Recomendaciones de seguridad para Blob StorageSecurity recommendations for Blob storage

Este artículo contiene recomendaciones de seguridad para Blob Storage.This article contains security recommendations for Blob storage. La implementación de estas recomendaciones le ayudará a cumplir sus obligaciones de seguridad, tal y como se describe en nuestro modelo de responsabilidad compartida.Implementing these recommendations will help you fulfill your security obligations as described in our shared responsibility model. Para más información sobre lo que Microsoft hace para cumplir las responsabilidades del proveedor de servicios, consulte Responsabilidades compartidas de la informática en la nube.For more information on what Microsoft does to fulfill service provider responsibilities, read Shared responsibilities for cloud computing.

Algunas de las recomendaciones incluidas en este artículo se pueden supervisar automáticamente mediante Azure Security Center.Some of the recommendations included in this article can be automatically monitored by Azure Security Center. Azure Security Center es la primera línea de defensa en la protección de los recursos de Azure.Azure Security Center is the first line of defense in protecting your resources in Azure. Para más información sobre Azure Security Center, consulte ¿Qué es Azure Security Center?For information on Azure Security Center, see the What is Azure Security Center?.

Azure Security Center analiza periódicamente el estado de seguridad de los recursos de Azure para identificar posibles puntos vulnerables de la seguridad.Azure Security Center periodically analyzes the security state of your Azure resources to identify potential security vulnerabilities. Después, proporciona recomendaciones sobre cómo abordarlas.It then provides you with recommendations on how to address them. Para más información sobre las recomendaciones de seguridad de Azure Security Center, consulte Recomendaciones de seguridad en Azure Security Center.For more information on Azure Security Center recommendations, see Security recommendations in Azure Security Center.

Protección de los datosData protection

RecomendaciónRecommendation ComentariosComments Security CenterSecurity Center
Usar el modelo de implementación de Azure Resource ManagerUse the Azure Resource Manager deployment model Cree cuentas de almacenamiento mediante el modelo de implementación de Azure Resource Manager, ya que así logrará importantes mejoras en la seguridad, entre las que se incluyen el control de acceso basado en roles (RBAC) y una auditoría superiores, gobernanza e implementación basados en Resource Manager, acceso a identidades administradas, acceso a los secretos de Azure Key Vault y autorización y autenticación basadas en Azure AD para acceder a datos y recursos de Azure Storage.Create new storage accounts using the Azure Resource Manager deployment model for important security enhancements, including superior Azure role-based access control (Azure RBAC) and auditing, Resource Manager-based deployment and governance, access to managed identities, access to Azure Key Vault for secrets, and Azure AD-based authentication and authorization for access to Azure Storage data and resources. Si es posible, migre las cuentas de almacenamiento existentes que usan el modelo de implementación clásica para que usen Azure Resource Manager.If possible, migrate existing storage accounts that use the classic deployment model to use Azure Resource Manager. Para más información sobre Azure Resource Manager, consulte Introducción a Azure Resource Manager.For more information about Azure Resource Manager, see Azure Resource Manager overview. -
Habilitación de Azure Defender para todas las cuentas de almacenamientoEnable Azure Defender for all of your storage accounts Azure Defender para Azure Storage proporciona un nivel adicional de inteligencia de seguridad que detecta intentos poco habituales y potencialmente peligrosos de acceder a las cuentas de almacenamiento o vulnerarlas.Azure Defender for Azure Storage provides an additional layer of security intelligence that detects unusual and potentially harmful attempts to access or exploit storage accounts. En Azure Security Center se desencadenan alertas de seguridad cuando se producen anomalías en alguna actividad y también se envían por correo electrónico a los administradores de las suscripciones con detalles de la actividad sospechosa y recomendaciones sobre cómo investigar y solucionar las amenazas.Security alerts are triggered in Azure Security Center when anomalies in activity occur and are also sent via email to subscription administrators, with details of suspicious activity and recommendations on how to investigate and remediate threats. Para más información, consulte el artículo sobre configuración de Azure Defender para Azure Storage.For more information, see Configure Azure Defender for Azure Storage. Yes
Activar la eliminación temporal de datos de blobsTurn on soft delete for blob data La eliminación temporal permite recuperar datos de blobs después de que se hayan eliminado.Soft delete enables you to recover blob data after it has been deleted. Para más información sobre la eliminación temporal, consulte Eliminación temporal de blobs de Azure Storage.For more information on soft delete, see Soft delete for Azure Storage blobs. -
Bloquear la cuenta de almacenamiento para evitar la eliminación por errorLock Storage Account to prevent accidental Deletion Como administrador, puede que tenga que bloquear una suscripción, un grupo de recursos o un recurso para impedir que otros usuarios de su organización eliminen o modifiquen recursos esenciales por error. Para ello, consulte Bloqueo de recursos para impedir cambios inesperados.As an administrator, you may need to lock a subscription, resource group, or resource to prevent other users in your organization from accidentally deleting or modifying critical resources, see Lock resources to prevent unexpected changes.
Almacenar datos críticos para la empresa en blobs inmutablesStore business-critical data in immutable blobs Configure las suspensiones legales y las directivas de retención durante un tiempo para almacenar los datos de los blobs en estado WORM (escribir una vez, leer muchas).Configure legal holds and time-based retention policies to store blob data in a WORM (Write Once, Read Many) state. Los blobs que se hayan almacenado de forma inmutable se pueden leer, pero no se pueden modificar ni eliminar mientras dure el intervalo de retención.Blobs stored immutably can be read, but cannot be modified or deleted for the duration of the retention interval. Para más información, consulte Almacenamiento de datos de blobs críticos para la empresa con almacenamiento inmutable.For more information, see Store business-critical blob data with immutable storage. -
Limitar los tokens de firma de acceso compartido (SAS) solo a conexiones HTTPSLimit shared access signature (SAS) tokens to HTTPS connections only Requerir HTTPS cuando un cliente usa un token de SAS para acceder a los datos de los blobs ayuda a minimizar el riesgo de espionaje.Requiring HTTPS when a client uses a SAS token to access blob data helps to minimize the risk of eavesdropping. Para obtener más información, consulte Otorgar acceso limitado a recursos de Azure Storage con firmas de acceso compartido (SAS).For more information, see Grant limited access to Azure Storage resources using shared access signatures (SAS). -

Administración de identidades y accesoIdentity and access management

RecomendaciónRecommendation ComentariosComments Security CenterSecurity Center
Usar Azure Active Directory (Azure AD) para autorizar el acceso a los datos de los blobsUse Azure Active Directory (Azure AD) to authorize access to blob data Azure AD proporciona mayor seguridad y facilidad de uso que la clave compartida para autorizar solicitudes en Blob Storage.Azure AD provides superior security and ease of use over Shared Key for authorizing requests to Blob storage. Para más información, consulte Autenticación del acceso a blobs y colas de Azure con Azure Active Directory.For more information, see Authorize access to Azure blobs and queues using Azure Active Directory. -
Tener en cuenta la entidad de seguridad de menor privilegio al asignar permisos a una entidad de seguridad de Azure AD a través de Azure RBACKeep in mind the principal of least privilege when assigning permissions to an Azure AD security principal via Azure RBAC Al asignar un rol a un usuario, grupo o aplicación, conceda a esa entidad de seguridad exclusivamente los permisos necesarios para que pueda realizar sus tareas.When assigning a role to a user, group, or application, grant that security principal only those permissions that are necessary for them to perform their tasks. La limitación del acceso a los recursos ayuda a prevenir el mal uso involuntario y malintencionado de los datos.Limiting access to resources helps prevent both unintentional and malicious misuse of your data. -
Usar una SAS de delegación de usuario para conceder a los clientes acceso limitado a los datos de los blobsUse a user delegation SAS to grant limited access to blob data to clients Una SAS de delegación de usuarios está protegida con credenciales de Azure Active Directory (Azure AD) y también con los permisos especificados para la SAS.A user delegation SAS is secured with Azure Active Directory (Azure AD) credentials and also by the permissions specified for the SAS. Una SAS de delegación de usuario tiene el mismo ámbito y función que una SAS de servicio, pero ofrece más seguridad.A user delegation SAS is analogous to a service SAS in terms of its scope and function, but offers security benefits over the service SAS. Para obtener más información, consulte Otorgar acceso limitado a recursos de Azure Storage con firmas de acceso compartido (SAS).For more information, see Grant limited access to Azure Storage resources using shared access signatures (SAS). -
Proteger las claves de acceso de su cuenta con Azure Key VaultSecure your account access keys with Azure Key Vault Microsoft recomienda usar Azure AD para autorizar las solicitudes que se realicen a Azure Storage.Microsoft recommends using Azure AD to authorize requests to Azure Storage. Sin embargo, si debe usar la autorización de clave compartida, proteja sus claves de cuenta con Azure Key Vault.However, if you must use Shared Key authorization, then secure your account keys with Azure Key Vault. Estas claves se pueden recuperar del almacén de claves en tiempo de ejecución, en lugar de guardarlas con la aplicación.You can retrieve the keys from the key vault at runtime, instead of saving them with your application. Para más información sobre Azure Key Vault, consulte Introducción a Azure Key Vault.For more information about Azure Key Vault, see Azure Key Vault overview. -
Volver a generar las claves de cuenta periódicamenteRegenerate your account keys periodically El cambio periódico de las claves de una cuenta reduce el riesgo de exponer los datos a actores malintencionados.Rotating the account keys periodically reduces the risk of exposing your data to malicious actors. -
Deshabilitar la autorización con clave compartidaDisable Shared Key authorization Cuando se impide la autorización con clave compartida para una cuenta de almacenamiento, Azure Storage rechaza todas las solicitudes posteriores a esa cuenta autorizadas con las claves de acceso de la cuenta.When you disallow Shared Key authorization for a storage account, Azure Storage rejects all subsequent requests to that account that are authorized with the account access keys. Solo las solicitudes protegidas que se autoricen mediante Azure AD se realizarán correctamente, consulte Impedir la autorización con clave compartida para una cuenta de Azure Storage.Only secured requests that are authorized with Azure AD will succeed, see Prevent Shared Key authorization for an Azure Storage account. -
Tener en cuenta la entidad de seguridad de menor privilegio al asignar permisos a una SASKeep in mind the principal of least privilege when assigning permissions to a SAS Al crear una SAS, especifique solo aquellos permisos que el cliente requiera para realizar su función.When creating a SAS, specify only those permissions that are required by the client to perform its function. La limitación del acceso a los recursos ayuda a prevenir el mal uso involuntario y malintencionado de los datos.Limiting access to resources helps prevent both unintentional and malicious misuse of your data. -
Tener en vigor un plan de revocación para cualquier SAS que emita a los clientesHave a revocation plan in place for any SAS that you issue to clients Si alguna SAS corre peligro, seguro que deseará poder revocarla lo antes posible.If a SAS is compromised, you will want to revoke that SAS as soon as possible. Para revocar una SAS de delegación de usuario, revoque la clave de delegación de usuario para invalidar rápidamente todas las firmas asociadas con ella.To revoke a user delegation SAS, revoke the user delegation key to quickly invalidate all signatures associated with that key. Para revocar una SAS de servicio asociada a una directiva de acceso almacenado, puede eliminar esta, cambiar el nombre de la directiva, o bien cambiar su tiempo de vencimiento a un tiempo pasado.To revoke a service SAS that is associated with a stored access policy, you can delete the stored access policy, rename the policy, or change its expiry time to a time that is in the past. Para obtener más información, consulte Otorgar acceso limitado a recursos de Azure Storage con firmas de acceso compartido (SAS).For more information, see Grant limited access to Azure Storage resources using shared access signatures (SAS). -
Si una SAS de servicio no está asociada a una directiva de acceso almacenado, establezca el tiempo de vencimiento en una hora, o menosIf a service SAS is not associated with a stored access policy, then set the expiry time to one hour or less Las SAS de servicio que no estén asociadas con alguna directiva de acceso almacenada no se pueden revocar.A service SAS that is not associated with a stored access policy cannot be revoked. Por eso se recomienda limitar el tiempo de expiración para que la SAS sea válida durante una hora, o menos.For this reason, limiting the expiry time so that the SAS is valid for one hour or less is recommended. -
Deshabilitar el acceso de lectura público y anónimo a contenedores y blobsDisable anonymous public read access to containers and blobs El acceso de lectura público anónimo a un contenedor y sus blobs concede a todos los clientes acceso de solo lectura a estos recursos.Anonymous public read access to a container and its blobs grants read-only access to those resources to any client. Evite habilitar el acceso de lectura público, salvo que el escenario lo requiera.Avoid enabling public read access unless your scenario requires it. Para aprender a deshabilitar el acceso público anónimo para una cuenta de almacenamiento, consulte Configuración de acceso de lectura público anónimo a contenedores y blobs.To learn how to disable anonymous public access for a storage account, see Configure anonymous public read access for containers and blobs. -

RedesNetworking

RecomendaciónRecommendation ComentariosComments Security CenterSecurity Center
Configurar la versión mínima necesaria de Seguridad de la capa de transporte (TLS) para una cuenta de almacenamientoConfigure the minimum required version of Transport Layer Security (TLS) for a storage account. Exija a los clientes que usen una versión más segura de TLS para realizar solicitudes en una cuenta de Azure Storage configurando la versión mínima de TLS para esa cuenta.Require that clients use a more secure version of TLS to make requests against an Azure Storage account by configuring the minimum version of TLS for that account. Para más información, consulte Configuración de la versión mínima necesaria de Seguridad de la capa de transporte (TLS) para una cuenta de almacenamiento.For more information, see Configure minimum required version of Transport Layer Security (TLS) for a storage account -
Habilitar la opción Se requiere transferencia segura en todas las cuentas de almacenamientoEnable the Secure transfer required option on all of your storage accounts Cuando habilite la opción Se requiere transferencia segura, deben usarse conexiones seguras para realizar todas las solicitudes realizadas en la cuenta de almacenamiento.When you enable the Secure transfer required option, all requests made against the storage account must take place over secure connections. Las solicitudes realizadas a través de HTTP producirán un error.Any requests made over HTTP will fail. Para más información, consulte Requerir transferencia segura en Azure Storage.For more information, see Require secure transfer in Azure Storage. Yes
Habilitar reglas de firewallEnable firewall rules Configure las reglas de firewall para limitar el acceso a su cuenta de almacenamiento a las solicitudes que partan de direcciones IP o intervalos especificados, o de una lista de subredes de una red virtual de Azure (VNet).Configure firewall rules to limit access to your storage account to requests that originate from specified IP addresses or ranges, or from a list of subnets in an Azure Virtual Network (VNet). Para más información acerca de la configuración de reglas de firewall, consulte Configuración de redes virtuales y firewalls de Azure Storage.For more information about configuring firewall rules, see Configure Azure Storage firewalls and virtual networks. -
Permitir que los servicios de Microsoft de confianza accedan a la cuenta de almacenamientoAllow trusted Microsoft services to access the storage account La activación de las reglas de firewall para la cuenta de almacenamiento bloquea las solicitudes entrantes para los datos de forma predeterminada, a menos que las solicitudes procedan de un servicio que funcione en una instancia de Azure Virtual Network (VNet) o desde direcciones IP públicas permitidas.Turning on firewall rules for your storage account blocks incoming requests for data by default, unless the requests originate from a service operating within an Azure Virtual Network (VNet) or from allowed public IP addresses. Las solicitudes que bloquean incluyen aquellas de otros servicios de Azure, desde Azure Portal, desde los servicios de registro y de métricas, etc.Requests that are blocked include those from other Azure services, from the Azure portal, from logging and metrics services, and so on. Para permitir solicitudes de otros servicios de Azure, agregue una excepción que permita que los servicios de Microsoft de confianza accedan a la cuenta de almacenamiento.You can permit requests from other Azure services by adding an exception to allow trusted Microsoft services to access the storage account. Para más información acerca de la adición de una excepción para los servicios de Microsoft de confianza, consulte Configuración de redes virtuales y firewalls de Azure Storage.For more information about adding an exception for trusted Microsoft services, see Configure Azure Storage firewalls and virtual networks. -
Usar puntos de conexión privadosUse private endpoints Un punto de conexión privado asigna una dirección IP privada de Azure Virtual Network (red virtual) a la cuenta de almacenamiento.A private endpoint assigns a private IP address from your Azure Virtual Network (VNet) to the storage account. Protege todo el tráfico que circule entre su red virtual y la cuenta de almacenamiento mediante un enlace privado.It secures all traffic between your VNet and the storage account over a private link. Para más información sobre los puntos de conexión privados, consulte Conexión privada a una cuenta de almacenamiento mediante el punto de conexión privado de Azure.For more information about private endpoints, see Connect privately to a storage account using Azure Private Endpoint. -
Uso de etiquetas de servicio de red virtualUse VNet service tags Una etiqueta de servicio representa un grupo de prefijos de direcciones IP de un servicio de Azure determinado.A service tag represents a group of IP address prefixes from a given Azure service. Microsoft administra los prefijos de direcciones que la etiqueta de servicio incluye y actualiza automáticamente dicha etiqueta a medida que las direcciones cambian.Microsoft manages the address prefixes encompassed by the service tag and automatically updates the service tag as addresses change. Para más información sobre las etiquetas de servicio compatibles con Azure Storage, consulte Introducción a las etiquetas de servicio de Azure.For more information about service tags supported by Azure Storage, see Azure service tags overview. Para ver un tutorial que muestra cómo usar las etiquetas de servicio para crear reglas de red de salida, consulte Restricción del acceso a los recursos de PaaS.For a tutorial that shows how to use service tags to create outbound network rules, see Restrict access to PaaS resources. -
Limitar el acceso a la red a determinadas redesLimit network access to specific networks La limitación del acceso a la red a redes que hospeden clientes que requieran acceso reduce la exposición de sus recursos a ataques en la red.Limiting network access to networks hosting clients requiring access reduces the exposure of your resources to network attacks. Yes
Configuración de las preferencias de enrutamiento de redConfigure network routing preference Puede configurar mediante el enrutamiento de Internet o de red global de Microsoft la preferencia de enrutamiento de red para la cuenta de Azure Storage para especificar cómo se enruta el tráfico a su cuenta desde los clientes por Internet, consulte Configuración de las preferencias de enrutamiento de red para Azure Storage.You can configure network routing preference for your Azure storage account to specify how network traffic is routed to your account from clients over the Internet using the Microsoft global network or Internet routing, see Configure network routing preference for Azure Storage. -

Registro y supervisiónLogging/Monitoring

RecomendaciónRecommendation ComentariosComments Security CenterSecurity Center
Hacer un seguimiento de cómo se autorizan las solicitudesTrack how requests are authorized Habilite el registro de Azure Storage para realizar un seguimiento de cómo se autorizó cada solicitud realizada en Azure Storage.Enable Azure Storage logging to track how each request made against Azure Storage was authorized. Los registros indican si una solicitud se realizó de forma anónima o mediante un token OAuth 2.0, una clave compartida o una firma de acceso compartido (SAS).The logs indicate whether a request was made anonymously, by using an OAuth 2.0 token, by using Shared Key, or by using a shared access signature (SAS). Para más información, consulte Supervisión de Azure Blob Storage o Registro de Azure Storage Analytics con supervisión clásica.For more information, see Monitoring Azure Blob storage with Azure Monitor or Azure Storage analytics logging with Classic Monitoring. -
Configuración de alertas en Azure MonitorSetup Alerts in Azure Monitor Las alertas de registro permiten a los usuarios usar una consulta de Log Analytics para evaluar los registros de los recursos según una frecuencia establecida y activar una alerta en función de los resultados (consulte Alertas de registro en Azure Monitor).Log alerts allow users to use a Log Analytics query to evaluate resources logs every set frequency, and fire an alert based on the results, see Log alerts in Azure Monitor. -

Pasos siguientesNext steps