أفضل الممارسات لتأمين تطبيقات PaaS على الويب والأجهزة المحمولة باستخدام Azure Storage

  • مقالة
  • قراءة خلال 4 دقائق

في هذه المقالة، نناقش مجموعة من أفضل ممارسات أمان Azure Storage لتأمين تطبيقات الويب والأجهزة المحمولة الخاصة بالنظام الأساسي كخدمة (PaaS). تستمد أفضل الممارسات هذه من تجربتنا مع Azure وتجارب العملاء مثلك.

يتيح Azure نشر التخزين واستخدامه بطرق لا يمكن تحقيقها بسهولة محليا. باستخدام مساحة تخزين Azure، يمكنك الوصول إلى مستويات عالية من قابلية التوسع والتوفر بجهد قليل نسبيا. لا يعد Azure Storage الأساس لأجهزة Azure الافتراضية Windows و Linux Azure فحسب ، بل يمكنه أيضا دعم التطبيقات الموزعة الكبيرة.

يوفر Azure Storage الخدمات الأربع التالية: تخزين Blob وتخزين الجداول وتخزين قائمة الانتظار وتخزين الملفات. لمعرفة المزيد، راجع مقدمة حول Microsoft Azure Storage.

يعد دليل أمان Azure Storage مصدرا رائعا للحصول على معلومات مفصلة حول تخزين Azure وأمانه. تتناول مقالة أفضل الممارسات هذه على مستوى عال بعض المفاهيم الموجودة في دليل الأمان والروابط المؤدية إلى دليل الأمان، بالإضافة إلى مصادر أخرى، للحصول على مزيد من المعلومات.

تتناول هذه المقالة أفضل الممارسات التالية:

  • توقيع الوصول المشترك (SAS)
  • التحكم في الوصول إلى Azure استناداً إلى الدور (Azure RBAC)
  • تشفير من جانب العميل للبيانات عالية القيمة
  • Storage Service Encryption

استخدام توقيع وصول مشترك بدلا من مفتاح حساب تخزين

التحكم في الوصول أمر بالغ الأهمية. لمساعدتك في التحكم في الوصول إلى Azure Storage، يقوم Azure بإنشاء مفتاحي حساب تخزين 512 بت (SAKs) عند إنشاء حساب تخزين. يتيح لك مستوى تكرار المفاتيح تجنب انقطاع الخدمة أثناء التناوب الروتيني للمفاتيح.

تعد مفاتيح الوصول إلى التخزين أسرارا ذات أولوية عالية ويجب أن تكون متاحة فقط للمسؤولين عن التحكم في الوصول إلى التخزين. إذا تمكن الأشخاص الخطأ من الوصول إلى هذه المفاتيح ، فسيكون لديهم تحكم كامل في التخزين ويمكنهم استبدال الملفات أو حذفها أو إضافتها إلى التخزين. ويشمل ذلك البرامج الضارة وأنواع المحتوى الأخرى التي يمكن أن تعرض مؤسستك أو عملائك للخطر.

لا تزال بحاجة إلى طريقة لتوفير الوصول إلى الكائنات الموجودة في التخزين. لتوفير وصول أكثر دقة، يمكنك الاستفادة من توقيع الوصول المشترك (SAS). يتيح لك SAS مشاركة كائنات محددة في التخزين لفترة زمنية محددة مسبقا وبأذونات محددة. يسمح لك توقيع الوصول المشترك بتحديد:

  • الفاصل الزمني الذي يكون فيه SAS صالحا ، بما في ذلك وقت البدء ووقت انتهاء الصلاحية.
  • الأذونات الممنوحة من قَِبل SAS. على سبيل المثال، قد تمنح SAS على نقطة المستخدم أذونات القراءة والكتابة لتلك النقطة، ولكن ليس أذونات الحذف.
  • عنوان IP اختياري أو نطاق من عناوين IP التي يقبل منها Azure Storage SAS. على سبيل المثال، قد تحدد نطاقاً من عناوين IP المنتمية للمؤسسة. يوفر هذا مقياسا آخر للأمان ل SAS الخاص بك.
  • البروتوكول الذي يقبل تخزين Azure SAS عليه. يمكنك استخدام هذه المعلمة الاختيارية لتقييد الوصول إلى العملاء الذين يستخدمون HTTPS.

تتيح لك SAS مشاركة المحتوى بالطريقة التي تريد مشاركتها بها دون التخلي عن مفاتيح حساب التخزين الخاصة بك. يعد استخدام SAS دائما في تطبيقك طريقة آمنة لمشاركة موارد التخزين الخاصة بك دون المساس بمفاتيح حساب التخزين الخاصة بك.

لمعرفة المزيد حول توقيع الوصول المشترك، راجع استخدام توقيعات الوصول المشترك.

استخدام التحكم في الوصول المستند إلى دور Azure

هناك طريقة أخرى لإدارة الوصول وهي استخدام التحكم في الوصول المستند إلى دور Azure (Azure RBAC). باستخدام Azure RBAC، يمكنك التركيز على منح الموظفين الأذونات الدقيقة التي يحتاجون إليها، استنادا إلى الحاجة إلى المعرفة ومبادئ الأمان الأقل امتيازا. يمكن أن يؤدي وجود عدد كبير جدا من الأذونات إلى كشف الحساب للمهاجمين. يعني عدد قليل جدا من الأذونات أن الموظفين لا يمكنهم إنجاز عملهم بكفاءة. يساعد Azure RBAC في معالجة هذه المشكلة من خلال تقديم إدارة وصول دقيقة الحبيبات ل Azure. هذا أمر ضروري للمؤسسات التي ترغب في فرض سياسات الأمان للوصول إلى البيانات.

يمكنك استخدام أدوار Azure المضمنة في Azure لتعيين امتيازات للمستخدمين. على سبيل المثال، استخدم "المساهم في حساب التخزين" لمشغلي السحابة الذين يحتاجون إلى إدارة حسابات التخزين ودور "المساهم في حساب التخزين الكلاسيكي" لإدارة حسابات التخزين الكلاسيكية. بالنسبة لمشغلي السحابة الذين يحتاجون إلى إدارة الأجهزة الظاهرية ولكن ليس الشبكة الظاهرية أو حساب التخزين الذي يتصلون به، يمكنك إضافتها إلى دور "مساهم الجهاز الظاهري".

قد تمنح المؤسسات التي لا تفرض التحكم في الوصول إلى البيانات باستخدام إمكانات مثل Azure RBAC امتيازات أكثر من اللازم لمستخدميها. يمكن أن يؤدي ذلك إلى اختراق البيانات من خلال السماح لبعض المستخدمين بالوصول إلى البيانات التي لا ينبغي أن تكون لديهم في المقام الأول.

لمعرفة المزيد حول Azure RBAC، راجع:

استخدام التشفير من جانب العميل للحصول على بيانات عالية القيمة

يتيح لك التشفير من جانب العميل تشفير البيانات أثناء نقلها برمجيا قبل تحميلها إلى Azure Storage، وفك تشفير البيانات برمجيا عند استردادها. يوفر هذا تشفير البيانات أثناء النقل ولكنه يوفر أيضا تشفير البيانات في حالة السكون. التشفير من جانب العميل هو الطريقة الأكثر أمانا لتشفير بياناتك ولكنه يتطلب منك إجراء تغييرات برمجية على تطبيقك ووضع عمليات الإدارة الرئيسية في مكانها.

يتيح لك التشفير من جانب العميل أيضا التحكم الوحيد في مفاتيح التشفير الخاصة بك. يمكنك إنشاء وإدارة مفاتيح التشفير الخاصة بك. يستخدم تقنية مغلف حيث تقوم مكتبة عميل تخزين Azure بإنشاء مفتاح تشفير محتوى (CEK) يتم تغليفه (تشفيره) باستخدام مفتاح تشفير المفتاح (KEK). يتم تحديد KEK بواسطة معرف مفتاح ويمكن أن يكون زوج مفاتيح غير متماثل أو مفتاح متماثل ويمكن إدارته محليا أو تخزينه في Azure Key Vault.

التشفير من جانب العميل مضمن في مكتبات عميل تخزين Java و .NET. راجع التشفير من جانب العميل و Azure Key Vault ل Microsoft Azure Storage للحصول على معلومات حول تشفير البيانات داخل تطبيقات العميل وإنشاء مفاتيح التشفير الخاصة بك وإدارتها.

تمكين تشفير خدمة التخزين للبيانات في وضع السكون

عند تمكين تشفير خدمة التخزين لتخزين الملفات، يتم تشفير البيانات تلقائيا باستخدام تشفير AES-256. تتعامل Microsoft مع جميع عمليات التشفير وفك التشفير وإدارة المفاتيح. تتوفر هذه الميزة لأنواع التكرار LRS و GRS.

الخطوات التالية

تعرفك هذه المقالة على مجموعة من أفضل ممارسات أمان Azure Storage لتأمين تطبيقات PaaS على الويب والأجهزة المحمولة. لمعرفة المزيد حول تأمين عمليات نشر PaaS، راجع: