Tárfiókok és biztonság
Az Azure Storage-fiókok ideálisak olyan számítási feladatokhoz, amelyek gyors és konzisztens válaszidőt igényelnek, vagy amelyek másodpercenként nagy számú bemeneti kimenettel (IOP) rendelkeznek. A tárfiókok tartalmazzák az összes Azure Storage-adatobjektumot, amely a következőket tartalmazza:
- Blobok
- Fájlmegosztások
- Üzenetsorok
- Táblák
- Lemezek
A tárfiókok egyedi névteret biztosítanak az adatokhoz, amelyek bárhol elérhetők a vagy HTTPSa -en keresztülHTTP.
A különböző funkciókat támogató tárfióktípusokról további információt a Tárfiókok típusai című témakörben talál.
Az alábbi cikkekből megtudhatja, hogyan növeli az Azure Storage-fiók az alkalmazás számítási feladatainak biztonságát:
- Azure-beli biztonsági alapkonfiguráció az Azure Storage-hoz
- Inaktív adatok Azure Storage-titkosítása
- Privát végpontok használata az Azure Storage-hoz
A következő szakaszok tervezési szempontokat, konfigurációs ellenőrzőlistát és az Azure Storage-fiókokra és -biztonságra vonatkozó ajánlott konfigurációs beállításokat tartalmaznak.
Kialakítási szempontok
Az Azure Storage-fiókok a következő tervezési szempontokat tartalmazzák:
- A tárfiókneveknek három és 24 karakter közöttinek kell lenniük, és csak számokat és kisbetűket tartalmazhatnak.
- Az aktuális SLA-specifikációk esetében tekintse meg a tárfiókok SLA-ját.
- Nyissa meg az Azure Storage-redundanciát , és állapítsa meg, hogy melyik redundancia lehetőség a legjobb egy adott forgatókönyvhöz.
- A tárfiókok nevének egyedinek kell lennie az Azure-ban. Két tárfióknak nem lehet azonos neve.
Ellenőrzőlista
Konfigurálta az Azure Storage-fiókját a biztonság szem előtt tartásával?
- Engedélyezze az Azure Defendert az összes tárfiókhoz.
- A blobadatok helyreállítható törlésének bekapcsolása.
- A blobadatokhoz való hozzáférés engedélyezéséhez használja Microsoft Entra azonosítót.
- Vegye figyelembe a minimális jogosultság elvét, ha engedélyeket rendel egy Microsoft Entra biztonsági taghoz az Azure RBAC-vel.
- Felügyelt identitások használata blob- és üzenetsoradatok eléréséhez.
- Az üzletileg kritikus fontosságú adatok tárolásához használjon blobverziót vagy nem módosítható blobokat.
- A tárfiókok alapértelmezett internet-hozzáférésének korlátozása.
- Tűzfalszabályok engedélyezése.
- A hálózati hozzáférés korlátozása adott hálózatokra.
- A megbízható Microsoft-szolgáltatások hozzáférésének engedélyezése a tárfiókhoz.
- Engedélyezze a Biztonságos átvitel szükséges beállítást az összes tárfiókon.
- A közös hozzáférésű jogosultságkódok (SAS) tokenjeinek korlátozása csak kapcsolatokra
HTTPS. - Kerülje és tiltsa meg a megosztott kulcs engedélyezését a tárfiókokhoz való hozzáféréshez.
- Rendszeresen hozza létre újra a fiókkulcsokat.
- Hozzon létre egy visszavonási csomagot, és hozza létre azt az ügyfeleknek kibocsátott SAS-hez.
- Használjon közel távú lejárati időket egy rögtönzött SAS-, szolgáltatás SAS- vagy fiók SAS-fiókon.
Konfigurációs javaslatok
Az Azure Storage-fiók konfigurálásakor vegye figyelembe az alábbi javaslatokat a biztonság optimalizálásához:
| Ajánlás | Description |
|---|---|
| Engedélyezze az Azure Defendert az összes tárfiókhoz. | Az Azure Defender for Azure Storage egy további biztonsági intelligenciát biztosít, amely szokatlan és potenciálisan káros kísérleteket észlel a tárfiókok elérésére vagy kihasználására. A biztonsági riasztások Azure Security Center aktiválódnak, ha a tevékenység rendellenességei jelentkeznek. A riasztásokat e-mailben is elküldjük az előfizetés rendszergazdáinak, a gyanús tevékenységek részleteivel, valamint a fenyegetések kivizsgálásával és elhárításával kapcsolatos javaslatokat. További információ: Az Azure Defender konfigurálása az Azure Storage-hoz. |
| A blobadatok helyreállítható törlésének bekapcsolása. | Az Azure Storage-blobok helyreállítható törlése lehetővé teszi a blobadatok helyreállítását a törlés után. |
| A blobadatokhoz való hozzáférés engedélyezéséhez használja Microsoft Entra azonosítót. | Microsoft Entra azonosító kiváló biztonságot és egyszerű használatot biztosít a megosztott kulcshoz képest a blobtárolóra irányuló kérések engedélyezéséhez. Ajánlott Microsoft Entra-engedélyezést használni a blob- és üzenetsor-alkalmazásokkal, ha lehetséges, a megosztott kulcsban rejlő biztonsági rések minimalizálása érdekében. További információ: Hozzáférés engedélyezése azure-blobokhoz és üzenetsorokhoz Microsoft Entra azonosító használatával. |
| Vegye figyelembe a minimális jogosultság elvét, ha engedélyeket rendel egy Microsoft Entra biztonsági taghoz az Azure RBAC-vel. | Amikor szerepkört rendel egy felhasználóhoz, csoporthoz vagy alkalmazáshoz, csak azokat az engedélyeket adja meg a rendszerbiztonsági tagnak, amelyek a feladataik elvégzéséhez szükségesek. Az erőforrásokhoz való hozzáférés korlátozása segít megelőzni az adatok nem szándékos és rosszindulatú felhasználását. |
| Felügyelt identitások használata blob- és üzenetsoradatok eléréséhez. | Az Azure Blob és Queue Storage támogatja Microsoft Entra hitelesítést az Azure-erőforrások felügyelt identitásaival. Az Azure-erőforrások felügyelt identitásai engedélyezhetik a blob- és üzenetsoradatokhoz való hozzáférést az Azure-beli virtuális gépeken (VM-ben), függvényalkalmazásokban, virtuálisgép-méretezési csoportokban és más szolgáltatásokban futó alkalmazások hitelesítő adatainak Microsoft Entra használatával. Ha felügyelt identitásokat használ az Azure-erőforrásokhoz Microsoft Entra hitelesítéssel együtt, elkerülheti, hogy a hitelesítő adatokat a felhőben futó alkalmazásokkal és a lejáró szolgáltatásnevek problémáival tárolja. További információ : Hozzáférés engedélyezése blob- és üzenetsoradatokhoz felügyelt identitásokkal az Azure-erőforrásokhoz . |
| Az üzletileg kritikus fontosságú adatok tárolásához használjon blobverziót vagy nem módosítható blobokat. | Fontolja meg a Blob verziószámozását egy objektum korábbi verzióinak karbantartásához, vagy jogi célú visszatartási és időalapú adatmegőrzési szabályzatok használatát a blobadatok WORM (Egyszer írás, Több olvasás) állapotban való tárolásához. A nem módosítható blobok olvashatók, de nem módosíthatók vagy törölhetők a megőrzési időtartam alatt. További információ: Üzletileg kritikus blobadatok tárolása nem módosítható tárolóval. |
| A tárfiókok alapértelmezett internet-hozzáférésének korlátozása. | Alapértelmezés szerint a tárfiókokhoz való hálózati hozzáférés nincs korlátozva, és az internetről érkező összes forgalom számára nyitva áll. A tárfiókokhoz való hozzáférést csak bizonyos Azure-beli virtuális hálózatoknak kell biztosítani, amikor csak lehetséges, vagy privát végpontok használatával lehetővé kell tenni, hogy a virtuális hálózaton (VNeten) lévő ügyfelek biztonságosan hozzáférjenek az adatokhoz egy Private Link keresztül. További információ : Privát végpontok használata az Azure Storage-hoz . Kivételeket lehet tenni az olyan tárfiókok esetében, amelyeknek az interneten keresztül kell elérhetőnek lenniük. |
| Tűzfalszabályok engedélyezése. | Konfigurálja a tűzfalszabályokat, hogy a tárfiókhoz való hozzáférést a megadott IP-címekről vagy tartományokból vagy egy Azure-Virtual Network (VNet) található alhálózatok listájából származó kérelmekre korlátozza. További információ a tűzfalszabályok konfigurálásáról: Azure Storage-tűzfalak és virtuális hálózatok konfigurálása. |
| A hálózati hozzáférés korlátozása adott hálózatokra. | A hozzáférést igénylő ügyfeleket üzemeltető hálózatok hálózati hozzáférésének korlátozása csökkenti az erőforrások hálózati támadásoknak való kitettségét, akár a beépített tűzfal- és virtuális hálózatok funkcióval, akár privát végpontok használatával. |
| A megbízható Microsoft-szolgáltatások hozzáférésének engedélyezése a tárfiókhoz. | A tárfiókok tűzfalszabályainak bekapcsolása alapértelmezés szerint blokkolja az adatok bejövő kéréseit, kivéve, ha a kérések egy Azure Virtual Network (VNet) szolgáltatásból vagy engedélyezett nyilvános IP-címekről származnak. A letiltott kérések közé tartoznak a más Azure-szolgáltatásoktól, a Azure Portal, a naplózási és metrikaszolgáltatásoktól érkező kérések stb. Más Azure-szolgáltatásoktól érkező kérelmek engedélyezéséhez adjon hozzá egy kivételt, amely lehetővé teszi, hogy a megbízható Microsoft-szolgáltatások hozzáférjenek a tárfiókhoz. A megbízható Microsoft-szolgáltatások kivételeinek hozzáadásáról az Azure Storage-tűzfalak és virtuális hálózatok konfigurálása című témakörben talál további információt. |
| Engedélyezze a Biztonságos átvitel szükséges beállítást az összes tárfiókon. | Ha engedélyezi a biztonságos átvitelhez szükséges beállítást, a tárfiókra irányuló összes kérésnek biztonságos kapcsolatokon keresztül kell lezajlania. A HTTP-en keresztül küldött kérések sikertelenek lesznek. További információ: Biztonságos átvitel megkövetelése az Azure Storage-ban. |
A közös hozzáférésű jogosultságkódok (SAS) tokenjeinek korlátozása csak kapcsolatokra HTTPS . |
Ha HTTPS az ügyfél SAS-jogkivonatot használ a blobadatok eléréséhez, azzal minimalizálható a lehallgatás kockázata. További információ: Korlátozott hozzáférés biztosítása az Azure Storage-erőforrásokhoz közös hozzáférésű jogosultságkódok (SAS) használatával. |
| Kerülje és tiltsa meg a megosztott kulcs engedélyezését a tárfiókokhoz való hozzáféréshez. | Javasoljuk, hogy Microsoft Entra azonosítóval engedélyezze az Azure Storage-ra irányuló kéréseket, és megakadályozza a megosztott kulcs engedélyezését. A megosztott kulcs engedélyezését igénylő forgatókönyvek esetén mindig az SAS-jogkivonatokat részesíti előnyben a megosztott kulcs terjesztése helyett. |
| Rendszeresen hozza létre újra a fiókkulcsokat. | A fiókkulcsok rendszeres rotálása csökkenti az adatok rosszindulatú szereplőknek való felfedésének kockázatát. |
| Hozzon létre egy visszavonási csomagot, és hozza létre azt az ügyfeleknek kibocsátott SAS-hez. | Ha egy SAS sérült, azonnal vissza kell vonnia az SAS-t. A felhasználói delegálási SAS visszavonásához vonja vissza a felhasználói delegálási kulcsot, hogy gyorsan érvénytelenítse az adott kulcshoz társított összes aláírást. A tárolt hozzáférési szabályzathoz társított szolgáltatás SAS visszavonásához törölheti a tárolt hozzáférési szabályzatot, átnevezheti a szabályzatot, vagy a lejárati idejét egy korábbi időpontra módosíthatja. |
| Használjon rövid távú lejárati időt rögtönzött SAS-en, szolgáltatás SAS-n vagy fiók SAS-jén. | Ha egy SAS biztonsága sérül, az csak rövid ideig érvényes. Ez a gyakorlat különösen fontos, ha nem hivatkozhat tárolt hozzáférési szabályzatra. A rövid távú lejárati idők a blobokba írható adatok mennyiségét is korlátozzák a feltöltéshez rendelkezésre álló idő korlátozásával. Az ügyfeleknek jóval a lejárat előtt meg kell újítaniuk az SAS-t, hogy időt hagyhassanak az újrapróbálkozásokra, ha az SAS-t biztosító szolgáltatás nem érhető el. |
Következő lépés
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: