探索 Azure 儲存體安全性功能
Contoso 高度依賴 Azure 儲存體中的大量資料。 其許多的應用程式都依賴 Blob、非結構化表格儲存體、Azure Data Lake 和伺服器訊息區 (SMB) 型檔案共用。
在 Contoso 的競爭對手發生資料外洩後,Contoso 要求網路系統管理員檢查組織的資料安全性。 作為 Contoso 的資料顧問,您向網路系統管理員保證 Azure 儲存體帳戶可針對雲端中的資料,提供數種高層級的安全性優點:
- 保護待用資料
- 保護傳輸中資料
- 支援瀏覽器的跨網域存取
- 控制誰可以存取資料
- 稽核儲存體存取
待用加密
所有寫入 Azure 儲存體的資料都會由儲存體服務加密 (SSE) 使用 256 位元的進階加密標準 (AES) 加密來自動加密,且符合 FIPS 140-2 規範。 SSE 會在將資料寫入 Azure 儲存體時自動加密資料。 當您從 Azure 儲存體讀取資料時,Azure 儲存體會先解密資料,再將它傳回。 這項過程不會產生額外的費用,也不會降低效能。 您無法停用它。
針對虛擬機器 (VM),Azure 可讓您使用 Azure 磁碟加密來加密虛擬硬碟 (VHD)。 這項加密會針對 Windows 映像使用 BitLocker,並針對 Linux 使用 dm-crypt。
Azure Key Vault 會自動儲存金鑰,協助您控制及管理磁碟加密金鑰及祕密。 因此即使有人存取 VHD 映像並下載它,他們也無法存取 VHD 上的資料。
傳輸中加密
透過啟用 Azure 和用戶端之間的「傳輸層級安全性」來保護您的資料。 請一律使用 HTTPS 來保護透過公用網際網路進行的通訊。 當您呼叫 REST API 存取儲存體帳戶中的物件時,您可以透過要求針對儲存體帳戶進行安全傳輸,來強制使用 HTTPS。 在您啟用安全傳輸後,使用 HTTP 的連線便會遭到拒絕。 此旗標也會透過要求將 SMB 3.0 用於所有檔案共用掛接,來施行透過 SMB 的安全傳輸。
CORS 支援
Contoso 在Azure 儲存體中儲存多種網站資產類型。 這些類型包含影像和影片。 為了保護瀏覽器應用程式的安全,Contoso 將 GET 要求鎖定在特定網域。
Azure 儲存體支援透過跨原始來源資源共用 (CORS) 進行跨網域存取。 CORS 使用 HTTP 標頭,讓某個網域上的 Web 應用程式可以存取位於不同網域的伺服器資源。 藉由使用 CORS,Web 應用程式可以確保僅從授權來源載入授權內容。
CORS 支援是一項選擇性的旗標,您可以在儲存體帳戶中啟用它。 旗標可在您使用 HTTP GET 要求從儲存體帳戶擷取資源時,新增適當的標頭。
角色型存取控制
為了存取儲存體帳戶中的資料,用戶端會透過 HTTP 或 HTTPS 提出要求。 每個對安全資源發出的要求都必須經過授權。 服務會確保用戶端具備存取資料所需的權限。 您可以從數種存取選項中選擇。 有些人認為角色型存取控制是最彈性的選項。
Azure 儲存體支援 Microsoft Entra ID 和角色型存取控制 (RBAC),用於資源管理作業和資料作業。 針對安全性主體,您可以指派範圍設為儲存體帳戶的 RBAC 角色。 您可以使用 Active Directory 來授權資源管理作業 (例如設定)。 針對 Blob 和佇列儲存體上的資料作業,也支援 Active Directory。
針對安全性主體或 Azure 資源的受控識別,您可以指派範圍設為訂閱、資源群組、儲存體帳戶或個別容器或佇列的 RBAC 角色。
稽核存取
稽核是控制存取的另一部分。 您可以使用內建的儲存體分析服務,稽核 Azure 儲存體存取。
儲存體分析會即時記錄每個作業,且您可以在儲存體分析記錄上搜尋特定要求。 您可以驗證機制、作業成功或受到存取的資源為基礎進行篩選。