Raccomandazioni sulla sicurezza per archiviazione BLOBSecurity recommendations for Blob storage

Questo articolo contiene raccomandazioni sulla sicurezza per l'archiviazione BLOB.This article contains security recommendations for Blob storage. Implementando queste raccomandazioni sarà possibile adeguarsi gli obblighi di sicurezza descritti nel modello di responsabilità condivisa.Implementing these recommendations will help you fulfill your security obligations as described in our shared responsibility model. Per altre informazioni sulle iniziative intraprese da Microsoft per assolvere alle responsabilità dei provider di servizi, vedere Responsabilità condivise per il cloud computing.For more information on what Microsoft does to fulfill service provider responsibilities, read Shared responsibilities for cloud computing.

Alcune raccomandazioni presenti in questo articolo possono essere monitorate automaticamente dal Centro sicurezza di Azure.Some of the recommendations included in this article can be automatically monitored by Azure Security Center. Il Centro sicurezza di Azure è la prima linea di difesa per la protezione delle risorse di Azure:Azure Security Center is the first line of defense in protecting your resources in Azure. Per informazioni sul centro sicurezza di Azure, vedere informazioni sul Centro sicurezza di Azure.For information on Azure Security Center, see the What is Azure Security Center?.

Il Centro sicurezza di Azure analizza periodicamente lo stato di sicurezza delle risorse di Azure per identificare le potenziali vulnerabilità di sicurezza.Azure Security Center periodically analyzes the security state of your Azure resources to identify potential security vulnerabilities. e fornisce raccomandazioni per affrontarle in modo efficace.It then provides you with recommendations on how to address them. Per altre informazioni sulle raccomandazioni del Centro di sicurezza di Azure, vedere Raccomandazioni di sicurezza nel Centro sicurezza di Azure.For more information on Azure Security Center recommendations, see Security recommendations in Azure Security Center.

Protezione dei datiData protection

RecommendationRecommendation CommentiComments Centro sicurezzaSecurity Center
Usare il modello di distribuzione Azure Resource ManagerUse the Azure Resource Manager deployment model Creare nuovi account di archiviazione usando il modello di distribuzione Azure Resource Manager per importanti miglioramenti della sicurezza, tra cui il controllo degli accessi in base al ruolo di Azure superiore (RBAC di Azure) e il controllo, la distribuzione e la governance basate su Gestione risorse, l'accesso alle identità gestite, l'accesso ai Azure Key Vault per i segreti e l'autenticazione basata su Azure AD e l'autorizzazione per l'accesso ai dati e alle risorseCreate new storage accounts using the Azure Resource Manager deployment model for important security enhancements, including superior Azure role-based access control (Azure RBAC) and auditing, Resource Manager-based deployment and governance, access to managed identities, access to Azure Key Vault for secrets, and Azure AD-based authentication and authorization for access to Azure Storage data and resources. Se possibile, eseguire la migrazione degli account di archiviazione esistenti che usano il modello di distribuzione classica per usare Azure Resource Manager.If possible, migrate existing storage accounts that use the classic deployment model to use Azure Resource Manager. Per ulteriori informazioni su Azure Resource Manager, vedere Panoramica di Azure Resource Manager.For more information about Azure Resource Manager, see Azure Resource Manager overview. -
Abilitare Azure Defender per tutti gli account di archiviazioneEnable Azure Defender for all of your storage accounts Azure Defender per archiviazione di Azure offre un ulteriore livello di intelligence per la sicurezza che rileva tentativi insoliti e potenzialmente dannosi di accedere o sfruttare gli account di archiviazione.Azure Defender for Azure Storage provides an additional layer of security intelligence that detects unusual and potentially harmful attempts to access or exploit storage accounts. Gli avvisi di sicurezza vengono attivati nel centro sicurezza di Azure quando si verificano anomalie nelle attività e vengono inviati anche tramite posta elettronica agli amministratori della sottoscrizione, con dettagli relativi a attività sospette e consigli su come analizzare e correggere le minacce.Security alerts are triggered in Azure Security Center when anomalies in activity occur and are also sent via email to subscription administrators, with details of suspicious activity and recommendations on how to investigate and remediate threats. Per altre informazioni, vedere configurare Azure Defender per archiviazione di Azure.For more information, see Configure Azure Defender for Azure Storage. Yes
Attivare l'eliminazione temporanea per i dati BLOBTurn on soft delete for blob data L'eliminazione temporanea consente di ripristinare i dati BLOB dopo l'eliminazione.Soft delete enables you to recover blob data after it has been deleted. Per altre informazioni sull'eliminazione temporanea, vedere eliminazione temporanea per i BLOB di archiviazione di Azure.For more information on soft delete, see Soft delete for Azure Storage blobs. -
Bloccare l'account di archiviazione per evitare l'eliminazione accidentaleLock Storage Account to prevent accidental Deletion In qualità di amministratore, potrebbe essere necessario bloccare una sottoscrizione, un gruppo di risorse o una risorsa per impedire ad altri utenti dell'organizzazione di eliminare o modificare accidentalmente le risorse critiche, vedere bloccare le risorse per impedire modifiche impreviste.As an administrator, you may need to lock a subscription, resource group, or resource to prevent other users in your organization from accidentally deleting or modifying critical resources, see Lock resources to prevent unexpected changes.
Archiviare dati critici per l'azienda in BLOB non modificabiliStore business-critical data in immutable blobs Configurare i criteri di conservazione validi e temporali per archiviare i dati BLOB in un WORM (scrivere una sola volta, leggere molti) stato.Configure legal holds and time-based retention policies to store blob data in a WORM (Write Once, Read Many) state. I BLOB archiviati immutabilmente possono essere letti, ma non possono essere modificati o eliminati per la durata dell'intervallo di conservazione.Blobs stored immutably can be read, but cannot be modified or deleted for the duration of the retention interval. Per altre informazioni, vedere archiviare dati BLOB critici per l'azienda con archiviazione non modificabile.For more information, see Store business-critical blob data with immutable storage. -
Limitare i token di firma di accesso condiviso solo alle connessioni HTTPSLimit shared access signature (SAS) tokens to HTTPS connections only Richiesta di HTTPS quando un client utilizza un token di firma di accesso condiviso per accedere ai dati BLOB consente di ridurre al minimo il rischio di intercettazione.Requiring HTTPS when a client uses a SAS token to access blob data helps to minimize the risk of eavesdropping. Per altre informazioni, vedere concedere l'accesso limitato alle risorse di archiviazione di Azure usando le firme di accesso condiviso (SAS).For more information, see Grant limited access to Azure Storage resources using shared access signatures (SAS). -

Gestione delle identità e dell'accessoIdentity and access management

RecommendationRecommendation CommentiComments Centro sicurezzaSecurity Center
Usare Azure Active Directory (Azure AD) per autorizzare l'accesso ai dati BLOBUse Azure Active Directory (Azure AD) to authorize access to blob data Azure AD offre sicurezza e facilità d'uso superiori rispetto alla chiave condivisa per l'autorizzazione delle richieste all'archiviazione BLOB.Azure AD provides superior security and ease of use over Shared Key for authorizing requests to Blob storage. Per altre informazioni, vedere autorizzare l'accesso a BLOB e code di Azure usando Azure Active Directory.For more information, see Authorize access to Azure blobs and queues using Azure Active Directory. -
Tenere presente il principale privilegio minimo quando si assegnano autorizzazioni a un'entità di sicurezza Azure AD tramite il controllo degli accessi in base al ruolo di AzureKeep in mind the principal of least privilege when assigning permissions to an Azure AD security principal via Azure RBAC Quando si assegna un ruolo a un utente, a un gruppo o a un'applicazione, concedere all'entità di sicurezza solo le autorizzazioni necessarie per eseguire le attività.When assigning a role to a user, group, or application, grant that security principal only those permissions that are necessary for them to perform their tasks. La limitazione dell'accesso alle risorse consente di evitare l'utilizzo non intenzionale e dannoso dei dati.Limiting access to resources helps prevent both unintentional and malicious misuse of your data. -
Usare una firma di accesso condiviso di delega utente per concedere l'accesso limitato ai dati BLOB ai clientUse a user delegation SAS to grant limited access to blob data to clients Una firma di accesso condiviso di delega utente è protetta con credenziali Azure Active Directory (Azure AD) e anche dalle autorizzazioni specificate per la firma di accesso condiviso.A user delegation SAS is secured with Azure Active Directory (Azure AD) credentials and also by the permissions specified for the SAS. Una firma di accesso condiviso dell'utente è analoga a una firma di accesso condiviso del servizio in termini di ambito e funzione, ma offre vantaggi di sicurezza sulla firma di accesso condiviso del servizio.A user delegation SAS is analogous to a service SAS in terms of its scope and function, but offers security benefits over the service SAS. Per altre informazioni, vedere concedere l'accesso limitato alle risorse di archiviazione di Azure usando le firme di accesso condiviso (SAS).For more information, see Grant limited access to Azure Storage resources using shared access signatures (SAS). -
Proteggere le chiavi di accesso dell'account con Azure Key VaultSecure your account access keys with Azure Key Vault Microsoft consiglia di usare Azure AD per autorizzare le richieste ad archiviazione di Azure.Microsoft recommends using Azure AD to authorize requests to Azure Storage. Tuttavia, se è necessario usare l'autorizzazione della chiave condivisa, proteggere le chiavi dell'account con Azure Key Vault.However, if you must use Shared Key authorization, then secure your account keys with Azure Key Vault. È possibile recuperare le chiavi dall'insieme di credenziali delle chiavi in fase di esecuzione, anziché salvarle con l'applicazione.You can retrieve the keys from the key vault at runtime, instead of saving them with your application. Per ulteriori informazioni su Azure Key Vault, vedere Panoramica di Azure Key Vault.For more information about Azure Key Vault, see Azure Key Vault overview. -
Rigenerare periodicamente le chiavi dell'accountRegenerate your account keys periodically La rotazione delle chiavi dell'account riduce periodicamente il rischio di esporre i dati a attori malintenzionati.Rotating the account keys periodically reduces the risk of exposing your data to malicious actors. -
Disabilitare l'autorizzazione della chiave condivisaDisable Shared Key authorization Quando si impedisce l'autorizzazione della chiave condivisa per un account di archiviazione, archiviazione di Azure rifiuta tutte le richieste successive a tale account che sono autorizzate con le chiavi di accesso dell'account.When you disallow Shared Key authorization for a storage account, Azure Storage rejects all subsequent requests to that account that are authorized with the account access keys. Solo le richieste protette autorizzate con Azure AD riusciranno, vedere impedire l'autorizzazione della chiave condivisa per un account di archiviazione di Azure.Only secured requests that are authorized with Azure AD will succeed, see Prevent Shared Key authorization for an Azure Storage account. -
Tenere presente l'entità del privilegio minimo quando si assegnano le autorizzazioni a una firma di accesso condivisoKeep in mind the principal of least privilege when assigning permissions to a SAS Quando si crea una firma di accesso condiviso, specificare solo le autorizzazioni richieste dal client per eseguire la relativa funzione.When creating a SAS, specify only those permissions that are required by the client to perform its function. La limitazione dell'accesso alle risorse consente di evitare l'utilizzo non intenzionale e dannoso dei dati.Limiting access to resources helps prevent both unintentional and malicious misuse of your data. -
Disporre di un piano di revoca per qualsiasi firma di accesso condiviso che viene rilasciata ai clientHave a revocation plan in place for any SAS that you issue to clients Se una firma di accesso condiviso viene compromessa, è opportuno revocare la firma di accesso condiviso appena possibile.If a SAS is compromised, you will want to revoke that SAS as soon as possible. Per revocare la firma di accesso condiviso della delega utente, revocare la chiave di delega utente per invalidare rapidamente tutte le firme associate a tale chiave.To revoke a user delegation SAS, revoke the user delegation key to quickly invalidate all signatures associated with that key. Per revocare una firma di accesso condiviso del servizio associata a un criterio di accesso archiviato, è possibile eliminare i criteri di accesso archiviati, rinominare il criterio o modificare l'ora di scadenza in un'ora nel passato.To revoke a service SAS that is associated with a stored access policy, you can delete the stored access policy, rename the policy, or change its expiry time to a time that is in the past. Per altre informazioni, vedere concedere l'accesso limitato alle risorse di archiviazione di Azure usando le firme di accesso condiviso (SAS).For more information, see Grant limited access to Azure Storage resources using shared access signatures (SAS). -
Se una firma di accesso condiviso del servizio non è associata a criteri di accesso archiviati, impostare l'ora di scadenza su un'ora o su un valore inferioreIf a service SAS is not associated with a stored access policy, then set the expiry time to one hour or less Non è possibile revocare una firma di accesso condiviso del servizio che non è associata a criteri di accesso archiviati.A service SAS that is not associated with a stored access policy cannot be revoked. Per questo motivo, è consigliabile limitare l'ora di scadenza in modo che la firma di accesso condiviso sia valida per un'ora o meno.For this reason, limiting the expiry time so that the SAS is valid for one hour or less is recommended. -
Disabilitare l'accesso in lettura pubblico anonimo a contenitori e BLOBDisable anonymous public read access to containers and blobs L'accesso in lettura pubblico anonimo a un contenitore e ai relativi BLOB concede l'accesso in sola lettura a tali risorse a qualsiasi client.Anonymous public read access to a container and its blobs grants read-only access to those resources to any client. Evitare di abilitare l'accesso in lettura pubblico a meno che lo scenario non lo richieda.Avoid enabling public read access unless your scenario requires it. Per informazioni su come disabilitare l'accesso pubblico anonimo per un account di archiviazione, vedere configurare l'accesso in lettura pubblico anonimo per contenitori e BLOB.To learn how to disable anonymous public access for a storage account, see Configure anonymous public read access for containers and blobs. -

ReteNetworking

RecommendationRecommendation CommentiComments Centro sicurezzaSecurity Center
Configurare la versione minima richiesta di Transport Layer Security (TLS) per un account di archiviazione.Configure the minimum required version of Transport Layer Security (TLS) for a storage account. Richiedere che i client usino una versione più sicura di TLS per eseguire richieste in un account di archiviazione di Azure configurando la versione minima di TLS per tale account.Require that clients use a more secure version of TLS to make requests against an Azure Storage account by configuring the minimum version of TLS for that account. Per altre informazioni, vedere configurare la versione minima richiesta di Transport Layer Security (TLS) per un account di archiviazioneFor more information, see Configure minimum required version of Transport Layer Security (TLS) for a storage account -
Abilitare l'opzione trasferimento sicuro obbligatorio in tutti gli account di archiviazioneEnable the Secure transfer required option on all of your storage accounts Quando si Abilita l'opzione trasferimento sicuro obbligatorio , tutte le richieste effettuate nell'account di archiviazione devono essere eseguite su connessioni sicure.When you enable the Secure transfer required option, all requests made against the storage account must take place over secure connections. Eventuali richieste effettuate su HTTP avranno esito negativo.Any requests made over HTTP will fail. Per altre informazioni, vedere richiedere il trasferimento sicuro in archiviazione di Azure.For more information, see Require secure transfer in Azure Storage. Yes
Abilitare le regole del firewallEnable firewall rules Configurare le regole del firewall per limitare l'accesso all'account di archiviazione alle richieste che hanno origine da indirizzi o intervalli IP specificati oppure da un elenco di subnet in una rete virtuale di Azure (VNet).Configure firewall rules to limit access to your storage account to requests that originate from specified IP addresses or ranges, or from a list of subnets in an Azure Virtual Network (VNet). Per altre informazioni sulla configurazione delle regole del firewall, vedere configurare i firewall e le reti virtuali di archiviazione di Azure.For more information about configuring firewall rules, see Configure Azure Storage firewalls and virtual networks. -
Consenti ai servizi Microsoft attendibili di accedere all'account di archiviazioneAllow trusted Microsoft services to access the storage account L'attivazione delle regole firewall per l'account di archiviazione blocca le richieste in ingresso per i dati per impostazione predefinita, a meno che le richieste non provengano da un servizio in esecuzione all'interno di una rete virtuale di Azure o da indirizzi IP pubblici consentiti.Turning on firewall rules for your storage account blocks incoming requests for data by default, unless the requests originate from a service operating within an Azure Virtual Network (VNet) or from allowed public IP addresses. Le richieste che vengono bloccate sono quelle che provengono da altri servizi di Azure, dal portale di Azure, dai servizi di registrazione e metriche e così via.Requests that are blocked include those from other Azure services, from the Azure portal, from logging and metrics services, and so on. È possibile consentire le richieste da altri servizi di Azure aggiungendo un'eccezione per consentire ai servizi Microsoft attendibili di accedere all'account di archiviazione.You can permit requests from other Azure services by adding an exception to allow trusted Microsoft services to access the storage account. Per altre informazioni sull'aggiunta di un'eccezione per i servizi Microsoft attendibili, vedere configurare i firewall e le reti virtuali di archiviazione di Azure.For more information about adding an exception for trusted Microsoft services, see Configure Azure Storage firewalls and virtual networks. -
Usare endpoint privatiUse private endpoints Un endpoint privato assegna un indirizzo IP privato dalla rete virtuale di Azure (VNet) all'account di archiviazione.A private endpoint assigns a private IP address from your Azure Virtual Network (VNet) to the storage account. Protegge tutto il traffico tra il VNet e l'account di archiviazione tramite un collegamento privato.It secures all traffic between your VNet and the storage account over a private link. Per altre informazioni sugli endpoint privati, vedere connettersi privatamente a un account di archiviazione usando un endpoint privato di Azure.For more information about private endpoints, see Connect privately to a storage account using Azure Private Endpoint. -
Usare i tag del servizio VNetUse VNet service tags Un tag del servizio rappresenta un gruppo di prefissi di indirizzi IP di un determinato servizio di Azure.A service tag represents a group of IP address prefixes from a given Azure service. I prefissi di indirizzo inclusi nel tag di servizio sono gestiti da Microsoft, che lo aggiorna automaticamente in caso di modifica degli indirizzi.Microsoft manages the address prefixes encompassed by the service tag and automatically updates the service tag as addresses change. Per altre informazioni sui tag di servizio supportati da archiviazione di Azure, vedere Cenni preliminari sui tag dei servizi di Azure.For more information about service tags supported by Azure Storage, see Azure service tags overview. Per un'esercitazione che illustra come usare i tag di servizio per creare regole di rete in uscita, vedere limitare l'accesso alle risorse di PaaS.For a tutorial that shows how to use service tags to create outbound network rules, see Restrict access to PaaS resources. -
Limitare l'accesso alla rete per reti specificheLimit network access to specific networks La limitazione dell'accesso di rete alle reti che ospitano i client che richiedono l'accesso riduce l'esposizione delle risorse agli attacchi di rete.Limiting network access to networks hosting clients requiring access reduces the exposure of your resources to network attacks. Yes
Configurare la preferenza di routing di reteConfigure network routing preference È possibile configurare la preferenza di routing di rete per l'account di archiviazione di Azure per specificare il modo in cui il traffico di rete viene indirizzato all'account da client su Internet usando la rete globale Microsoft o il routing Internet, vedere configurare la preferenza di routing di rete per archiviazione di Azure.You can configure network routing preference for your Azure storage account to specify how network traffic is routed to your account from clients over the Internet using the Microsoft global network or Internet routing, see Configure network routing preference for Azure Storage. -

Registrazione/monitoraggioLogging/Monitoring

RecommendationRecommendation CommentiComments Centro sicurezzaSecurity Center
Tenere traccia del modo in cui le richieste sono autorizzateTrack how requests are authorized Abilitare la registrazione di archiviazione di Azure per tenere traccia del modo in cui ogni richiesta effettuata nell'archiviazione di Azure è stata autorizzaEnable Azure Storage logging to track how each request made against Azure Storage was authorized. I log indicano se una richiesta è stata effettuata in modo anonimo, usando un token OAuth 2,0, usando la chiave condivisa o usando una firma di accesso condiviso (SAS).The logs indicate whether a request was made anonymously, by using an OAuth 2.0 token, by using Shared Key, or by using a shared access signature (SAS). Per altre informazioni, vedere monitoraggio dell'archiviazione BLOB di Azure con monitoraggio di Azure o registrazione di analisi archiviazione di Azure con il monitoraggio classico.For more information, see Monitoring Azure Blob storage with Azure Monitor or Azure Storage analytics logging with Classic Monitoring. -
Configurare gli avvisi in monitoraggio di AzureSetup Alerts in Azure Monitor Gli avvisi del log consentono agli utenti di usare una query di Log Analytics per valutare i log delle risorse ogni frequenza impostata e generare un avviso in base ai risultati, vedere avvisi del log in monitoraggio di Azure.Log alerts allow users to use a Log Analytics query to evaluate resources logs every set frequency, and fire an alert based on the results, see Log alerts in Azure Monitor. -

Passaggi successiviNext steps