查看 Azure 存储安全策略
管理员使用不同的策略来确保其数据是安全的。 常见的方法包括使用凭据、文件权限和专用签名的加密、身份验证、授权和用户访问控制。 Azure 存储提供一套基于常见策略的安全功能,可帮助你保护数据。
有关 Azure 存储安全策略的注意事项
让我们来看看 Azure 存储安全性的一些特征。
静态加密。 所有写入 Azure 存储的数据都由具有 256 位高级加密标准 (AES) 密码的存储服务加密 (SSE) 进行加密。 从 Azure 存储中读取数据时,Azure 存储会在返回数据之前对其进行解密。 此过程不会产生额外费用,也不会降低性能。 无法禁用该过程。
身份验证。 Azure 存储支持使用 Microsoft Entra ID 和基于角色的访问控制 (RBAC) 进行资源管理操作和数据操作。
- 将作用域为 Azure 存储帐户的 RBAC 角色分配给安全主体,并使用 Microsoft Entra ID 为密钥管理之类的资源管理操作授权。
- 支持通过 Microsoft Entra 集成在 Azure Blob 存储和 Azure 队列存储上执行数据操作。
传输中加密。 通过在 Azure 与客户端之间启用传输级别安全性,可确保数据保持安全。 始终使用 HTTPS 来保护通过公共 Internet 的通信。 调用 REST API 以访问存储帐户中的对象时,可以通过要求存储帐户的安全传输来强制使用 HTTPS。 启用安全传输后,系统将拒绝使用 HTTP 的连接。 此标志还将通过要求 SMB 3.0 用于所有文件共享安装,以强制保护通过 SMB 的传输。
磁盘加密。 对于虚拟机 (VM),Azure 可以使用 Azure 磁盘加密来加密虚拟硬盘 (VHD)。 对于 Windows 映像,此加密使用 BitLocker;对于 Linux,此加密使用 dm-crypt。 Azure Key Vault 会自动存储密钥,以帮助你控制和管理磁盘加密密钥和机密。 因此,即使有人访问 VHD 图像并将其下载,他们也无法访问 VHD 上的数据。
共享访问签名。 可以使用共享访问签名 (SAS) 授予对 Azure 存储中的数据对象的委派访问权限。
授权。 对 Blob 存储、Azure 文件存储、队列存储或 Azure Cosmos DB(Azure 表存储)中的受保护资源发出的每个请求都必须获得授权。 授权可确保存储帐户中的资源仅在你想要它们被访问时可访问,并且仅可供你授予访问权限的用户或应用程序访问。
使用授权安全性时的注意事项
查看以下策略来授权对 Azure 存储发出的请求。 考虑哪些安全策略适用于 Azure 存储。
| 授权策略 | 说明 |
|---|---|
| Microsoft Entra ID | Microsoft Entra ID 是 Microsoft 基于云的标识和访问管理服务。 借助 Microsoft Entra ID,你可以使用基于角色的访问控制向用户、组或应用程序分配细粒度访问权限。 |
| 共享密钥 | 共享密钥授权依赖于 Azure 存储帐户访问密钥和其他参数来生成加密的签名字符串。 该字符串在授权标头中的请求上传递。 |
| 共享访问签名 | SAS 以指定的权限在指定的时间间隔内委托对 Azure 存储帐户中特定资源的访问权限。 |
| 对容器和 blob 的匿名访问 | 可选择在容器或 Blob 级别公开 Blob 资源。 任何用户都可访问公共容器或 Blob 来实现匿名读取访问。 针对公共容器和 blob 的读取请求不需要授权。 |