Criar uma linha de base das contas de armazenamento do Azure
Uma conta de Armazenamento do Azure fornece um namespace exclusivo onde você pode armazenar e acessar seus objetos de dados do Armazenamento do Azure.
Recomendações de segurança da conta de Armazenamento do Azure
As seções a seguir descrevem as recomendações de Armazenamento do Azure que estão no CIS Microsoft Azure Foundations Security Benchmark v. 3.0.0. Incluídas em cada recomendação estão as etapas básicas a serem concluídas no portal do Azure. Deve concluir estes passos para a sua própria subscrição e utilizando os seus próprios recursos para validar cada recomendação de segurança. Tenha em atenção que as opções de Nível 2 podem restringir algumas funcionalidades ou atividades, pelo que deve considerar cuidadosamente quais as opções de segurança a aplicar.
Exigir transferências com segurança avançada – Nível 1
Esta é uma etapa que você deve seguir para garantir a segurança de seus dados de Armazenamento do Azure é criptografar os dados entre o cliente e o Armazenamento do Azure. A primeira recomendação é sempre usar o protocolo HTTPS. O uso de HTTPS garante uma comunicação segura através da Internet pública. Para impor o uso de HTTPS quando você chama APIs REST para acessar objetos em contas de armazenamento, ative a opção Transferência segura necessária para a conta de armazenamento. Depois de ativar esse controle, as conexões que usam HTTP são recusadas. Conclua as etapas a seguir para cada conta de armazenamento em sua assinatura.
Inicie sessão no portal do Azure. Pesquise e selecione Contas de armazenamento.
No painel Contas de armazenamento, selecione uma conta de armazenamento.
No menu esquerdo, em Definições, selecione Configuração.
No painel Configuração, verifique se Transferência segura necessária está definida como Habilitado.
Se você alterar alguma configuração, selecione Salvar na barra de menus.
Ativar a encriptação de objetos binários grandes (blobs) – Nível 1
O Armazenamento de Blobs do Azure é a solução de armazenamento de objetos da Microsoft para a nuvem. O armazenamento de Blob é otimizado para armazenar grandes quantidades de dados não estruturados. Dados não estruturados são dados que não aderem a um modelo ou definição de dados específicos. Exemplos de dados não estruturados incluem texto e dados binários. A encriptação do serviço de armazenamento protege os dados inativos. O Armazenamento do Azure encripta os seus dados à medida que são escritos nos respetivos centros de dados e desencripta-os automaticamente à medida que os acede.
Inicie sessão no portal do Azure. Pesquise e selecione Contas de armazenamento.
No painel Contas de armazenamento, selecione uma conta de armazenamento.
No menu à esquerda, em Segurança + rede, selecione Criptografia.
No painel Criptografia, observe que a criptografia do Armazenamento do Azure está habilitada para todas as contas de armazenamento novas e existentes e que não pode ser desabilitada.
Regenerar periodicamente as chaves de acesso – Nível 1
Quando você cria uma conta de armazenamento no Azure, o Azure gera duas chaves de acesso de armazenamento de 512 bits. Essas chaves são usadas para autenticação quando a conta de armazenamento é acessada. Girar essas chaves periodicamente garante que qualquer acesso inadvertido ou exposição a essas chaves seja limitado pelo tempo. Conclua as etapas a seguir para cada conta de armazenamento em sua assinatura do Azure.
Inicie sessão no portal do Azure. Pesquise e selecione Contas de armazenamento.
No painel Contas de armazenamento, selecione uma conta de armazenamento.
No menu à esquerda, selecione Segurança + rede e, em seguida, selecione Teclas de acesso.
Reveja a data da última rotação para cada chave.
Se não estiver a utilizar o Azure Key Vault com rotação de chaves, pode selecionar o botão Rodar chave para rodar manualmente as suas chaves de acesso.
Exigir que os tokens de assinatura de acesso compartilhado expirem dentro de uma hora - Nível 1
Uma assinatura de acesso compartilhado é um URI que concede direitos de acesso restrito aos recursos do Armazenamento do Azure. Você pode fornecer uma assinatura de acesso compartilhado para clientes que não devem ser confiáveis com sua chave de conta de armazenamento, mas aos quais você deseja delegar acesso a determinados recursos da conta de armazenamento. Ao distribuir um URI de assinatura de acesso partilhado a estes clientes, pode conceder-lhes acesso a um recurso por um período de tempo especificado e com um conjunto de permissões especificado.
Nota
Para as recomendações no CIS Microsoft Azure Foundations Security Benchmark v. 3.0.0, os tempos de expiração do token de assinatura de acesso compartilhado não podem ser verificados automaticamente. A recomendação requer verificação manual.
Exigir que os tokens de assinatura de acesso compartilhado sejam compartilhados somente via HTTPS - Nível 1
Os tokens de assinatura de acesso compartilhado devem ser permitidos somente pelo protocolo HTTPS. Conclua as etapas a seguir para cada conta de armazenamento em sua assinatura do Azure.
Inicie sessão no portal do Azure. Pesquise e selecione Contas de armazenamento.
No painel Contas de armazenamento, selecione uma conta de armazenamento.
No menu em Segurança + rede, selecione Assinatura de acesso compartilhado.
No painel Assinatura de acesso compartilhado, em Data/hora de início e expiração, defina as datas e horas de início e término.
Em Protocolos permitidos, selecione Somente HTTPS.
Se você alterar alguma configuração, selecione o botão Gerar SAS e cadeia de conexão na parte inferior da tela.
Configure os recursos de assinatura de acesso compartilhado nas próximas seções.
Ativar a encriptação dos Ficheiros do Azure – Nível 1
O Azure Disk Encryption criptografa o sistema operacional e os discos de dados em VMs IaaS. A criptografia do lado do cliente e a criptografia do lado do servidor (SSE) são usadas para criptografar dados no Armazenamento do Azure. Conclua as etapas a seguir para cada conta de armazenamento em sua assinatura do Azure.
Inicie sessão no portal do Azure. Pesquise e selecione Contas de armazenamento.
No painel Contas de armazenamento, selecione uma conta de armazenamento.
No menu à esquerda, em Segurança + rede, selecione Criptografia.
No painel Criptografia, observe que a criptografia do Armazenamento do Azure está habilitada para todo o armazenamento de blob e armazenamento de arquivos novos e existentes e que não pode ser desabilitada.
Exigir apenas acesso privado aos contentores blobs – Nível 1
Você pode habilitar o acesso anônimo de leitura pública a um contêiner e seus blobs no Armazenamento de Blobs do Azure. Ao ativar o acesso anônimo de leitura pública, você pode conceder acesso somente leitura a esses recursos sem compartilhar sua chave de conta e sem exigir uma assinatura de acesso compartilhado. Por padrão, um contêiner e quaisquer blobs dentro dele podem ser acessados apenas por um usuário que tenha recebido as permissões apropriadas. Para conceder aos usuários anônimos acesso de leitura a um contêiner e seus blobs, você pode definir o nível de acesso do contêiner como público.
No entanto, se você conceder acesso público a um contêiner, os usuários anônimos poderão ler blobs dentro de um contêiner acessível publicamente sem que a solicitação seja autorizada. Uma recomendação de segurança é, em vez disso, definir o acesso aos contêineres de armazenamento como privado. Conclua as etapas a seguir para cada conta de armazenamento em sua assinatura do Azure.
Inicie sessão no portal do Azure. Pesquise e selecione Contas de armazenamento.
No painel Contas de armazenamento, selecione uma conta de armazenamento.
No menu à esquerda, em Armazenamento de dados, selecione Contêineres.
No painel Contêineres, verifique se o nível de acesso público está definido como Privado.
