Tento článek obsahuje doporučení zabezpečení pro úložiště objektů BLOB. Implementace těchto doporučení vám pomůže splnit vaše povinnosti zabezpečení, jak je popsáno v našem sdíleném modelu zodpovědnosti. Další informace o tom, jak společnost Microsoft splní zodpovědnost poskytovatele služeb, najdete v tématu sdílená odpovědnost v cloudu.
Některá doporučení zahrnutá v tomto článku můžete automaticky monitorovat pomocí programu Microsoft Defender pro Cloud. Jedná se o první linii obrany při ochraně vašich prostředků v Azure. Informace o programu Microsoft Defender pro Cloud najdete v tématu co je Microsoft Defender pro Cloud?
Microsoft Defender pro Cloud pravidelně analyzuje stav zabezpečení vašich prostředků Azure za účelem identifikace potenciálních ohrožení zabezpečení. Pak vám poskytne doporučení, jak je řešit. Další informace o doporučeních pro Cloud v programu Microsoft Defender najdete v tématu doporučení zabezpečení v programu Microsoft Defender pro Cloud.
Ochrana dat
Doporučení
Komentáře
Defender pro Cloud
Použití modelu nasazení Azure Resource Manager
vytvořte nové účty úložiště pomocí modelu nasazení Azure Resource Manager pro důležitá vylepšení zabezpečení, včetně nadřazeného řízení přístupu na základě role azure (azure RBAC) a auditování, Správce prostředků nasazení a zásad správného řízení, přístupu ke spravovaným identitám, přístupu k Azure Key Vault tajným klíčům a ověřování a autorizace založené na službě Azure AD pro přístup k Azure Storage dat a prostředků. Pokud je to možné, migrujte existující účty úložiště, které používají model nasazení Classic pro použití Azure Resource Manager. Další informace o Azure Resource Manager najdete v tématu Azure Resource Manager Overview.
-
Povolit Microsoft Defender pro všechny vaše účty úložiště
Microsoft Defender pro Storage poskytuje další vrstvu zabezpečení, která detekuje neobvyklé a potenciálně nebezpečné pokusy o přístup k účtům úložiště nebo jejich zneužití. Výstrahy zabezpečení se aktivují v programu Microsoft Defender pro Cloud, když dojde k anomáliím v aktivitě a odesílají se taky prostřednictvím e-mailu správcům předplatného, a to s podrobnostmi o podezřelé aktivitě a doporučeních, jak tyto hrozby prozkoumat Další informace najdete v tématu Konfigurace programu Microsoft Defender pro Storage.
Obnovitelné odstranění objektů BLOB umožňuje obnovení dat objektů BLOB po jejich odstranění. další informace o obnovitelném odstranění objektů blob najdete v tématu obnovitelné odstranění pro objekty blob Azure Storage.
-
Zapnout obnovitelné odstranění pro kontejnery
Obnovitelné odstranění kontejnerů umožňuje obnovení kontejneru po jeho odstranění. Další informace o obnovitelném odstranění kontejnerů najdete v tématu obnovitelné odstranění pro kontejnery.
-
Uzamknout účet úložiště, aby se zabránilo nechtěnému nebo škodlivému odstranění nebo změnám konfigurace
Pokud chcete chránit účet před náhodným nebo škodlivým odstraněním nebo změnou konfigurace, použijte Azure Resource Manager zámek k vašemu účtu úložiště. Uzamykání účtu úložiště nebrání v odstranění dat z tohoto účtu. Zabrání jenom tomu, aby se účet odstranil. Další informace najdete v tématu použití zámku Azure Resource Manager k účtu úložiště.
Ukládání důležitých podnikových dat v neměnných objektech blob
Nakonfigurujte právní zásady uchovávání informací na základě času a uložte data objektů BLOB ve stavu ČERVa (zápis jednou, číst mnoho). Objekty blob uložené v immutably se dají přečíst, ale po dobu trvání intervalu uchování se nedají upravit ani odstranit. Další informace najdete v tématu ukládání důležitých podnikových dat objektů BLOB s neměnném úložištěm.
-
Vyžadovat zabezpečený přenos (HTTPS) do účtu úložiště
Pokud pro účet úložiště požadujete zabezpečený přenos, musí být všechny požadavky na účet úložiště provedeny přes protokol HTTPS. Všechny požadavky vytvořené přes protokol HTTP jsou odmítnuty. Microsoft doporučuje, abyste vždycky vyžadovali zabezpečený přenos pro všechny vaše účty úložiště. Další informace najdete v tématu vyžadování zabezpečeného přenosu pro zajištění zabezpečených připojení.
-
Omezení tokenů sdíleného přístupového podpisu (SAS) pouze na připojení HTTPS
použití Azure Active Directory (Azure AD) k autorizaci přístupu k datům objektu blob
Azure AD poskytuje nejvyšší zabezpečení a usnadňuje použití sdíleného klíče pro autorizaci požadavků do úložiště objektů BLOB. Další informace najdete v tématu autorizace přístupu k datům v Azure Storage.
-
Mějte na paměti, že při přiřazování oprávnění k objektu zabezpečení služby Azure AD prostřednictvím Azure RBAC je potřeba mít na paměti hlavní povinný nejnižší oprávnění.
Když přiřadíte roli uživateli, skupině nebo aplikaci, přidělte tomuto objektu zabezpečení pouze ta oprávnění, která jsou potřebná k provedení svých úkolů. Omezení přístupu k prostředkům pomáhá zabránit neúmyslnému a škodlivému zneužití vašich dat.
-
K udělení omezeného přístupu k datům objektů BLOB klientům použijte delegování uživatelů.
SAS delegování uživatele je zabezpečené pomocí přihlašovacích údajů pro Azure Active Directory (Azure AD) a také podle oprávnění zadaných pro SAS. SAS delegování uživatele je obdobou pro SAS služby v souvislosti s jeho rozsahem a funkcí, ale nabízí výhody zabezpečení prostřednictvím SAS služby. další informace najdete v tématu udělení omezeného přístupu k prostředkům Azure Storage pomocí sdílených přístupových podpisů (SAS).
-
Zabezpečení přístupových klíčů k účtu pomocí Azure Key Vault
Microsoft doporučuje, abyste pomocí Azure AD schvalovali požadavky na Azure Storage. Pokud ale musíte použít autorizaci pomocí sdíleného klíče, zabezpečte klíče účtu pomocí Azure Key Vault. Klíče můžete načíst z trezoru klíčů za běhu a nemusíte je ukládat do aplikace. Další informace o Azure Key Vault najdete v tématu Azure Key Vault Overview.
-
Pravidelně znovu vygenerujte klíče účtu
Střídání klíčů účtu pravidelně snižuje riziko odhalení vašich dat u škodlivých aktérů.
-
Zakázat autorizaci sdíleného klíče
pokud zakážete autorizaci sdíleného klíče pro účet úložiště, Azure Storage zamítne všechny následné požadavky na tento účet, které jsou autorizované pomocí přístupových klíčů účtu. Úspěšné budou jenom zabezpečené žádosti, které jsou autorizované se službou Azure AD. další informace najdete v tématu zabránění autorizaci sdíleného klíče pro účet Azure Storage.
-
Mějte na paměti, že hlavní povinný nejnižší oprávnění při přiřazování oprávnění k SAS
Při vytváření SAS zadejte jenom ta oprávnění, která klient vyžaduje k provedení své funkce. Omezení přístupu k prostředkům pomáhá zabránit neúmyslnému a škodlivému zneužití vašich dat.
-
Pro všechna SAS, která vydáváte klientům, je nutné mít plán odvolání.
Pokud dojde k ohrožení zabezpečení SAS, budete chtít toto SAS odvolat co nejrychleji. Pokud chcete odvolat SAS delegování uživatele, Odvolejte klíč delegování uživatele, abyste mohli rychle zrušit platnost všech signatur přidružených k tomuto klíči. Pokud chcete odvolat SAS služby, která je přidružená k uložené zásadě přístupu, můžete zásady uloženého přístupu odstranit, přejmenovat zásadu nebo změnit její dobu platnosti na čas, který je v minulosti. další informace najdete v tématu udělení omezeného přístupu k prostředkům Azure Storage pomocí sdílených přístupových podpisů (SAS).
-
Pokud přidružení zabezpečení služby není přidružené k uloženým zásadám přístupu, nastavte čas vypršení platnosti na jednu hodinu nebo méně.
SAS služby, která není přidružená k uložené zásadě přístupu, nejde odvolat. Z tohoto důvodu se doporučuje omezit čas vypršení platnosti tak, aby SAS platilo jednu hodinu nebo méně.
-
Zakázat anonymní veřejný přístup pro čtení kontejnerů a objektů BLOB
Anonymní veřejný přístup pro čtení kontejneru a jeho objekty blob udělí každému klientovi přístup jen pro čtení k těmto prostředkům. Vyhněte se povolení veřejného přístupu pro čtení, pokud to váš scénář nevyžaduje. Informace o tom, jak zakázat anonymní veřejný přístup pro účet úložiště, najdete v tématu Konfigurace anonymního veřejného přístupu pro čtení pro kontejnery a objekty blob.
-
Sítě
Doporučení
Komentáře
Defender pro Cloud
Nakonfigurujte minimální požadovanou verzi protokolu TLS (Transport Layer Security) pro účet úložiště.
Povolení možnosti Vyžadovat zabezpečený přenos u všech účtů úložiště
Pokud povolíte možnost Vyžadovat zabezpečený přenos , musí probíhat všechny požadavky na účet úložiště přes zabezpečená připojení. Všechny požadavky vytvořené přes protokol HTTP selžou. Další informace najdete v tématu vyžadování zabezpečeného přenosu v Azure Storage.
Nakonfigurujte pravidla brány firewall tak, aby se omezil přístup k vašemu účtu úložiště na požadavky, které pocházejí ze zadaných IP adres nebo rozsahů, nebo ze seznamu podsítí v Azure Virtual Network (VNet). další informace o konfiguraci pravidel brány firewall najdete v tématu konfigurace Azure Storage bran firewall a virtuálních sítí.
-
povoluje důvěryhodným služby Microsoft přístup k účtu úložiště.
Zapnutím pravidel brány firewall pro váš účet úložiště se ve výchozím nastavení zablokuje příchozí požadavky na data, pokud žádosti pocházejí ze služby v rámci Azure Virtual Network (VNet) nebo z povolených veřejných IP adres. Blokované požadavky zahrnují ty z jiných služeb Azure, od Azure Portal, ze služeb protokolování a metriky atd. žádosti z jiných služeb Azure můžete povolit přidáním výjimky, která umožní důvěryhodným služby Microsoft získat přístup k účtu úložiště. další informace o přidání výjimky pro důvěryhodné služby Microsoft najdete v tématu konfigurace Azure Storage firewallů a virtuálních sítí.
-
Použití privátních koncových bodů
Privátní koncový bod přiřadí privátní IP adresu z vaší služby Azure Virtual Network (VNet) k účtu úložiště. Zabezpečuje veškerý provoz mezi vaší virtuální sítí a účtem úložiště prostřednictvím privátního propojení. další informace o privátních koncových bodech najdete v tématu Připojení soukromě k účtu úložiště pomocí privátního koncového bodu Azure.
-
Použití značek služby virtuální sítě
Značka služby představuje skupinu předpon IP adres z dané služby Azure. Společnost Microsoft spravuje předpony adres, které jsou součástí značky služby, a automaticky aktualizuje označení služby jako adresy změny. další informace o značkách služby podporovaných nástrojem Azure Storage najdete v tématu přehled služeb Azure. Kurz, který ukazuje použití značek služby k vytváření odchozích pravidel sítě, najdete v tématu omezení přístupu k prostředkům PaaS.
-
Omezení síťového přístupu na konkrétní sítě
Omezení síťového přístupu k sítím hostujícím klienty vyžaduje přístup snižuje riziko napadení prostředků pro síťové útoky.
Můžete nakonfigurovat předvolby směrování sítě pro váš účet úložiště Azure, abyste určili, jak se bude směrovat síťový provoz na váš účet od klientů přes Internet pomocí globálního síťového nebo internetového směrování Microsoftu. Další informace najdete v tématu Konfigurace předvolby síťového směrování pro Azure Storage.
Nakonfigurujte výstrahy protokolu pro vyhodnocení protokolů prostředků v nastavené četnosti a vystavení výstrahy na základě výsledků. Další informace najdete v tématu protokolování výstrah v Azure monitor.
