Просмотр стратегий безопасности служба хранилища Azure
Администраторы используют различные стратегии, чтобы обеспечить безопасность данных. Распространенные подходы включают шифрование, проверку подлинности, авторизацию и управление доступом пользователей с учетными данными, разрешениями файлов и частными подписями. служба хранилища Azure предлагает набор возможностей безопасности на основе распространенных стратегий, помогающих защитить данные.
Сведения о стратегиях безопасности служба хранилища Azure
Рассмотрим некоторые характеристики безопасности служба хранилища Azure.
шифрование при хранении; Шифрование службы хранилища (SSE) с 256-разрядным шифром расширенного шифрования (AES) шифрует все данные, записанные в служба хранилища Azure. При считывании данных из службы хранилища Azure она расшифровывает их перед возвратом. Этот процесс не несет дополнительных расходов и не снижает производительность. Отключить его невозможно.
Проверка подлинности. Идентификатор Microsoft Entra и управление доступом на основе ролей (RBAC) поддерживаются для служба хранилища Azure для операций управления ресурсами и операций с данными.
- Назначение ролей RBAC учетной записи хранения Azure субъектам безопасности и использование идентификатора Microsoft Entra для авторизации операций управления ресурсами, таких как управление ключами.
- Интеграция Microsoft Entra поддерживается для операций с данными в Хранилище BLOB-объектов Azure и хранилище очередей Azure.
Шифрование при передаче. Вы можете обеспечить защиту данных, включив безопасность на транспортном уровне между Azure и клиентом. Всегда используйте протокол HTTPS, который обеспечивает безопасный обмен данными через общедоступный Интернет. При вызове интерфейсов REST API для доступа к объектам в учетных записях хранения можно принудительно задать использование протокола HTTPS, запросив безопасную передачу для учетной записи хранения. После включения безопасной передачи подключения, использующие протокол HTTP, будут отклоняться. Этот флаг также будет обеспечивать безопасную передачу по протоколу SMB с применением SMB 3.0 для всех подключений общей папки.
Шифрование дисков. Для виртуальных машин Azure предоставляет возможность шифровать виртуальные жесткие диски (VHD) с помощью шифрования дисков Azure. Такое шифрование использует образы BitLocker для Windows и dm-crypt для Linux. Ключи автоматически сохраняются в Azure Key Vault, чтобы вам было проще управлять ключами шифрования дисков и секретами. Поэтому даже если кто-то получит доступ к образу виртуального жесткого диска и скачает его, он не сможет получить доступ к данным на нем.
Подписанные URL-адреса. Делегированный доступ к объектам данных в служба хранилища Azure можно предоставить с помощью подписанного URL-адреса (SAS).
Авторизация. Каждый запрос к защищенному ресурсу в хранилище BLOB-объектов, Файлы Azure, хранилище очередей или Azure Cosmos DB (хранилище таблиц Azure) должен быть авторизован. Авторизация гарантирует, что ресурсы в учетной записи хранения доступны только в том случае, если они нужны, а также только тем пользователям или приложениям, которым предоставляется доступ.
Вопросы, которые следует учитывать при использовании безопасности авторизации
Ознакомьтесь со следующими стратегиями для авторизации запросов на служба хранилища Azure. Подумайте о том, какие стратегии безопасности будут работать для ваших служба хранилища Azure.
| Стратегия авторизации | Description |
|---|---|
| Microsoft Entra ID | Идентификатор Microsoft Entra — это облачная служба управления удостоверениями и доступом Майкрософт. С помощью идентификатора Microsoft Entra можно назначить точный доступ пользователям, группам или приложениям с помощью управления доступом на основе ролей. |
| Общий ключ | Авторизация общего ключа зависит от ключей доступа к учетной записи хранения Azure и других параметров для создания зашифрованной строки подписи. Строка передается по запросу в заголовке авторизации. |
| Подписанные URL-адреса | SAS делегирует доступ к определенному ресурсу в учетной записи хранения Azure с указанными разрешениями и за указанный интервал времени. |
| Анонимный доступ к контейнерам и BLOB-объектам | При необходимости можно сделать общедоступными ресурсы BLOB-объектов на уровне контейнера или BLOB-объекта. Общедоступный контейнер или BLOB-объект дает любому пользователю анонимный доступ на чтение. Для чтения запросов к общедоступным контейнерам и BLOB-объектам не требуется авторизация. |