Explorar as funcionalidades de segurança do Armazenamento do Azure

Concluído

A Contoso depende bastante de grandes quantidades de dados no Armazenamento do Azure. As aplicações dependem de blobs, de armazenamento de tabelas não estruturadas, do Azure Data Lake e de partilhas de ficheiros baseadas em SMB (Server Message Block).

Após ocorrer uma falha de segurança de dados numa empresa concorrente da Contoso, a Contoso pede ao administrador de rede para verificar a segurança dos dados da organização. Enquanto consultor de dados da Contoso, irá assegurar ao administrador de rede que as contas de Armazenamento do Azure fornecem vários benefícios de segurança de alto nível aos dados na cloud:

  • Protegem os dados inativos
  • Protegem os dados em circulação
  • Suportam o acesso por browser entre domínios
  • Controlam quem pode aceder aos dados
  • Auditam o acesso ao armazenamento

Encriptação inativa

Todos os dados escritos no Armazenamento do Azure são automaticamente encriptados através da Encriptação do Serviço de Armazenamento (SSE) com uma cifra AES (Advanced Encryption Standard) de 256 bits e estão conformidade com a norma de segurança FIPS 140-2. A SSE encripta automaticamente os dados ao escrevê-los no Armazenamento do Azure. Quando lê dados do Armazenamento do Azure, o Armazenamento do Azure desencripta os dados antes de devolvê-los. Este processo não implica custos adicionais e não afeta o desempenho. Não pode ser desativado.

Para máquinas virtuais (VMs), o Azure permite-lhe encriptar discos rígidos virtuais (VHDs) com o Azure Disk Encryption. Essa criptografia usa o BitLocker para imagens do Windows e usa dm-crypt para Linux.

O Azure Key Vault armazena as chaves automaticamente para ajudá-lo a controlar e gerir as chaves e os segredos de encriptação de disco. Por isso, mesmo que alguém obtenha acesso à imagem VHD e a transfira, não pode aceder aos dados no VHD.

Encriptação em trânsito

Mantenha os seus dados em segurança ao ativar a segurança de nível de transporte entre o Azure e o cliente. Utilize sempre HTTPS para proteger a comunicação através da Internet pública. Ao chamar as APIs REST para aceder a objetos nas contas de armazenamento, pode impor a utilização de HTTPS ao exigir a transferência segura para a conta de armazenamento. Depois de ativar a transferência segura, as ligações que utilizam HTTP serão recusadas. Este sinalizador também irá impor a transferência segura através de SMB ao exigir o SMB 3.0 em todas as montagens de partilhas de ficheiros.

Suporte do CORS

A Contoso armazena vários tipos de recursos de site no Armazenamento do Azure. Estes tipos incluem imagens e vídeos. Para proteger as aplicações de browser, a Contoso bloqueia os pedidos GET para domínios específicos.

O Armazenamento do Azure suporta o acesso entre domínios através da partilha de recursos transversais à origem (CORS). O CORS utiliza cabeçalhos de HTTP para permitir que uma aplicação Web num domínio aceda aos recursos de um servidor num domínio diferente. Através do CORS, as aplicações Web garantem que apenas carregam conteúdo autorizado de origens autorizadas.

O suporte do CORS é um sinalizador opcional que pode ativar em contas de armazenamento. O sinalizador adiciona os cabeçalhos adequados quando utiliza pedidos GET de HTTP para obter recursos da conta de armazenamento.

Controlo de acesso baseado em funções

Para aceder aos dados numa conta de armazenamento, o cliente faz um pedido através de HTTP ou HTTPS. Cada pedido para um recurso seguro tem de ser autorizado. O serviço garante que o cliente tem as permissões necessárias para aceder aos dados. Pode escolher entre várias opções de acesso. Possivelmente, a opção mais flexível é o acesso baseado em funções.

O Armazenamento do Azure dá suporte à ID do Microsoft Entra e ao RBAC (controle de acesso baseado em função) para gerenciamento de recursos e operações de dados. Para entidades de segurança, você pode atribuir funções RBAC com escopo para a conta de armazenamento. Você pode usar o Ative Directory para autorizar operações de gerenciamento de recursos, como configuração. O Azure Directory é suportado para operações de dados no armazenamento de filas e blobs.

Você pode atribuir funções RBAC a uma entidade de segurança ou a uma identidade gerenciada para recursos do Azure que têm escopo para uma assinatura, um grupo de recursos, uma conta de armazenamento ou um contêiner ou fila individual.

Auditoria do acesso

A auditoria é outra parte do controlo do acesso. Pode auditar o acesso ao Armazenamento do Azure com o serviço incorporado de Análise de Armazenamento.

A Análise de Armazenamento regista cada operação em tempo real e pode procurar pedidos específicos nos registos de Análise de Armazenamento. Você pode filtrar com base no mecanismo de autenticação, no sucesso da operação ou no recurso que foi acessado.