Recomendaciones de seguridad para Blob Storage

Este artículo contiene recomendaciones de seguridad para Blob Storage. La implementación de estas recomendaciones le ayudará a cumplir sus obligaciones de seguridad, tal y como se describe en nuestro modelo de responsabilidad compartida. Para más información sobre cómo Microsoft cumple las responsabilidades del proveedor de servicios, consulte Responsabilidad compartida en la nube.

Algunas de las recomendaciones incluidas en este artículo se pueden supervisar automáticamente mediante Azure Security Center. Azure Security Center es la primera línea de defensa en la protección de los recursos de Azure. Para más información sobre Azure Security Center, consulte ¿Qué es Azure Security Center?

Azure Security Center analiza periódicamente el estado de seguridad de los recursos de Azure para identificar posibles puntos vulnerables de la seguridad. Después, proporciona recomendaciones sobre cómo abordarlas. Para más información sobre las recomendaciones de seguridad de Azure Security Center, consulte Recomendaciones de seguridad en Azure Security Center.

Protección de los datos

Recomendación Comentarios Security Center
Usar el modelo de implementación de Azure Resource Manager Cree cuentas de almacenamiento mediante el modelo de implementación de Azure Resource Manager, ya que así logrará importantes mejoras en la seguridad, entre las que se incluyen el control de acceso basado en roles (RBAC) y una auditoría superiores, gobernanza e implementación basados en Resource Manager, acceso a identidades administradas, acceso a los secretos de Azure Key Vault y autorización y autenticación basadas en Azure AD para acceder a datos y recursos de Azure Storage. Si es posible, migre las cuentas de almacenamiento existentes que usan el modelo de implementación clásica para que usen Azure Resource Manager. Para más información sobre Azure Resource Manager, consulte Introducción a Azure Resource Manager. -
Habilitación de Azure Defender para todas las cuentas de almacenamiento Azure Defender para Azure Storage proporciona un nivel adicional de inteligencia de seguridad que detecta intentos poco habituales y potencialmente peligrosos de acceder a las cuentas de almacenamiento o vulnerarlas. En Azure Security Center se desencadenan alertas de seguridad cuando se producen anomalías en alguna actividad y también se envían por correo electrónico a los administradores de las suscripciones con detalles de la actividad sospechosa y recomendaciones sobre cómo investigar y solucionar las amenazas. Para más información, consulte el artículo sobre configuración de Azure Defender para Azure Storage.
Activar la eliminación temporal de blobs La eliminación temporal de los blobs permite recuperar datos de blobs después de haberlos eliminado. Para más información sobre la eliminación temporal de blobs, consulte Eliminación temporal de blobs de Azure Storage. -
Activar la eliminación temporal de contenedores La eliminación temporal de los contenedores le permite recuperar un contenedor después de haberlo eliminado. Para más información sobre la eliminación temporal de blobs, consulte Eliminación temporal de contenedores. -
Bloquear la cuenta de almacenamiento para evitar cambios en la configuración o la eliminación accidental o malintencionada Aplique un bloqueo de Azure Resource Manager a su cuenta de almacenamiento para protegerla de la eliminación accidental o malintencionada o del cambio de configuración. El bloqueo de una cuenta de almacenamiento no impide que se eliminen los datos de esa cuenta. Solo evita que se elimine la cuenta. Para más información, consulte Aplicación de un bloqueo de Azure Resource Manager a una cuenta de almacenamiento.
Almacenar datos críticos para la empresa en blobs inmutables Configure las suspensiones legales y las directivas de retención durante un tiempo para almacenar los datos de los blobs en estado WORM (escribir una vez, leer muchas). Los blobs que se hayan almacenado de forma inmutable se pueden leer, pero no se pueden modificar ni eliminar mientras dure el intervalo de retención. Para más información, consulte Almacenamiento de datos de blobs críticos para la empresa con almacenamiento inmutable. -
Exigir la transferencia segura (HTTPS) a la cuenta de almacenamiento Cuando se requiere una transferencia segura para una cuenta de almacenamiento, todas las solicitudes a la cuenta de almacenamiento deben realizarse mediante HTTPS. Las solicitudes realizadas a través de HTTP se rechazan. Microsoft recomienda que siempre se requiera una transferencia segura para todas las cuentas de almacenamiento. Para obtener más información, consulte Requisito de transferencia segura para garantizar conexiones seguras. -
Limitar los tokens de firma de acceso compartido (SAS) solo a conexiones HTTPS Requerir HTTPS cuando un cliente usa un token de SAS para acceder a los datos de los blobs ayuda a minimizar el riesgo de espionaje. Para obtener más información, consulte Otorgar acceso limitado a recursos de Azure Storage con firmas de acceso compartido (SAS). -

Administración de identidades y acceso

Recomendación Comentarios Security Center
Usar Azure Active Directory (Azure AD) para autorizar el acceso a los datos de los blobs Azure AD proporciona mayor seguridad y facilidad de uso que la clave compartida para autorizar solicitudes en Blob Storage. Para más información, consulte Autorización del acceso a datos en Azure Storage. -
Tener en cuenta la entidad de seguridad de menor privilegio al asignar permisos a una entidad de seguridad de Azure AD a través de Azure RBAC Al asignar un rol a un usuario, grupo o aplicación, conceda a esa entidad de seguridad exclusivamente los permisos necesarios para que pueda realizar sus tareas. La limitación del acceso a los recursos ayuda a prevenir el mal uso involuntario y malintencionado de los datos. -
Usar una SAS de delegación de usuario para conceder a los clientes acceso limitado a los datos de los blobs Una SAS de delegación de usuarios está protegida con credenciales de Azure Active Directory (Azure AD) y también con los permisos especificados para la SAS. Una SAS de delegación de usuario tiene el mismo ámbito y función que una SAS de servicio, pero ofrece más seguridad. Para obtener más información, consulte Otorgar acceso limitado a recursos de Azure Storage con firmas de acceso compartido (SAS). -
Proteger las claves de acceso de su cuenta con Azure Key Vault Microsoft recomienda usar Azure AD para autorizar las solicitudes que se realicen a Azure Storage. Sin embargo, si debe usar la autorización de clave compartida, proteja sus claves de cuenta con Azure Key Vault. Estas claves se pueden recuperar del almacén de claves en tiempo de ejecución, en lugar de guardarlas con la aplicación. Para más información sobre Azure Key Vault, consulte Introducción a Azure Key Vault. -
Volver a generar las claves de cuenta periódicamente El cambio periódico de las claves de una cuenta reduce el riesgo de exponer los datos a actores malintencionados. -
Impedir la autorización con clave compartida Cuando se impide la autorización con clave compartida para una cuenta de almacenamiento, Azure Storage rechaza todas las solicitudes posteriores a esa cuenta autorizadas con las claves de acceso de la cuenta. Solo se realizarán correctamente las solicitudes protegidas que estén autorizadas con Azure AD. Para obtener más información, consulte Impedir la autorización con clave compartida para una cuenta de Azure Storage. -
Tener en cuenta la entidad de seguridad de menor privilegio al asignar permisos a una SAS Al crear una SAS, especifique solo aquellos permisos que el cliente requiera para realizar su función. La limitación del acceso a los recursos ayuda a prevenir el mal uso involuntario y malintencionado de los datos. -
Tener en vigor un plan de revocación para cualquier SAS que emita a los clientes Si alguna SAS corre peligro, seguro que deseará poder revocarla lo antes posible. Para revocar una SAS de delegación de usuario, revoque la clave de delegación de usuario para invalidar rápidamente todas las firmas asociadas con ella. Para revocar una SAS de servicio asociada a una directiva de acceso almacenado, puede eliminar esta, cambiar el nombre de la directiva, o bien cambiar su tiempo de vencimiento a un tiempo pasado. Para obtener más información, consulte Otorgar acceso limitado a recursos de Azure Storage con firmas de acceso compartido (SAS). -
Si una SAS de servicio no está asociada a una directiva de acceso almacenado, establezca el tiempo de vencimiento en una hora, o menos Las SAS de servicio que no estén asociadas con alguna directiva de acceso almacenada no se pueden revocar. Por eso se recomienda limitar el tiempo de expiración para que la SAS sea válida durante una hora, o menos. -
Deshabilitar el acceso de lectura público y anónimo a contenedores y blobs El acceso de lectura público anónimo a un contenedor y sus blobs concede a todos los clientes acceso de solo lectura a estos recursos. Evite habilitar el acceso de lectura público, salvo que el escenario lo requiera. Para aprender a deshabilitar el acceso público anónimo para una cuenta de almacenamiento, consulte Configuración de acceso de lectura público anónimo a contenedores y blobs. -

Redes

Recomendación Comentarios Security Center
Configurar la versión mínima necesaria de Seguridad de la capa de transporte (TLS) para una cuenta de almacenamiento Exija a los clientes que usen una versión más segura de TLS para realizar solicitudes en una cuenta de Azure Storage configurando la versión mínima de TLS para esa cuenta. Para más información, consulte Configuración de la versión mínima necesaria de Seguridad de la capa de transporte (TLS) para una cuenta de almacenamiento. -
Habilitar la opción Se requiere transferencia segura en todas las cuentas de almacenamiento Cuando habilite la opción Se requiere transferencia segura, deben usarse conexiones seguras para realizar todas las solicitudes realizadas en la cuenta de almacenamiento. Las solicitudes realizadas a través de HTTP producirán un error. Para más información, consulte Requerir transferencia segura en Azure Storage.
Habilitar reglas de firewall Configure las reglas de firewall para limitar el acceso a su cuenta de almacenamiento a las solicitudes que partan de direcciones IP o intervalos especificados, o de una lista de subredes de una red virtual de Azure (VNet). Para más información acerca de la configuración de reglas de firewall, consulte Configuración de redes virtuales y firewalls de Azure Storage. -
Permitir que los servicios de Microsoft de confianza accedan a la cuenta de almacenamiento La activación de las reglas de firewall para la cuenta de almacenamiento bloquea las solicitudes entrantes para los datos de forma predeterminada, a menos que las solicitudes procedan de un servicio que funcione en una instancia de Azure Virtual Network (VNet) o desde direcciones IP públicas permitidas. Las solicitudes que bloquean incluyen aquellas de otros servicios de Azure, desde Azure Portal, desde los servicios de registro y de métricas, etc. Para permitir solicitudes de otros servicios de Azure, agregue una excepción que permita que los servicios de Microsoft de confianza accedan a la cuenta de almacenamiento. Para más información acerca de la adición de una excepción para los servicios de Microsoft de confianza, consulte Configuración de redes virtuales y firewalls de Azure Storage. -
Usar puntos de conexión privados Un punto de conexión privado asigna una dirección IP privada de Azure Virtual Network (red virtual) a la cuenta de almacenamiento. Protege todo el tráfico que circule entre su red virtual y la cuenta de almacenamiento mediante un enlace privado. Para más información sobre los puntos de conexión privados, consulte Conexión privada a una cuenta de almacenamiento mediante el punto de conexión privado de Azure. -
Uso de etiquetas de servicio de red virtual Una etiqueta de servicio representa un grupo de prefijos de direcciones IP de un servicio de Azure determinado. Microsoft administra los prefijos de direcciones que la etiqueta de servicio incluye y actualiza automáticamente dicha etiqueta a medida que las direcciones cambian. Para más información sobre las etiquetas de servicio compatibles con Azure Storage, consulte Introducción a las etiquetas de servicio de Azure. Para ver un tutorial que muestra cómo usar las etiquetas de servicio para crear reglas de red de salida, consulte Restricción del acceso a los recursos de PaaS. -
Limitar el acceso a la red a determinadas redes La limitación del acceso a la red a redes que hospeden clientes que requieran acceso reduce la exposición de sus recursos a ataques en la red.
Configuración de las preferencias de enrutamiento de red Puede configurar mediante el enrutamiento de Internet o de red global de Microsoft la preferencia de enrutamiento de red para la cuenta de Azure Storage a fin de especificar cómo se enruta el tráfico de red a su cuenta desde los clientes por Internet. Para obtener más información, consulte Configuración de las preferencias de enrutamiento de red para Azure Storage. -

Registro y supervisión

Recomendación Comentarios Security Center
Hacer un seguimiento de cómo se autorizan las solicitudes Habilite el registro de Azure Storage para realizar un seguimiento de cómo se autorizó cada solicitud realizada en Azure Storage. Los registros indican si una solicitud se realizó de forma anónima o mediante un token OAuth 2.0, una clave compartida o una firma de acceso compartido (SAS). Para más información, consulte Supervisión de Azure Blob Storage con Azure Monitor o Registro de análisis de Azure Storage con supervisión clásica. -
Configuración de alertas en Azure Monitor Configure alertas de registro para evaluar los registros de los recursos según una frecuencia establecida y activar una alerta en función de los resultados. Para obtener más información, consulte Alertas de registro en Azure Monitor. -

Pasos siguientes