Standardní hodnoty zabezpečení Azure pro službu Storage
Tyto standardní hodnoty zabezpečení aplikují na službu Storage pokyny z srovnávacího testu zabezpečení cloudu Microsoftu verze 1.0 . Srovnávací test zabezpečení cloudu Microsoftu poskytuje doporučení, jak můžete zabezpečit cloudová řešení v Azure. Obsah se seskupuje podle kontrolních mechanismů zabezpečení definovaných srovnávacím testem cloudového zabezpečení Microsoftu a souvisejících pokynů týkajících se služby Storage.
Tyto standardní hodnoty zabezpečení a jejich doporučení můžete monitorovat pomocí Microsoft Defender for Cloud. Azure Policy definice budou uvedené v části Dodržování právních předpisů na stránce portálu Microsoft Defender pro cloud.
Pokud má funkce relevantní definice Azure Policy, jsou uvedené v tomto směrném plánu, aby vám pomohly měřit dodržování předpisů s kontrolními mechanismy a doporučeními srovnávacího testu zabezpečení cloudu Od Microsoftu. Některá doporučení můžou vyžadovat placený plán Microsoft Defender, aby bylo možné povolit určité scénáře zabezpečení.
Poznámka
Funkce , které se nevztahují na úložiště, byly vyloučeny. Pokud chcete zjistit, jak se služba Storage kompletně mapuje na srovnávací test zabezpečení cloudu Microsoftu, podívejte se na úplný soubor mapování standardních hodnot zabezpečení úložiště.
Profil zabezpečení
Profil zabezpečení shrnuje chování úložiště s vysokým dopadem, které může vést k vyšším aspektům zabezpečení.
| Atribut Chování služby | Hodnota |
|---|---|
| Kategorie produktu | Storage |
| Zákazník má přístup k hostiteli nebo operačnímu systému. | Zakázaný přístup |
| Službu je možné nasadit do virtuální sítě zákazníka. | Ano |
| Ukládá obsah zákazníka v klidovém stavu. | Ano |
Zabezpečení sítě
Další informace najdete ve srovnávacím testu cloudového zabezpečení Microsoftu: Zabezpečení sítě.
NS-1: Vytvoření hranic segmentace sítě
Funkce
Integrace virtuální sítě
Popis: Služba podporuje nasazení do privátní Virtual Network (VNet) zákazníka. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporovaná k zabezpečení této služby.
NS-2: Zabezpečení cloudových služeb pomocí síťových ovládacích prvků
Funkce
Azure Private Link
Popis: Funkce nativního filtrování IP adres pro filtrování síťového provozu (nezaměňovat se skupinou zabezpečení sítě nebo Azure Firewall). Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Nasazení privátních koncových bodů pro Azure Storage za účelem vytvoření privátního přístupového bodu pro prostředky.
Referenční informace: Použití privátních koncových bodů pro Azure Storage
Zakázání přístupu z veřejné sítě
Popis: Služba podporuje zakázání veřejného síťového přístupu buď pomocí pravidla filtrování seznamu ACL protokolu IP na úrovni služby (nikoli skupiny zabezpečení sítě nebo Azure Firewall), nebo pomocí přepínače Zakázat veřejný síťový přístup. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Zakažte veřejný síťový přístup pomocí filtrování seznamu ACL na úrovni služby Azure Storage nebo přepínáním pro veřejný síťový přístup.
Referenční informace: Změna výchozího pravidla přístupu k síti
Správa identit
Další informace najdete v tématu Srovnávací test cloudového zabezpečení Microsoftu: Správa identit.
IM-1: Použití centralizovaného systému identit a ověřování
Funkce
Azure AD ověřování vyžadované pro přístup k rovině dat
Popis: Služba podporuje použití ověřování Azure AD pro přístup k rovině dat. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ano | Microsoft |
Poznámky k funkcím: Úložiště nabízí několik způsobů, jak autorizovat rovinu dat. Azure poskytuje řízení přístupu na základě role v Azure (Azure RBAC) pro přesnou kontrolu přístupu klienta k prostředkům v účtu úložiště. Pokud je to možné, používejte Azure AD přihlašovací údaje jako osvědčený postup zabezpečení a nepoužívejte klíč účtu, který může být snadněji ohrožen. Pokud návrh vaší aplikace vyžaduje pro přístup k úložišti objektů blob sdílené přístupové podpisy, použijte přihlašovací údaje Azure AD k vytvoření sdílených přístupových podpisů (SAS) delegování uživatele, pokud je to možné pro zajištění vyššího zabezpečení.
Pokyny ke konfiguraci: Nejsou potřeba žádné další konfigurace, protože je povolená ve výchozím nasazení.
Referenční informace: Autorizace přístupu k datům ve službě Azure Storage
Metody místního ověřování pro přístup k rovině dat
Popis: Místní metody ověřování podporované pro přístup k rovině dat, jako je místní uživatelské jméno a heslo. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Poznámky k funkcím: Vyhněte se používání místních metod ověřování nebo účtů, měly by se zakázat, kdykoli je to možné. Místo toho k ověření použijte Azure AD, kde je to možné.
Pokyny ke konfiguraci: Omezte použití místních metod ověřování pro přístup k rovině dat. Místo toho jako výchozí metodu ověřování použijte Azure Active Directory (Azure AD) k řízení přístupu k rovině dat.
Referenční informace: Model oprávnění SFTP
IM-3: Zabezpečená a automatická správa identit aplikací
Funkce
Spravované identity
Popis: Akce roviny dat podporují ověřování pomocí spravovaných identit. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Pokud je to možné, používejte spravované identity Azure místo instančních objektů, které se můžou ověřovat ve službách a prostředcích Azure podporujících ověřování Azure Active Directory (Azure AD). Přihlašovací údaje spravované identity jsou plně spravované, obměňované a chráněné platformou, takže se vyhnete pevně zakódovaným přihlašovacím údajům ve zdrojovém kódu nebo konfiguračních souborech.
Referenční informace: Autorizace přístupu k datům objektů blob pomocí spravovaných identit pro prostředky Azure
Instanční objekty
Popis: Rovina dat podporuje ověřování pomocí instančních objektů. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Další pokyny: S Azure AD můžete pomocí řízení přístupu na základě role v Azure (Azure RBAC) udělit oprávnění objektu zabezpečení, kterým může být uživatel, skupina nebo instanční objekt aplikace. Objekt zabezpečení je ověřený Azure AD, aby vrátil token OAuth 2.0. Token se pak dá použít k autorizaci požadavku na službu Blob Service.
Referenční informace: Autorizace přístupu k objektům blob pomocí Azure Active Directory
IM-7: Omezení přístupu k prostředkům na základě podmínek
Funkce
Podmíněný přístup pro rovinu dat
Popis: Přístup k rovině dat je možné řídit pomocí Azure AD zásad podmíněného přístupu. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Definujte příslušné podmínky a kritéria pro podmíněný přístup Azure Active Directory (Azure AD) v úloze. Zvažte běžné případy použití, jako je blokování nebo udělení přístupu z konkrétních umístění, blokování rizikového chování při přihlašování nebo vyžadování zařízení spravovaných organizací pro konkrétní aplikace.
Referenční informace: Zakázání autorizace sdíleného klíče pro použití podmíněného přístupu Azure AD
IM-8: Omezení odhalení přihlašovacích údajů a tajných kódů
Funkce
Integrace a úložiště přihlašovacích údajů služby a tajných kódů v Azure Key Vault
Popis: Rovina dat podporuje nativní použití Azure Key Vault pro úložiště přihlašovacích údajů a tajných kódů. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Zajistěte, aby tajné kódy a přihlašovací údaje byly uložené v zabezpečených umístěních, jako je Azure Key Vault, a ne vkládejte je do kódu nebo konfiguračních souborů.
Referenční informace: Správa klíčů účtu úložiště pomocí Key Vault a Azure CLI
Privilegovaný přístup
Další informace najdete v tématu Srovnávací test cloudového zabezpečení Microsoftu: Privilegovaný přístup.
PA-1: Oddělení a omezení vysoce privilegovaných uživatelů nebo uživatelů s oprávněními pro správu
Funkce
Místní účty Správa
Popis: Služba má koncept místního účtu pro správu. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporovaná k zabezpečení této služby.
PA-7: Dodržujte pouze dostatečný princip správy (nejnižší oprávnění)
Funkce
Azure RBAC pro rovinu dat
Popis: Azure Role-Based Access Control (Azure RBAC) je možné použít ke spravovanému přístupu k akcím roviny dat služby. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Azure Storage podporuje autorizaci požadavků na data objektů blob pomocí služby Azure Active Directory (Azure AD). S Azure AD můžete pomocí řízení přístupu na základě role v Azure (Azure RBAC) udělit oprávnění objektu zabezpečení, kterým může být uživatel, skupina nebo instanční objekt aplikace.
Autorizace požadavků ve službě Azure Storage pomocí Azure AD poskytuje vynikající zabezpečení a usnadňuje použití prostřednictvím autorizace pomocí sdíleného klíče. Microsoft doporučuje používat Azure AD autorizaci s vašimi aplikacemi objektů blob, pokud je to možné, abyste zajistili přístup s minimálními požadovanými oprávněními.
Referenční informace: Autorizace přístupu k objektům blob pomocí Azure Active Directory
PA-8: Určení procesu přístupu pro podporu poskytovatele cloudu
Funkce
Customer Lockbox
Popis: Customer Lockbox je možné použít pro přístup k podpoře Microsoftu. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Ve scénářích podpory, kdy Microsoft potřebuje přístup k vašim datům, použijte Customer Lockbox ke kontrole a následnému schválení nebo zamítnutí všech žádostí Microsoftu o přístup k datům.
Referenční informace: Customer Lockbox
Ochrana dat
Další informace najdete v článku Microsoft Cloud Security Benchmark: Ochrana dat.
DP-1: Zjišťování, klasifikace a označování citlivých dat
Funkce
Zjišťování a klasifikace citlivých dat
Popis: Ke zjišťování a klasifikaci dat ve službě je možné použít nástroje (například Azure Purview nebo Azure Information Protection). Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Poznámky k funkcím: Integrace úložiště s Azure Purview je v současné době ve verzi Private Preview.
Pokyny ke konfiguraci: Pomocí Azure Purview můžete prohledávat, klasifikovat a označovat všechna citlivá data, která se nacházejí ve službě Azure Storage.
Referenční informace: Připojení ke službě Azure Blob Storage v Microsoft Purview
DP-2: Monitorování anomálií a hrozeb cílených na citlivá data
Funkce
Ochrana před únikem nebo ztrátou dat
Popis: Služba podporuje řešení ochrany před únikem informací pro monitorování přesunu citlivých dat (v obsahu zákazníka). Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Defender for Storage průběžně analyzuje stream telemetrie vygenerovaný službami Azure Blob Storage a Azure Files. Při zjištění potenciálně škodlivých aktivit se vygenerují výstrahy zabezpečení. Tato upozornění se zobrazují v Microsoft Defender for Cloud společně s podrobnostmi o podezřelé aktivitě a příslušnými kroky šetření, nápravnými akcemi a doporučeními k zabezpečení.
Microsoft Defender for Storage je integrovaný do Microsoft Defender pro cloud. Když ve svém předplatném povolíte funkce rozšířeného zabezpečení Microsoft Defender for Cloud, Microsoft Defender pro úložiště se automaticky povolí pro všechny vaše účty úložiště. Defender for Storage můžete povolit nebo zakázat pro jednotlivé účty úložiště v rámci konkrétního předplatného.
Referenční informace: Konfigurace Microsoft Defender pro úložiště
DP-3: Šifrování přenášených citlivých dat
Funkce
Šifrování dat při přenosu
Popis: Služba podporuje šifrování přenášených dat pro rovinu dat. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ano | Microsoft |
Pokyny ke konfiguraci: Nejsou potřeba žádné další konfigurace, protože je tato možnost povolená ve výchozím nasazení.
Referenční informace: Vynucování minimální požadované verze protokolu TLS (Transport Layer Security) pro požadavky na účet úložiště
DP-4: Ve výchozím nastavení povolte šifrování neaktivních uložených dat.
Funkce
Šifrování dat v klidovém stavu pomocí klíčů platformy
Popis: Šifrování neaktivních uložených dat pomocí klíčů platformy je podporováno. Veškerý uložený obsah zákazníka se šifruje pomocí těchto klíčů spravovaných Microsoftem. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ano | Microsoft |
Pokyny ke konfiguraci: Nejsou potřeba žádné další konfigurace, protože je tato možnost povolená ve výchozím nasazení.
Referenční informace: Šifrování neaktivních uložených dat ve službě Azure Storage
DP-5: Použití možnosti klíče spravovaného zákazníkem při šifrování neaktivních uložených dat v případě potřeby
Funkce
Šifrování dat v klidovém stavu pomocí CMK
Popis: Šifrování neaktivních uložených dat pomocí klíčů spravovaných zákazníkem se podporuje pro obsah zákazníka uložený službou. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: V případě potřeby pro dodržování právních předpisů definujte případ použití a obor služby, kde se vyžaduje šifrování pomocí klíčů spravovaných zákazníkem. Povolení a implementace šifrování neaktivních uložených dat pro data v oboru pomocí klíče spravovaného zákazníkem pro Azure Storage
Referenční informace: Klíče spravované zákazníkem pro šifrování služby Azure Storage
DP-6: Použití zabezpečeného procesu správy klíčů
Funkce
Správa klíčů v Azure Key Vault
Popis: Služba podporuje integraci azure Key Vault pro všechny klíče, tajné kódy nebo certifikáty zákazníků. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Pomocí Azure Key Vault můžete vytvořit a řídit životní cyklus šifrovacích klíčů, včetně generování, distribuce a úložiště klíčů. Obměňujte a odvolávejte klíče v Azure Key Vault a vaší službě na základě definovaného plánu nebo v případě, že dojde k vyřazení nebo ohrožení zabezpečení klíče. Pokud je potřeba použít klíč spravovaný zákazníkem (CMK) na úrovni úlohy, služby nebo aplikace, ujistěte se, že dodržujete osvědčené postupy pro správu klíčů: Pomocí hierarchie klíčů vygenerujte samostatný šifrovací klíč dat (DEK) s šifrovacím klíčem klíče (KEK) ve vašem trezoru klíčů. Ujistěte se, že jsou klíče zaregistrované v Azure Key Vault a odkazované prostřednictvím ID klíčů ze služby nebo aplikace. Pokud potřebujete do služby přinést vlastní klíč (BYOK) (například import klíčů chráněných HSM z místních modulů HSM do Azure Key Vault), postupujte podle doporučených pokynů a proveďte počáteční generování a přenos klíče.
Referenční informace: Správa klíčů účtu úložiště pomocí Key Vault a Azure CLI
Správa aktiv
Další informace najdete v tématu Microsoft Cloud Security Benchmark: Správa prostředků.
AM-2: Používejte jenom schválené služby
Funkce
Podpora služby Azure Policy
Popis: Konfigurace služeb je možné monitorovat a vynucovat prostřednictvím Azure Policy. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Definujte a implementujte standardní konfigurace zabezpečení pro síťové prostředky přidružené k vašemu účtu služby Azure Storage s Azure Policy. Pomocí Azure Policy aliasů v oborech názvů Microsoft.Storage a Microsoft.Network můžete vytvářet vlastní zásady pro auditování nebo vynucení síťové konfigurace prostředků účtu úložiště.
Můžete také použít předdefinované definice zásad související s účtem úložiště, například: Účty úložiště by měly používat koncový bod služby virtuální sítě.
Referenční informace: Azure Policy předdefinovaných definic pro Azure Storage
Protokolování a detekce hrozeb
Další informace najdete v tématu Microsoft Cloud Security Benchmark: Protokolování a detekce hrozeb.
LT-1: Povolení možností detekce hrozeb
Funkce
Microsoft Defender pro službu / nabídku produktů
Popis: Služba má řešení Microsoft Defender specifické pro konkrétní nabídku, které umožňuje monitorovat a upozorňovat na problémy se zabezpečením. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Pomocí Microsoft Defender pro úložiště můžete poskytnout další vrstvu inteligentních funkcí zabezpečení, která detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům úložiště nebo jejich zneužití. Využívá pokročilé funkce detekce hrozeb a data Microsoft Threat Intelligence k poskytování kontextových výstrah zabezpečení. Součástí těchto upozornění jsou také kroky ke zmírnění zjištěných hrozeb a k prevenci budoucích útoků.
Referenční informace: Úvod do Microsoft Defender pro úložiště
LT-4: Povolení protokolování pro šetření zabezpečení
Funkce
Protokoly prostředků Azure
Popis: Služba vytváří protokoly prostředků, které můžou poskytovat rozšířené metriky a protokolování specifické pro službu. Zákazník může tyto protokoly prostředků nakonfigurovat a odeslat je do vlastní datové jímky, jako je účet úložiště nebo pracovní prostor služby Log Analytics. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Ingestování protokolů přes Azure Monitor za účelem agregace dat zabezpečení generovaných koncovými zařízeními, síťovými prostředky a dalšími systémy zabezpečení V rámci Služby Azure Monitor použijte k dotazování a provádění analýz pracovní prostory služby Log Analytics a účty azure Storage pro dlouhodobé/archivní úložiště, volitelně s funkcemi zabezpečení, jako jsou neměnné úložiště a vynucená blokování uchovávání.
Referenční informace: Monitorování Azure Blob Storage
Backup a obnovení
Další informace najdete v tématu Srovnávací test zabezpečení cloudu Microsoftu: Zálohování a obnovení.
BR-1: Zajištění pravidelného automatizovaného zálohování
Funkce
Azure Backup
Popis: Službu může zálohovat služba Azure Backup. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Poznámky k funkcím: Azure Backup se v současné době podporuje jenom pro Azure Blob Storage. Data front a tabulek je možné zálohovat pomocí nástroje příkazového řádku AzCopy.
Pokyny ke konfiguraci: Povolte Azure Backup a nakonfigurujte zdroj zálohování s požadovanou frekvencí a s požadovanou dobou uchovávání. Azure Backup umožňuje snadno nakonfigurovat provozní zálohování pro ochranu objektů blob bloku v účtech úložiště. Zálohování objektů blob se konfiguruje na úrovni účtu úložiště. Proto jsou všechny objekty blob v účtu úložiště chráněné provozním zálohováním.
Zálohování pro více účtů úložiště můžete nakonfigurovat pomocí Centra zálohování. Zálohování pro účet úložiště můžete také nakonfigurovat pomocí vlastností ochrany dat účtu úložiště.
Referenční informace: Přehled provozního zálohování objektů blob Azure
Funkce nativního zálohování služby
Popis: Služba podporuje vlastní nativní zálohování (pokud nepoužíváte Azure Backup). Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Další pokyny: Provozní zálohování objektů blob je řešení místního zálohování. Zálohovaná data se tedy nepřenesou do trezoru služby Backup, ale ukládají se v samotném zdrojovém účtu úložiště. Trezor služby Backup však stále slouží jako jednotka správy záloh. Toto je také řešení průběžného zálohování, což znamená, že nemusíte plánovat žádné zálohy a všechny změny budou zachovány a obnovitelné ze stavu ve vybraném okamžiku.
Referenční informace: Přehled provozního zálohování objektů blob Azure
Další kroky
- Podívejte se na přehled srovnávacích testů zabezpečení cloudu Microsoftu.
- Další informace o základních úrovních zabezpečení Azure