Granska Säkerhetsstrategier för Azure Storage
Administratörer använder olika strategier för att säkerställa att deras data är säkra. Vanliga metoder är kryptering, autentisering, auktorisering och användaråtkomstkontroll med autentiseringsuppgifter, filbehörigheter och privata signaturer. Azure Storage erbjuder en uppsättning säkerhetsfunktioner baserat på vanliga strategier som hjälper dig att skydda dina data.
Saker att veta om Säkerhetsstrategier för Azure Storage
Nu ska vi titta på några egenskaper för Azure Storage-säkerhet.
Kryptering i vila. Kryptering av lagringstjänst (SSE) med ett 256-bitars AES-chiffer (Advanced Encryption Standard) krypterar alla data som skrivits till Azure Storage. När du läser data från Azure Storage så dekrypterar Azure Storage dessa data innan de returneras. Den här processen medför inga extra avgifter och försämrar inte prestandan. Den kan inte inaktiveras.
Autentisering. Microsoft Entra ID och rollbaserad åtkomstkontroll (RBAC) stöds för Azure Storage för både resurshanteringsåtgärder och dataåtgärder.
- Tilldela RBAC-roller som är begränsade till ett Azure-lagringskonto till säkerhetsobjekt och använd Microsoft Entra-ID för att auktorisera resurshanteringsåtgärder som nyckelhantering.
- Microsoft Entra-integrering stöds för dataåtgärder i Azure Blob Storage och Azure Queue Storage.
Kryptering under överföring. Låt dina data förbli skyddade genom att aktivera säkerhet på transportnivå mellan Azure och klienten. Använd alltid HTTPS för säker kommunikation via offentligt Internet. När du anropar REST API:er för att få åtkomst till objekt på lagringskonton, kan du använda HTTPS genom att kräva säker överföring för lagringskontot. När du har aktiverat säker överföring kommer anslutningar som använder HTTP att nekas. Denna flagga tillämpar även säker överföring via SMB genom att kräva att SMB 3.0 används för alla filresursmonteringar.
Diskkryptering. Om du har virtuella datorer kan du med Azure kryptera virtuella hårddiskar (VHD) med hjälp av Azure Disk Encryption. Den här krypteringen använder BitLocker för Windows-avbildningar och använder dm-crypt för Linux. Nycklarna lagras i Azure Key Vault automatiskt, där du kan kontrollera och hantera diskkrypteringsnycklar och hemligheter. Så även om någon får tillgång till VHD-avbildningen och hämtar den så har användaren ingen åtkomst till informationen på den virtuella hårddisken.
Signaturer för delad åtkomst. Delegerad åtkomst till dataobjekten i Azure Storage kan beviljas med hjälp av en signatur för delad åtkomst (SAS).
Auktorisering. Varje begäran som görs mot en skyddad resurs i Blob Storage, Azure Files, Queue Storage eller Azure Cosmos DB (Azure Table Storage) måste vara auktoriserad. Auktorisering säkerställer att resurser i ditt lagringskonto endast är tillgängliga när du vill att de ska vara det, och endast för de användare eller program som du beviljar åtkomst till.
Saker att tänka på när du använder auktoriseringssäkerhet
Granska följande strategier för att auktorisera begäranden till Azure Storage. Tänk på vilka säkerhetsstrategier som skulle fungera för Azure Storage.
| Auktoriseringsstrategi | beskrivning |
|---|---|
| Microsoft Entra ID | Microsoft Entra ID är Microsofts molnbaserade tjänst för identitets- och åtkomsthantering. Med Microsoft Entra-ID kan du tilldela detaljerad åtkomst till användare, grupper eller program med hjälp av rollbaserad åtkomstkontroll. |
| Delad nyckel | Auktorisering av delad nyckel förlitar sig på åtkomstnycklar för ditt Azure Storage-konto och andra parametrar för att skapa en krypterad signatursträng. Strängen skickas på begäran i auktoriseringshuvudet. |
| Signaturer för delad åtkomst | En SAS delegerar åtkomst till en viss resurs i ditt Azure-lagringskonto med angivna behörigheter och för ett angivet tidsintervall. |
| Anonym åtkomst till containrar och blobar | Du kan också göra blobresurser offentliga på container- eller blobnivå. En offentlig container eller blob är tillgänglig för alla användare för anonym läsåtkomst. Läsbegäranden till offentliga containrar och blobar kräver inte auktorisering. |