檢閱 Azure 儲存體安全性策略
系統管理員會使用不同的策略來確保資料安全。 常見的方法包括加密、驗證、授權,以及具有認證、檔案權限和私人簽章的使用者存取控制。 Azure 儲存體會根據常見策略提供一套安全性功能,以協助您保護資料的安全。
關於 Azure 儲存體安全性策略的須知事項
讓我們看看 Azure 儲存體安全性的一些特性。
待用加密。 使用 256 位元進階加密標準 (AES) 加密的儲存體服務加密 (SSE) 會加密寫入 Azure 儲存體的所有資料。 當您從 Azure 儲存體讀取資料時,Azure 儲存體會先解密資料,再將它傳回。 此流程不會產生額外的費用,也不會造成效能降低。 您無法停用它。
驗證。 Azure 儲存體支援 Microsoft Entra ID 和角色型存取控制 (RBAC),用於資源管理作業和資料作業。
- 將 Azure 儲存體帳戶範圍內的 RBAC 角色指派給安全性主體,並使用 Microsoft Entra ID 來授權資源管理作業,例如:金鑰管理。
- Azure Blob 儲存體和 Azure 佇列儲存體上的資料作業支援 Microsoft Entra 整合。
傳輸中加密。 透過啟用 Azure 和用戶端之間的「傳輸層級安全性」來保護您的資料。 請一律使用 HTTPS 來保護透過公用網際網路進行的通訊。 當您呼叫 REST API 存取儲存體帳戶中的物件時,您可以透過要求針對儲存體帳戶進行安全傳輸,來強制使用 HTTPS。 在您啟用安全傳輸後,使用 HTTP 的連線便會遭到拒絕。 此旗標也會透過要求將 SMB 3.0 用於所有檔案共用掛接,來施行透過 SMB 的安全傳輸。
磁碟加密。 針對虛擬機器 (VM),Azure 可讓您使用 Azure 磁碟加密來加密虛擬硬碟 (VHD)。 這項加密會針對 Windows 映像使用 BitLocker,並針對 Linux 使用 dm-crypt。 Azure Key Vault 會自動儲存金鑰,協助您控制及管理磁碟加密金鑰及祕密。 因此即使有人存取 VHD 映像並下載它,他們也無法存取 VHD 上的資料。
共用存取簽章。 Azure 儲存體中資料物件的委派存取權,可以使用共用存取簽章 (SAS) 來授與。
授權。 針對 Blob 儲存體、Azure 檔案儲存體、佇列儲存體或 Azure Cosmos DB (Azure 表格儲存體) 中受保護資源所做出的每一個要求,都必須獲得授權。 授權能確保您儲存體帳戶中的資源只能在您同意的情況下由他人存取,且只有您授與存取權的那些使用者或應用程式可以存取。
使用授權安全性時需要考量的事項
檢閱下列授權 Azure 儲存體要求的策略。 請思考哪些安全性策略適用於您的 Azure 儲存體。
| 授權策略 | 描述 |
|---|---|
| Microsoft Entra ID | Microsoft Entra ID 是 Microsoft 的雲端式身分識別與存取管理服務。 透過使用 Microsoft Entra ID,您可以使用角色型存取控制為使用者、群組或應用程式指派精細的存取權。 |
| 共用金鑰 | 共用金鑰授權仰賴您的 Azure 儲存體帳戶存取金鑰和其他參數,以產生加密的簽章字串。 字串會在授權標頭中的要求上傳遞。 |
| 共用存取簽章 | SAS 會委派您 Azure 儲存體帳戶中特定資源的存取權,委派時會一併指定權限和時間間隔。 |
| 針對容器和 Blob 的匿名存取 | 您可以選擇性地在容器或 Blob 層級公開 Blob 資源。 公用容器或 Blob 可供任何使用者以匿名讀取權限來加以存取。 針對公用容器和 Blob 的讀取要求並不需要授權。 |