Este artículo contiene recomendaciones de seguridad para Blob Storage. La implementación de estas recomendaciones le ayudará a cumplir sus obligaciones de seguridad, tal y como se describe en nuestro modelo de responsabilidad compartida. Para más información sobre cómo Microsoft cumple las responsabilidades del proveedor de servicios, consulte Responsabilidad compartida en la nube.
Microsoft Defender for Cloud puede supervisar automáticamente algunas de las recomendaciones incluidas en este artículo, que es la primera línea de defensa para proteger los recursos de Azure. Para obtener más información sobre Microsoft Defender for Cloud, consulte ¿Qué es Microsoft Defender for Cloud?.
Microsoft Defender for Cloud analiza periódicamente el estado de seguridad de los recursos de Azure para identificar posibles puntos vulnerables de la seguridad. Después, proporciona recomendaciones sobre cómo abordarlas. Para más información sobre las recomendaciones de Microsoft Defender for Cloud, consulte el artículo sobre las recomendaciones de seguridad.
Protección de los datos
Recomendación
Comentarios
Defender for Cloud
Usar el modelo de implementación de Azure Resource Manager
Cree cuentas de almacenamiento mediante el modelo de implementación de Azure Resource Manager, ya que así logrará importantes mejoras en la seguridad, entre las que se incluyen el control de acceso basado en roles (RBAC) y una auditoría superiores, gobernanza e implementación basados en Resource Manager, acceso a identidades administradas, acceso a los secretos de Azure Key Vault y autorización y autenticación de Microsoft Entra para acceder a datos y recursos de Azure Storage. Si es posible, migre las cuentas de almacenamiento existentes que usan el modelo de implementación clásica para que usen Azure Resource Manager. Para más información sobre Azure Resource Manager, consulte Introducción a Azure Resource Manager.
-
Habilitación de Microsoft Defender para todas las cuentas de almacenamiento
Microsoft Defender para Storage proporciona una capa adicional de inteligencia de seguridad que detecta intentos poco habituales y potencialmente peligrosos de acceder a las cuentas de almacenamiento o vulnerarlas. En Microsoft Defender for Cloud se desencadenan alertas de seguridad cuando se producen anomalías en alguna actividad y también se envían por correo electrónico a los administradores de las suscripciones con detalles de la actividad sospechosa y recomendaciones sobre cómo investigar y solucionar las amenazas. Para más información, consulte el artículo sobre configuración de Microsoft Defender para Storage.
La eliminación temporal de los blobs permite recuperar datos de blobs después de haberlos eliminado. Para más información sobre la eliminación temporal de blobs, consulte Eliminación temporal de blobs de Azure Storage.
-
Activar la eliminación temporal de contenedores
La eliminación temporal de los contenedores le permite recuperar un contenedor después de haberlo eliminado. Para más información sobre la eliminación temporal de blobs, consulte Eliminación temporal de contenedores.
-
Bloquear la cuenta de almacenamiento para evitar cambios en la configuración o la eliminación accidental o malintencionada
Aplique un bloqueo de Azure Resource Manager a su cuenta de almacenamiento para protegerla de la eliminación accidental o malintencionada o del cambio de configuración. El bloqueo de una cuenta de almacenamiento no impide que se eliminen los datos de esa cuenta. Solo evita que se elimine la cuenta. Para más información, consulte Aplicación de un bloqueo de Azure Resource Manager a una cuenta de almacenamiento.
Almacenar datos críticos para la empresa en blobs inmutables
Configure las suspensiones legales y las directivas de retención durante un tiempo para almacenar los datos de los blobs en estado WORM (escribir una vez, leer muchas). Los blobs que se hayan almacenado de forma inmutable se pueden leer, pero no se pueden modificar ni eliminar mientras dure el intervalo de retención. Para más información, consulte Almacenamiento de datos de blobs críticos para la empresa con almacenamiento inmutable.
-
Exigir la transferencia segura (HTTPS) a la cuenta de almacenamiento
Cuando se requiere una transferencia segura para una cuenta de almacenamiento, todas las solicitudes a la cuenta de almacenamiento deben realizarse mediante HTTPS. Las solicitudes realizadas a través de HTTP se rechazan. Microsoft recomienda que siempre se requiera una transferencia segura para todas las cuentas de almacenamiento. Para obtener más información, consulte Requisito de transferencia segura para garantizar conexiones seguras.
-
Limitar los tokens de firma de acceso compartido (SAS) solo a conexiones HTTPS
Deshabilitar la replicación de objetos entre inquilinos
De forma predeterminada, un usuario autorizado puede configurar una directiva de replicación de objetos en la que la cuenta de origen se encuentra en un inquilino de Microsoft Entra y la cuenta de destino, en otro diferente. No permita la replicación de objetos entre inquilinos para requerir que las cuentas de origen y de destino que participan en una directiva de replicación de objetos estén en el mismo inquilino. Para más información, consulte Impedir la replicación entre inquilinos de Microsoft Entra.
-
Administración de identidades y acceso
Recomendación
Comentarios
Defender for Cloud
Usar Microsoft Entra ID para autorizar el acceso a los datos de los blobs
Microsoft Entra ID proporciona mayor seguridad y facilidad de uso que la clave compartida para autorizar solicitudes en Blob Storage. Para más información, consulte Autorización del acceso a datos en Azure Storage.
-
Tenga en cuenta el principio de privilegios mínimos al asignar permisos a una entidad de seguridad de Microsoft Entra a través de Azure RBAC.
Al asignar un rol a un usuario, grupo o aplicación, conceda a esa entidad de seguridad exclusivamente los permisos necesarios para que pueda realizar sus tareas. La limitación del acceso a los recursos ayuda a prevenir el mal uso involuntario y malintencionado de los datos.
-
Usar una SAS de delegación de usuario para conceder a los clientes acceso limitado a los datos de los blobs
Una SAS de delegación de usuarios está protegida con credenciales de Microsoft Entra y también con los permisos especificados para la SAS. Una SAS de delegación de usuario tiene el mismo ámbito y función que una SAS de servicio, pero ofrece más seguridad. Para obtener más información, consulte Otorgar acceso limitado a recursos de Azure Storage con firmas de acceso compartido (SAS).
-
Proteger las claves de acceso de su cuenta con Azure Key Vault
Microsoft recomienda usar Microsoft Entra ID para autorizar las solicitudes que se realicen a Azure Storage. Sin embargo, si debe usar la autorización de clave compartida, proteja sus claves de cuenta con Azure Key Vault. Estas claves se pueden recuperar del almacén de claves en tiempo de ejecución, en lugar de guardarlas con la aplicación. Para más información sobre Azure Key Vault, consulte Introducción a Azure Key Vault.
-
Volver a generar las claves de cuenta periódicamente
El cambio periódico de las claves de una cuenta reduce el riesgo de exponer los datos a actores malintencionados.
-
Impedir la autorización con clave compartida
Cuando se impide la autorización con clave compartida para una cuenta de almacenamiento, Azure Storage rechaza todas las solicitudes posteriores a esa cuenta autorizadas con las claves de acceso de la cuenta. Solo se realizarán correctamente las solicitudes protegidas que estén autorizadas con Microsoft Entra ID. Para obtener más información, consulte Impedir la autorización con clave compartida para una cuenta de Azure Storage.
-
Tener en cuenta el principio de privilegios mínimos al asignar permisos a una SAS
Al crear una SAS, especifique solo aquellos permisos que el cliente requiera para realizar su función. La limitación del acceso a los recursos ayuda a prevenir el mal uso involuntario y malintencionado de los datos.
-
Tener en vigor un plan de revocación para cualquier SAS que emita a los clientes
Si alguna SAS corre peligro, seguro que deseará poder revocarla lo antes posible. Para revocar una SAS de delegación de usuario, revoque la clave de delegación de usuario para invalidar rápidamente todas las firmas asociadas con ella. Para revocar una SAS de servicio asociada a una directiva de acceso almacenado, puede eliminar esta, cambiar el nombre de la directiva, o bien cambiar su tiempo de vencimiento a un tiempo pasado. Para obtener más información, consulte Otorgar acceso limitado a recursos de Azure Storage con firmas de acceso compartido (SAS).
-
Si una SAS de servicio no está asociada a una directiva de acceso almacenado, establezca el tiempo de vencimiento en una hora, o menos
Las SAS de servicio que no estén asociadas con alguna directiva de acceso almacenada no se pueden revocar. Por esta razón, se recomienda limitar el tiempo de expiración para que la SAS sea válida durante una hora o menos.
-
Deshabilitar el acceso de lectura anónimo a contenedores y blobs
El acceso de lectura anónimo a un contenedor y sus blobs concede a todos los clientes acceso de solo lectura a estos recursos. Evite habilitar el acceso de lectura anónimo salvo que el escenario lo requiera. Para aprender a deshabilitar el acceso anónimo para una cuenta de almacenamiento, consulte Introducción: Corrección del acceso de lectura anónimo a los datos de blobs.
-
Redes
Recomendación
Comentarios
Defender for Cloud
Configurar la versión mínima necesaria de Seguridad de la capa de transporte (TLS) para una cuenta de almacenamiento
Habilitar la opción Se requiere transferencia segura en todas las cuentas de almacenamiento
Cuando habilite la opción Se requiere transferencia segura, deben usarse conexiones seguras para realizar todas las solicitudes realizadas en la cuenta de almacenamiento. Las solicitudes realizadas a través de HTTP producirán un error. Para más información, consulte Requerir transferencia segura en Azure Storage.
Configure las reglas de firewall para limitar el acceso a su cuenta de almacenamiento a las solicitudes que partan de direcciones IP o intervalos especificados, o de una lista de subredes de una red virtual de Azure (VNet). Para más información acerca de la configuración de reglas de firewall, consulte Configuración de redes virtuales y firewalls de Azure Storage.
-
Permitir que los servicios de Microsoft de confianza accedan a la cuenta de almacenamiento
La activación de las reglas de firewall para la cuenta de almacenamiento bloquea las solicitudes entrantes para los datos de forma predeterminada, a menos que las solicitudes procedan de un servicio que funcione en una instancia de Azure Virtual Network (VNet) o desde direcciones IP públicas permitidas. Las solicitudes que bloquean incluyen aquellas de otros servicios de Azure, desde Azure Portal, desde los servicios de registro y de métricas, etc. Para permitir solicitudes de otros servicios de Azure, agregue una excepción que permita que los servicios de Microsoft de confianza accedan a la cuenta de almacenamiento. Para más información acerca de la adición de una excepción para los servicios de Microsoft de confianza, consulte Configuración de redes virtuales y firewalls de Azure Storage.
-
Usar puntos de conexión privados
Un punto de conexión privado asigna una dirección IP privada de Azure Virtual Network (red virtual) a la cuenta de almacenamiento. Protege todo el tráfico que circule entre su red virtual y la cuenta de almacenamiento mediante un enlace privado. Para más información sobre los puntos de conexión privados, consulte Conexión privada a una cuenta de almacenamiento mediante el punto de conexión privado de Azure.
-
Uso de etiquetas de servicio de red virtual
Una etiqueta de servicio representa un grupo de prefijos de direcciones IP de un servicio de Azure determinado. Microsoft administra los prefijos de direcciones que la etiqueta de servicio incluye y actualiza automáticamente dicha etiqueta a medida que las direcciones cambian. Para más información sobre las etiquetas de servicio compatibles con Azure Storage, consulte Introducción a las etiquetas de servicio de Azure. Para ver un tutorial que muestra cómo usar las etiquetas de servicio para crear reglas de red de salida, consulte Restricción del acceso a los recursos de PaaS.
-
Limitar el acceso a la red a determinadas redes
La limitación del acceso a la red a redes que hospeden clientes que requieran acceso reduce la exposición de sus recursos a ataques en la red.
Configuración de las preferencias de enrutamiento de red
Puede configurar mediante el enrutamiento de Internet o de red global de Microsoft la preferencia de enrutamiento de red para la cuenta de Azure Storage a fin de especificar cómo se enruta el tráfico de red a su cuenta desde los clientes por Internet. Para obtener más información, consulte Configuración de las preferencias de enrutamiento de red para Azure Storage.
-
Registro y supervisión
Recomendación
Comentarios
Defender for Cloud
Hacer un seguimiento de cómo se autorizan las solicitudes
Configure alertas de registro para evaluar los registros de los recursos según una frecuencia establecida y activar una alerta en función de los resultados. Para obtener más información, consulte Alertas de registro en Azure Monitor.