Biztonsági javaslatok a Blob Storage-hoz
Ez a cikk a Blob Storage biztonsági javaslatait tartalmazza. Ezeknek a javaslatoknak a megvalósítása segít teljesíteni a közös felelősségi modellben leírt biztonsági kötelezettségeket. A Microsoft szolgáltatói feladatainak teljesítéséről további információt a megosztott felelősség a felhőben című témakörben talál.
A cikkben szereplő javaslatok némelyikét automatikusan figyelheti a Felhőhöz készült Microsoft Defender, amely az azure-beli erőforrások védelmének első védelmi vonala. A Felhőhöz készült Microsoft Defender a Mi a Felhőhöz készült Microsoft Defender?
Felhőhöz készült Microsoft Defender rendszeresen elemzi az Azure-erőforrások biztonsági állapotát a lehetséges biztonsági rések azonosítása érdekében. Ezután javaslatot tesz a címek kezelésére. A Felhőhöz készült Microsoft Defender javaslatokról további információt a biztonsági javaslatok áttekintése című témakörben talál.
Adatvédelem
| Recommendation | Megjegyzések | Defender for Cloud |
|---|---|---|
| Az Azure Resource Manager üzemi modelljének használata | Hozzon létre új tárfiókokat az Azure Resource Manager-alapú üzemi modellel a fontos biztonsági fejlesztésekhez, beleértve a kiváló Azure szerepköralapú hozzáférés-vezérlést (Azure RBAC) és naplózást, a Resource Manager-alapú üzembe helyezést és -szabályozást, a felügyelt identitásokhoz való hozzáférést, az Azure Key Vault titkos kulcsokhoz való hozzáférését, valamint az Azure Storage-adatokhoz és erőforrásokhoz való hozzáféréshez szükséges Microsoft Entra-hitelesítést és -engedélyezést. Ha lehetséges, migráljon olyan meglévő tárfiókokat, amelyek a klasszikus üzemi modellt használják az Azure Resource Manager használatához. Az Azure Resource Managerrel kapcsolatos további információkért tekintse meg az Azure Resource Manager áttekintését. | - |
| A Microsoft Defender engedélyezése az összes tárfiókhoz | A Microsoft Defender for Storage további biztonságiintelligencia-réteget biztosít, amely észleli a tárfiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérleteket. A biztonsági riasztások Felhőhöz készült Microsoft Defender aktiválódnak, amikor a tevékenység rendellenességei jelentkeznek, és e-mailben is elküldik őket az előfizetés rendszergazdáinak, a gyanús tevékenységek részleteivel és a fenyegetések kivizsgálására és elhárítására vonatkozó javaslatokkal. További információ: A Microsoft Defender for Storage konfigurálása. | Igen |
| Áltörlés bekapcsolása a blobokhoz | A blobok helyreállítható törlése lehetővé teszi a blobadatok helyreállítását a törlés után. A blobok helyreállítható törlésével kapcsolatos további információkért tekintse meg az Azure Storage-blobok helyreállítható törlését ismertető témakört. | - |
| Tárolók helyreállítható törlésének bekapcsolása | A tárolók helyreállítható törlése lehetővé teszi egy tároló helyreállítását a törlés után. A tárolók helyreállítható törlésével kapcsolatos további információkért lásd a tárolók helyreállítható törlését ismertető témakört. | - |
| Tárfiók zárolása véletlen vagy rosszindulatú törlés vagy konfigurációs módosítások megakadályozása érdekében | Azure Resource Manager-zárolás alkalmazása a tárfiókra, hogy megvédje a fiókot a véletlen vagy rosszindulatú törléstől vagy konfigurációváltozástól. A tárfiók zárolása nem akadályozza meg a fiókon belüli adatok törlését. Ez csak azt akadályozza meg, hogy maga a fiók törölve legyen. További információ: Azure Resource Manager-zárolás alkalmazása tárfiókra. | |
| Üzletileg kritikus fontosságú adatok tárolása nem módosítható blobokban | Konfiguráljon jogi visszatartási és időalapú adatmegőrzési szabályzatokat a blobadatok WORM (Egyszer írása, Több olvasása) állapotban való tárolásához. A nem módosítható módon tárolt blobok olvashatók, de nem módosíthatók vagy törölhetők a megőrzési időtartam alatt. További információ: Üzlet szempontjából kritikus blobadatok tárolása nem módosítható tárterülettel. | - |
| Biztonságos átvitel (HTTPS) megkövetelése a tárfiókba | Ha biztonságos átvitelre van szükség egy tárfiókhoz, a tárfiókra irányuló összes kérést HTTPS-en keresztül kell végrehajtani. A HTTP-en keresztül küldött kérelmeket a rendszer elutasítja. A Microsoft azt javasolja, hogy minden tárfiókhoz mindig biztonságos átvitelre van szükség. További információ: Biztonságos átvitel megkövetelése a biztonságos kapcsolatok biztosításához. | - |
| A közös hozzáférésű jogosultságkódok (SAS)-jogkivonatok korlátozása csak HTTPS-kapcsolatokra | A HTTPS megkövetelése, amikor egy ügyfél SAS-jogkivonatot használ a blobadatok eléréséhez, segít minimalizálni a lehallgatás kockázatát. További információ: Korlátozott hozzáférés biztosítása az Azure Storage-erőforrásokhoz közös hozzáférésű jogosultságkódok (SAS) használatával. | - |
| Bérlőközi objektumreplikálás letiltása | Alapértelmezés szerint egy jogosult felhasználó konfigurálhat egy objektumreplikációs szabályzatot, amelyben a forrásfiók egy Microsoft Entra-bérlőben található, a célfiók pedig egy másik bérlőben található. Tiltsa le a bérlők közötti objektumreplikálást, hogy az objektumreplikációs szabályzatban részt vevő forrás- és célfiókok ugyanabban a bérlőben legyenek. További információ: Objektumreplikálás megakadályozása a Microsoft Entra-bérlők között. | - |
Identitás- és hozzáférés-kezelés
| Recommendation | Megjegyzések | Defender for Cloud |
|---|---|---|
| Blobadatokhoz való hozzáférés engedélyezése a Microsoft Entra-azonosítóval | A Microsoft Entra ID kiváló biztonságot és egyszerű használatot biztosít a megosztott kulcson keresztül a Blob Storage-kérelmek engedélyezéséhez. További információ: Adatokhoz való hozzáférés engedélyezése az Azure Storage-ban. | - |
| Tartsa szem előtt a minimális jogosultság elvét, amikor engedélyeket rendel egy Microsoft Entra biztonsági taghoz az Azure RBAC-vel | Amikor szerepkört rendel egy felhasználóhoz, csoporthoz vagy alkalmazáshoz, csak azokat az engedélyeket adja meg a biztonsági tagnak, amelyek szükségesek a feladataik elvégzéséhez. Az erőforrásokhoz való hozzáférés korlátozása segít megelőzni az adatok véletlen és rosszindulatú visszaélését. | - |
| Felhasználói delegálási SAS használata a blobadatokhoz való korlátozott hozzáférés biztosításához az ügyfelek számára | A felhasználói delegálási SAS-t a Microsoft Entra hitelesítő adatai, valamint az SAS-hez megadott engedélyek védik. A felhasználói delegálási SAS a hatókör és a funkció szempontjából hasonló a szolgáltatás SAS-hez, de biztonsági előnyöket nyújt a szolgáltatás SAS-jával szemben. További információ: Korlátozott hozzáférés biztosítása az Azure Storage-erőforrásokhoz közös hozzáférésű jogosultságkódok (SAS) használatával. | - |
| Fiókhozzáférés-kulcsok védelme az Azure Key Vaulttal | A Microsoft azt javasolja, hogy a Microsoft Entra ID használatával engedélyezze a kéréseket az Azure Storage-ba. Ha azonban megosztott kulcsú hitelesítést kell használnia, akkor a fiókkulcsokat az Azure Key Vaulttal kell biztonságossá tennie. Futtatáskor lekérheti a kulcsokat a kulcstartóból ahelyett, hogy az alkalmazással mentenék őket. Az Azure Key Vaultról további információt az Azure Key Vault áttekintésében talál. | - |
| Fiókkulcsok rendszeres újragenerálása | A fiókkulcsok rendszeres elforgatása csökkenti az adatok rosszindulatú szereplők számára való felfedésének kockázatát. | - |
| Megosztott kulcs engedélyezésének letiltása | Ha letiltja a megosztott kulcs engedélyezését egy tárfiókhoz, az Azure Storage elutasítja a fiók hozzáférési kulcsaival engedélyezett összes további kérést. Csak a Microsoft Entra-azonosítóval engedélyezett biztonságos kérések lesznek sikeresek. További információt az Azure Storage-fiók megosztott kulcsának engedélyezésének megakadályozása című témakörben talál. | - |
| Tartsa szem előtt a minimális jogosultság elvét, amikor engedélyeket rendel egy SAS-hez | SAS létrehozásakor csak azokat az engedélyeket adja meg, amelyekre az ügyfélnek szüksége van a függvény végrehajtásához. Az erőforrásokhoz való hozzáférés korlátozása segít megelőzni az adatok véletlen és rosszindulatú visszaélését. | - |
| Visszavonási tervvel rendelkezik az ügyfeleknek kibocsátott SAS-hez | Ha egy SAS biztonsága sérül, a lehető leghamarabb vissza kell vonnia ezt az SAS-t. A felhasználói delegálási SAS visszavonásához vonja vissza a felhasználódelegálási kulcsot a kulcshoz társított összes aláírás gyors érvénytelenítéséhez. A tárolt hozzáférési szabályzathoz társított szolgáltatás SAS visszavonásához törölheti a tárolt hozzáférési szabályzatot, átnevezheti a szabályzatot, vagy a lejárati idejét egy korábbi időpontra módosíthatja. További információ: Korlátozott hozzáférés biztosítása az Azure Storage-erőforrásokhoz közös hozzáférésű jogosultságkódok (SAS) használatával. | - |
| Ha egy szolgáltatás sasa nincs hozzárendelve tárolt hozzáférési szabályzathoz, állítsa be a lejárati időt egy vagy kevesebb órára | A nem tárolt hozzáférési szabályzattal társított szolgáltatás SAS-t nem lehet visszavonni. Ezért ajánlott korlátozni a lejárati időt, hogy az SAS legalább egy órán át érvényes legyen. | - |
| Tárolókhoz és blobokhoz való névtelen olvasási hozzáférés letiltása | névtelen olvasási hozzáférés egy tárolóhoz, és blobjai írásvédett hozzáférést biztosítanak ezekhez az erőforrásokhoz bármely ügyfél számára. Kerülje a névtelen olvasási hozzáférés engedélyezését, kivéve, ha a forgatókönyv megköveteli. A tárfiókok névtelen hozzáférésének letiltásáról az Áttekintés: A blobadatok névtelen olvasási hozzáférésének szervizelése című témakörben olvashat. | - |
Networking
| Recommendation | Megjegyzések | Defender for Cloud |
|---|---|---|
| Konfigurálja a transport layer security (TLS) minimálisan szükséges verzióját egy tárfiókhoz. | Kérje meg az ügyfeleket, hogy a TLS egy biztonságosabb verziójával kérjenek kéréseket egy Azure Storage-fiókon a TLS minimális verziójának konfigurálásával. További információ: Tárolófiók minimálisan szükséges transport layer security (TLS) verziójának konfigurálása | - |
| Engedélyezze a biztonságos átvitelhez szükséges beállítást az összes tárfiókon | Ha engedélyezi a biztonságos átvitelhez szükséges beállítást, a tárfiókra irányuló összes kérésnek biztonságos kapcsolatokon keresztül kell végbevinnie. A HTTP-en keresztül küldött kérések sikertelenek lesznek. További információ: Biztonságos átvitel megkövetelése az Azure Storage-ban. | Igen |
| Tűzfalszabályok engedélyezése | Konfiguráljon tűzfalszabályokat a tárfiókhoz való hozzáférés korlátozásához a megadott IP-címekről vagy -tartományokból, illetve egy Azure-beli virtuális hálózat (VNet) alhálózatainak listájából származó kérelmekre. További információ a tűzfalszabályok konfigurálásáról: Azure Storage-tűzfalak és virtuális hálózatok konfigurálása. | - |
| Megbízható Microsoft-szolgáltatások hozzáférésének engedélyezése a tárfiókhoz | A tárfiók tűzfalszabályainak bekapcsolása alapértelmezés szerint blokkolja az adatok bejövő kéréseit, kivéve, ha a kérések egy Azure-beli virtuális hálózaton (VNeten) működő szolgáltatásból vagy engedélyezett nyilvános IP-címekről származnak. A letiltott kérések közé tartoznak a többi Azure-szolgáltatásból, az Azure Portalról, a naplózási és metrikaria-szolgáltatásokból stb. származó kérések. Más Azure-szolgáltatásoktól érkező kérelmek engedélyezéséhez adjon hozzá egy kivételt, amely lehetővé teszi, hogy a megbízható Microsoft-szolgáltatások hozzáférjenek a tárfiókhoz. További információ a megbízható Microsoft-szolgáltatások kivételének hozzáadásáról: Azure Storage-tűzfalak és virtuális hálózatok konfigurálása. | - |
| Privát végpontok használata | A privát végpont egy privát IP-címet rendel hozzá az Azure Virtual Networkből (VNet) a tárfiókhoz. Privát kapcsolaton keresztül biztosítja a virtuális hálózat és a tárfiók közötti összes forgalmat. További információ a privát végpontokról: Csatlakozás privátan egy tárfiókba az Azure Private Endpoint használatával. | - |
| VNet-szolgáltatáscímkék használata | A szolgáltatáscímkék egy adott Azure-szolgáltatás IP-címelőtagjainak egy csoportját jelölik. A Microsoft kezeli a szolgáltatáscímke által lefedett címelőtagokat, és a címek változásával automatikusan frissíti a szolgáltatáscímkét. Az Azure Storage által támogatott szolgáltatáscímkékről további információt az Azure szolgáltatáscímkék áttekintésében talál. A kimenő hálózati szabályok szolgáltatáscímkék használatával történő létrehozását bemutató oktatóanyagért lásd: A PaaS-erőforrásokhoz való hozzáférés korlátozása. | - |
| Adott hálózatokhoz való hálózati hozzáférés korlátozása | A hozzáférést igénylő ügyfeleket üzemeltető hálózatok hálózati hozzáférésének korlátozása csökkenti az erőforrások hálózati támadásoknak való kitettségét. | Igen |
| Hálózati útválasztási beállítás konfigurálása | Az Azure Storage-fiók hálózati útválasztási beállításait konfigurálhatja annak meghatározásához, hogy a hálózati forgalom hogyan lesz átirányítva a fiókhoz az interneten keresztüli ügyfelekről a Microsoft globális hálózatával vagy internetes útválasztásával. További információ: Az Azure Storage hálózati útválasztási beállításainak konfigurálása. | - |
Naplózás/figyelés
| Recommendation | Megjegyzések | Defender for Cloud |
|---|---|---|
| A kérelmek engedélyezésének nyomon követése | Az Azure Storage naplózásának engedélyezése a szolgáltatáshoz érkező kérések engedélyezésének nyomon követéséhez. A naplók azt jelzik, hogy névtelenül, OAuth 2.0-jogkivonat használatával, megosztott kulcs használatával vagy közös hozzáférésű jogosultságkóddal (SAS) történt-e kérés. További információ: Az Azure Blob Storage monitorozása az Azure Monitorral vagy az Azure Storage-elemzések naplózása klasszikus monitorozással. | - |
| Riasztások beállítása az Azure Monitorban | Naplóriasztásokat konfigurálhat az erőforrások naplóinak meghatározott gyakoriságú kiértékeléséhez, és riasztást küld az eredmények alapján. További információ: Naplóriasztások az Azure Monitorban. | - |