Creare una baseline per gli account di archiviazione di Azure

  • 5 minuti

Un account di archiviazione di Azure offre uno spazio dei nomi univoco in cui archiviare gli oggetti dati di Archiviazione di Azure e accedere a tali oggetti.

Raccomandazioni per la sicurezza per gli account di archiviazione di Azure

Le sezioni seguenti descrivono le raccomandazioni per Archiviazione di Azure presenti in CIS Microsoft Azure Foundations Security Benchmark v. 1.3.0. In ogni raccomandazione sono inclusi i passaggi di base da seguire nel portale di Azure. È necessario completare questi passaggi per la propria sottoscrizione e usando le proprie risorse per convalidare ogni raccomandazione per la sicurezza. Tenere presente che le opzioni del livello 2 possono limitare alcune funzionalità o attività, quindi valutare con attenzione le opzioni di sicurezza che si decide di applicare.

Richiedere trasferimenti con sicurezza avanzata - Livello 1

Un passaggio da adottare per garantire la sicurezza dei dati di archiviazione di Azure consiste nel crittografare i dati tra il client e Archiviazione di Azure. La prima raccomandazione è di usare sempre il protocollo HTTPS. L'uso di HTTPS garantisce la protezione delle comunicazioni sulla rete Internet pubblica. Per imporre l'uso di HTTPS quando si chiamano le API REST per accedere a oggetti negli account di archiviazione, attivare l'opzione Trasferimento sicuro obbligatorio per l'account di archiviazione. Dopo aver attivato questo controllo, le connessioni che usano HTTP vengono rifiutate. Seguire questa procedura per ogni account di archiviazione nella sottoscrizione.

  1. Accedi al portale di Azure. Cercare e selezionare Account di archiviazione.

  2. Nel riquadro Account di archiviazione selezionare un account di archiviazione.

  3. Nel menu di sinistra selezionare Configurazione in Impostazioni.

  4. Nel riquadro Configurazione assicurarsi che l'opzione Trasferimento sicuro obbligatorio sia impostata su Abilitato.

  5. Se si modificano impostazioni, nella barra dei menu selezionare Salva.

Screenshot that shows the secure transfer storage setting in the Azure portal.

Abilitare la crittografia degli oggetti binari di grandi dimensioni (BLOB) - Livello 1

Archiviazione BLOB di Azure è la soluzione di archiviazione di oggetti Microsoft per il cloud. L'archiviazione BLOB è ottimizzata per archiviare enormi quantità di dati non strutturati. I dati non strutturati sono dati che non aderiscono a uno specifico modello di dati o a una specifica definizione. Sono esempi di dati non strutturati il testo e i dati binari. La crittografia del servizio di archiviazione protegge i dati inattivi. Archiviazione di Azure crittografa i dati mentre ne viene eseguita la scrittura nei data center e li decrittografa automaticamente quando vi si accede.

  1. Accedi al portale di Azure. Cercare e selezionare Account di archiviazione.

  2. Nel riquadro Account di archiviazione selezionare un account di archiviazione.

  3. Nel menu a sinistra, in Sicurezza e rete selezionare Crittografia.

  4. Nel riquadro Crittografia notare che la crittografia di Archiviazione di Azure è abilitata per tutti gli account di archiviazione nuovi ed esistenti e non può essere disabilitata.

Screenshot that shows secure storage encryption is automatically enabled.

Rigenerare periodicamente le chiavi di accesso - Livello 1

Quando si crea un account di archiviazione in Azure, Azure genera due chiavi di accesso alle risorse di archiviazione a 512 bit. Queste chiavi vengono usate per l'autenticazione al momento dell'accesso all'account di archiviazione. La rotazione periodica di queste chiavi garantisce che un eventuale accesso o esposizione accidentale a tali chiavi sia limitato nel tempo. Seguire questa procedura per ogni account di archiviazione nella sottoscrizione di Azure.

  1. Accedi al portale di Azure. Cercare e selezionare Account di archiviazione.

  2. Nel riquadro Account di archiviazione selezionare un account di archiviazione.

  3. Nel menu a sinistra selezionare Log attività.

  4. Nell'elenco a discesa Intervallo di tempo in Log attività selezionare Personalizzato. Selezionare Ora di inizio e Ora di fine per creare un intervallo di 90 giorni o meno.

  5. Selezionare Applica.

    Screenshot that shows the storage account timespan setting.

    Se non si usa Azure Key Vault con la rotazione delle chiavi, per rigenerare le chiavi di accesso alle risorse di archiviazione per un account di archiviazione specifico, eseguire il comando seguente usando le informazioni per la sottoscrizione:

    POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{accountName}/regenerateKey?api-version=2019-04-01

  6. Se si modificano impostazioni, nella barra dei menu selezionare Salva.

Richiedere che i token di firma di accesso condiviso scadano entro un'ora - Livello 1

Una firma di accesso condiviso è un URI che concede diritti di accesso limitati alle risorse di Archiviazione di Azure. È possibile fornire una firma di accesso condiviso ai client da non considerare attendibili con la chiave dell'account di archiviazione, ma ai quali si vuole delegare l'accesso a determinate risorse dell'account di archiviazione. Distribuendo un URI di firma di accesso condiviso a tali client, è possibile concedere loro l'accesso a una risorsa per un periodo di tempo specificato, con un set di autorizzazioni specificato.

Nota

Per le raccomandazioni in CIS Microsoft Azure Foundations Security Benchmark v. 1.3.0, non è possibile verificare automaticamente la scadenza del token di firma di accesso condiviso. La raccomandazione richiede la verifica manuale.

Richiedere che i token di firma di accesso condiviso vengano condivisi solo tramite HTTPS - Livello 1

I token di firma di accesso condiviso devono essere consentiti solo tramite il protocollo HTTPS. Seguire questa procedura per ogni account di archiviazione nella sottoscrizione di Azure.

  1. Accedi al portale di Azure. Cercare e selezionare Account di archiviazione.

  2. Nel riquadro Account di archiviazione selezionare un account di archiviazione.

  3. Nel menu, in Sicurezza + rete selezionare Firma di accesso condiviso.

  4. Nel riquadro Firma di accesso condiviso, in Data/ora di inizio e scadenza impostare le date e gli orari di Inizio e Fine.

  5. In Protocolli consentiti selezionare Solo HTTPS.

  6. Se si modificano le impostazioni, nella barra dei menu selezionare Genera firma di accesso condiviso e stringa di connessione.

Screenshot of a shared access signature in a storage account settings and H T T P S only protocol allowed.

Configurare le funzionalità di firma di accesso condiviso nelle sezioni successive.

Abilitare la crittografia di File di Azure - Livello 1

Crittografia dischi di Azure crittografa i dischi del sistema operativo e i dischi dati nelle macchine virtuali IaaS. La crittografia lato client e la crittografia lato server vengono entrambe usate per crittografare i dati in Archiviazione di Azure. Seguire questa procedura per ogni account di archiviazione nella sottoscrizione di Azure.

  1. Accedi al portale di Azure. Cercare e selezionare Account di archiviazione.

  2. Nel riquadro Account di archiviazione selezionare un account di archiviazione.

  3. Nel menu a sinistra, in Sicurezza e rete selezionare Crittografia.

  4. Nel riquadro Crittografia notare che la crittografia di Archiviazione di Azure è abilitata per tutte le risorse di archiviazione BLOB e file nuove ed esistenti e non può essere disabilitata.

Screenshot that shows encryption is automatically enabled for all blobs and files in storage accounts.

Richiedere solo l'accesso privato ai contenitori BLOB - Livello 1

È possibile abilitare l'accesso in lettura pubblico e anonimo a un contenitore e ai relativi BLOB in Archiviazione BLOB di Azure. Attivando l'accesso in lettura pubblico anonimo è possibile concedere l'accesso in sola lettura a queste risorse senza condividere la chiave dell'account e senza richiedere una firma di accesso condiviso. Per impostazione predefinita, un contenitore e i BLOB al suo interno sono accessibili solo a un utente a cui sono state concesse le autorizzazioni appropriate. Per assegnare a utenti anonimi l'accesso in lettura a un contenitore e ai relativi BLOB, è possibile impostare il livello di accesso del contenitore su pubblico.

Tuttavia, se si concede l'accesso pubblico a un contenitore, gli utenti anonimi possono leggere i BLOB presenti in un contenitore accessibile pubblicamente senza che la richiesta venga autorizzata. La raccomandazione per la sicurezza prevede invece di impostare l'accesso ai contenitori di archiviazione su privato. Seguire questa procedura per ogni account di archiviazione nella sottoscrizione di Azure.

  1. Accedi al portale di Azure. Cercare e selezionare Account di archiviazione.

  2. Nel riquadro Account di archiviazione selezionare un account di archiviazione.

  3. Nel menu a sinistra, in Archiviazione dati, selezionare Contenitori.

  4. Nel riquadro Contenitori assicurarsi che l'opzione Livello di accesso pubblico sia impostato su Privato.

  5. Se si modificano impostazioni, nella barra dei menu selezionare Salva.

Screenshot that shows a storage container with access level set to private.