Account di archiviazione e sicurezza
Gli account di archiviazione di Azure sono ideali per carichi di lavoro che richiedono tempi di risposta rapidi e coerenti o che hanno un numero elevato di operazioni di input/output (IOP) al secondo. Gli account di archiviazione contengono tutti gli oggetti dati di Archiviazione di Azure, tra cui:
- BLOB
- Condivisioni file
- Code
- Tabelle
- Dischi
Gli account di archiviazione forniscono uno spazio dei nomi univoco per i dati accessibile da qualsiasi posizione tramite connessione HTTP o HTTPS.
Per altre informazioni sui diversi tipi di account di archiviazione che supportano funzionalità diverse, vedere Tipi di account di archiviazione.
Per informazioni sul modo in cui gli account di archiviazione di Azure rafforzano la sicurezza per il carico di lavoro dell'applicazione, vedere gli articoli seguenti:
- Informazioni di base sulla sicurezza di Azure per Archiviazione di Azure
- Crittografia del servizio di archiviazione di Azure per dati inattivi
- Usare endpoint privati per Archiviazione di Azure
Le sezioni seguenti includono considerazioni sulla progettazione, un elenco di controllo per la configurazione e opzioni di configurazione consigliate specifiche per gli account di archiviazione di Azure e la sicurezza.
Considerazioni relative alla progettazione
Le considerazioni sulla progettazione degli account di archiviazione di Azure sono le seguenti:
- I nomi degli account di archiviazione devono avere una lunghezza compresa tra 3 e 24 caratteri e possono contenere solo numeri e lettere minuscole.
- Per le specifiche correnti del Contratto di servizio, vedere Contratto di Servizio per Account di archiviazione.
- Passare a Ridondanza di Archiviazione di Azure per determinare l'opzione di ridondanza più adatta per uno scenario specifico.
- I nomi degli account di archiviazione devono essere univoci all'interno di Azure. Due account di archiviazione non possono avere lo stesso nome.
Elenco di controllo
L'account Archiviazione di Azure è stato configurato in modo specifico per la sicurezza?
- Abilitare Azure Defender per tutti gli account di archiviazione.
- Attivare l'eliminazione temporanea per i dati BLOB.
- Usare Microsoft Entra ID per autorizzare l'accesso ai dati BLOB.
- Considerare il principio del privilegio minimo quando si assegnano le autorizzazioni a un'entità di sicurezza Microsoft Entra tramite controllo degli accessi in base al ruolo di Azure.
- Usare le identità gestite per accedere ai dati BLOB e della coda.
- Usare il controllo delle versioni dei BLOB o i BLOB non modificabili per archiviare dati critici.
- Limitare l'accesso a Internet predefinito per gli account di archiviazione.
- Abilitare le regole del firewall.
- Limitare l'accesso alla rete a reti specifiche.
- Consentire ai servizi Microsoft attendibili di accedere all'account di archiviazione.
- Abilitare l'opzione Trasferimento sicuro obbligatorio per tutti gli account di archiviazione.
- Limitare i token di firma di accesso condiviso (SAS) solo alle connessioni
HTTPS. - Evitare e impedire l'uso dell'autorizzazione con chiave condivisa per accedere agli account di archiviazione.
- Rigenerare periodicamente le chiavi dell'account.
- Creare un piano di revoca e metterlo in atto per qualsiasi firma di accesso condiviso rilasciata per i client.
- Usare una scadenza a breve termine in una firma di accesso condiviso, una firma di accesso condiviso del servizio o una firma di accesso condiviso dell'account estemporanea.
Raccomandazioni per la configurazione
Esaminare le raccomandazioni seguenti per ottimizzare la sicurezza durante la configurazione dell'account di archiviazione di Azure:
| Recommendation | Descrizione |
|---|---|
| Abilitare Azure Defender per tutti gli account di archiviazione. | Azure Defender per Archiviazione di Azure offre un livello extra di intelligence di sicurezza che rileva tentativi insoliti e potenzialmente dannosi di accesso o exploit degli account di archiviazione. Gli avvisi di sicurezza vengono attivati in Centro sicurezza di Azure quando si verificano anomalie nell'attività. Gli avvisi vengono inviati anche tramite posta elettronica agli amministratori della sottoscrizione, con informazioni dettagliate sull'attività sospetta e le raccomandazioni su come analizzare e correggere le minacce. Per altre informazioni, vedere Configurare Azure Defender per Archiviazione di Azure. |
| Attivare l'eliminazione temporanea per i dati BLOB. | L'eliminazione temporanea per i BLOB di Archiviazione di Azure consente di ripristinare i dati BLOB dopo l'eliminazione. |
| Usare Microsoft Entra ID per autorizzare l'accesso ai dati BLOB. | Microsoft Entra ID offre una maggiore sicurezza e facilità d'uso tramite chiave condivisa per l'autorizzazione delle richieste all'archiviazione BLOB. È consigliabile usare Microsoft Entra autorizzazione con le applicazioni BLOB e code quando possibile per ridurre al minimo le potenziali vulnerabilità di sicurezza intrinseche nella chiave condivisa. Per altre informazioni, vedere Autorizzare l'accesso ai BLOB e alle code di Azure usando Microsoft Entra ID. |
| Considerare il principio del privilegio minimo quando si assegnano le autorizzazioni a un'entità di sicurezza Microsoft Entra tramite controllo degli accessi in base al ruolo di Azure. | Quando si assegna un ruolo a un utente, a un gruppo o a un'applicazione, concedere a tale entità di sicurezza solo le autorizzazioni necessarie per completare le loro attività. La limitazione dell'accesso alle risorse consente di evitare un uso improprio non intenzionale e dannoso dei dati. |
| Usare le identità gestite per accedere ai dati BLOB e della coda. | L'archiviazione BLOB e code di Azure supporta Microsoft Entra l'autenticazione con identità gestite per le risorse di Azure. Le identità gestite per le risorse di Azure possono autorizzare l'accesso ai dati BLOB e code usando le credenziali di Microsoft Entra dalle applicazioni in esecuzione nelle macchine virtuali di Azure, le app per le funzioni, i set di scalabilità di macchine virtuali e altri servizi. Usando identità gestite per le risorse di Azure insieme all'autenticazione Microsoft Entra, è possibile evitare di archiviare le credenziali con le applicazioni eseguite nel cloud e i problemi relativi alle entità servizio scadute. Per altre informazioni, vedere Autorizzare l'accesso ai dati di BLOB e code con identità gestite per le risorse di Azure. |
| Usare il controllo delle versioni dei BLOB o i BLOB non modificabili per archiviare dati critici. | Valutare l'uso del controllo delle versioni dei BLOB per mantenere le versioni precedenti di un oggetto o l'uso di blocchi a livello legale e criteri di conservazione basati sul tempo per archiviare i dati dei BLOB in uno stato WORM (Write Once, Read Many). I BLOB non modificabili possono essere letti, ma non modificati o eliminati durante l'intervallo di conservazione. Per altre informazioni, vedere Archiviare dati di BLOB critici con archiviazione non modificabile. |
| Limitare l'accesso a Internet predefinito per gli account di archiviazione. | Per impostazione predefinita, l'accesso di rete agli account di archiviazione non è limitato ed è aperto a tutto il traffico proveniente da Internet. L'accesso agli account di archiviazione deve essere concesso a reti virtuali di Azure specifiche solo quando possibile oppure è necessario usare endpoint privati per consentire ai client in una rete virtuale di accedere ai dati in modo sicuro tramite un collegamento privato. Per altre informazioni, vedere Usare endpoint privati per Archiviazione di Azure. È possibile creare eccezioni per gli account di archiviazione che devono essere accessibili tramite Internet. |
| Abilitare le regole del firewall. | Configurare le regole del firewall per limitare l'accesso all'account di archiviazione alle richieste provenienti da intervalli o indirizzi IP specifici o da un determinato elenco di subnet in una rete virtuale di Azure. Per altre informazioni sulla configurazione delle regole del firewall, vedere Configurare i firewall e le reti virtuali di Archiviazione di Azure. |
| Limitare l'accesso alla rete a reti specifiche. | La limitazione dell'accesso di rete alle reti che ospitano i client che richiedono l'accesso riduce l'esposizione delle risorse agli attacchi di rete tramite la funzionalità integrata Firewall e reti virtuali o tramite gli endpoint privati. |
| Consentire ai servizi Microsoft attendibili di accedere all'account di archiviazione. | Per impostazione predefinita, l'attivazione delle regole del firewall per gli account di archiviazione blocca le richieste in ingresso per i dati, a meno che le richieste non provengano da un servizio in esecuzione all'interno di una rete virtuale di Azure o da indirizzi IP pubblici consentiti. Le richieste bloccate includono richieste provenienti da altri servizi di Azure, dal portale di Azure, dai servizi di registrazione e metriche e così via. È possibile autorizzare le richieste provenienti da altri servizi di Azure aggiungendo un'eccezione per consentire ai servizi Microsoft attendibili l'accesso all'account di archiviazione. Per altre informazioni sull'aggiunta di un'eccezione per servizi Microsoft attendibili, vedere Configurare i firewall e le reti virtuali di Archiviazione di Azure. |
| Abilitare l'opzione Trasferimento sicuro obbligatorio per tutti gli account di archiviazione. | Quando si abilita l'opzione Trasferimento sicuro obbligatorio, tutte le richieste per l'account di archiviazione devono essere effettuate su connessioni sicure. Tutte le richieste effettuate su HTTP avranno esito negativo. Per altre informazioni, vedere Richiedere il trasferimento sicuro in Archiviazione di Azure. |
Limitare i token di firma di accesso condiviso (SAS) solo alle connessioni HTTPS. |
Richiedere una connessione HTTPS quando un client usa un token di firma di accesso condiviso per accedere ai dati BLOB consente di ridurre al minimo il rischio di intercettazione. Per altre informazioni, vedere Concedere accesso limitato alle risorse di Archiviazione di Azure tramite firme di accesso condiviso. |
| Evitare e impedire l'uso dell'autorizzazione con chiave condivisa per accedere agli account di archiviazione. | È consigliabile usare Microsoft Entra ID per autorizzare le richieste ad Archiviazione di Azure e impedire l'autorizzazione della chiave condivisa. Per gli scenari che richiedono l'autorizzazione con chiave condivisa, preferire sempre i token di firma di accesso condiviso rispetto alla distribuzione della chiave condivisa. |
| Rigenerare periodicamente le chiavi dell'account. | La rotazione periodica delle chiavi dell'account riduce il rischio di esporre i dati ad attori malintenzionati. |
| Creare un piano di revoca e metterlo in atto per qualsiasi firma di accesso condiviso rilasciata per i client. | Se una firma di accesso condiviso è compromessa, è necessario revocarla immediatamente. Per revocare una firma di accesso condiviso di delega utente, revocare la chiave di delega utente per invalidare rapidamente tutte le firme associate a tale chiave. Per revocare una firma di accesso condiviso del servizio associata a criteri di accesso, è possibile eliminare i criteri di accesso archiviati, rinominare i criteri o impostarne la scadenza nel passato. |
| Usare una scadenza a breve termine in una firma di accesso condiviso, una firma di accesso condiviso del servizio o una firma di accesso condiviso dell'account estemporanea. | Anche se una firma di accesso condiviso viene compromessa, sarà comunque valida solo per un breve periodo di tempo. Questo procedura è particolarmente importante se non è possibile fare riferimento a criteri di accesso archiviati. Una scadenza breve consente anche di limitare la quantità di dati che è possibile scrivere in un BLOB riducendo il tempo disponibile per il caricamento. I client devono rinnovare la firma di accesso condiviso prima della scadenza, in modo da avere la possibilità di effettuare altri tentativi qualora il servizio che fornisce la firma di accesso condiviso non sia disponibile. |
Passaggio successivo
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per