-lo a controlar e gerir as chaves e os segredos de encriptação de disco. Por isso, mesmo que alguém obtenha acesso à imagem VHD e a transfira, não pode aceder aos dados no VHD.
Assinaturas de acesso compartilhado. O acesso delegado aos objetos de dados no Armazenamento do Azure pode ser concedido usando uma assinatura de acesso compartilhado (SAS).
Autorização. Todas as solicitações feitas em relação a um recurso seguro no Armazenamento de Blob, Arquivos do Azure, Armazenamento de Filas ou Azure Cosmos DB (Armazenamento de Tabela do Azure) devem ser autorizadas. A autorização garante que os recursos em sua conta de armazenamento estejam acessíveis somente quando você quiser que eles estejam, e somente para os usuários ou aplicativos aos quais você concede acesso.
Coisas a considerar ao usar a segurança de autorização
Analise as estratégias a seguir para autorizar solicitações ao Armazenamento do Azure. Pense em quais estratégias de segurança funcionariam para seu Armazenamento do Azure.
| Estratégia de autorização | Description |
|---|---|
| Microsoft Entra ID | O Microsoft Entra ID é o serviço de gerenciamento de identidade e acesso baseado em nuvem da Microsoft. Com o Microsoft Entra ID, você pode atribuir acesso refinado a usuários, grupos ou aplicativos usando o controle de acesso baseado em função. |
| Chave Partilhada | A autorização de Chave Compartilhada depende de sua conta de armazenamento do Azure, chaves de acesso e outros parâmetros para produzir uma cadeia de caracteres de assinatura criptografada. A cadeia de caracteres é passada na solicitação no cabeçalho Authorization. |
| Assinaturas de acesso compartilhado | Uma SAS delega acesso a um recurso específico em sua conta de armazenamento do Azure com permissões especificadas e por um intervalo de tempo especificado. |
| Acesso anônimo a contêineres e blobs | Opcionalmente, você pode tornar os recursos de blob públicos no nível de contêiner ou blob. Um contêiner ou blob público é acessível a qualquer usuário para acesso de leitura anônimo. As solicitações de leitura para contêineres públicos e blobs não exigem autorização. |