Een basislijn voor een Azure-opslagaccount maken
Een Azure Storage-account biedt een unieke naamruimte waar u uw Azure Storage-gegevensobjecten kunt opslaan en openen.
Aanbevelingen voor beveiliging van Azure Storage-accounts
In de volgende secties worden de aanbevelingen van Azure Storage beschreven die zich in CIS Microsoft Azure Foundations Security Benchmark v. 1.3.0 bevinden. Inbegrepen bij elke aanbeveling zijn de basisstappen die u in Azure Portal moet uitvoeren. Voer deze stappen uit voor uw eigen abonnement en gebruik uw eigen resources om elke beveiligingsaanaanveling te valideren. Houd er rekening mee dat opties op Niveau 2 mogelijk beperkingen tot gevolg kunnen hebben voor bepaalde functies of activiteiten. Het is dan ook belangrijk dat u zorgvuldig te werk gaat bij het bepalen van de beveiligingsopties die u wilt afdwingen.
Beveiligde overdrachten vereisen - Niveau 1
Een stap die u moet nemen om de beveiliging van uw Azure Storage-gegevens te waarborgen, is het versleutelen van de gegevens tussen de client en Azure Storage. De eerste aanbeveling is om altijd het HTTPS-protocol te gebruiken. Het gebruik van HTTPS zorgt voor veilige communicatie via het openbare internet. Als u het gebruik van HTTPS wilt afdwingen wanneer u REST API's aanroept voor toegang tot objecten in opslagaccounts, schakelt u de optie Veilige overdracht in voor het opslagaccount. Nadat u dit besturingselement hebt ingeschakeld, worden verbindingen die gebruikmaken van HTTP geweigerd. Voer de volgende stappen uit voor elk opslagaccount in uw abonnement.
Meld u aan bij de Azure-portal. Zoek en selecteer Opslagaccounts.
Selecteer een opslagaccount in het deelvenster Opslagaccounts .
Selecteer Configuratie onder Instellingen in het linkermenu.
Zorg ervoor dat beveiligde overdracht is ingesteld op Ingeschakeld in het deelvenster Configuratie.
Als u instellingen wijzigt, selecteert u Opslaan in de menubalk.
Versleuteling van blob (binary large object) inschakelen - Niveau 1
Azure Blob Storage is de Oplossing voor Microsoft-objectopslag voor de cloud. Blob Storage is geoptimaliseerd voor het opslaan van enorme hoeveelheden ongestructureerde gegevens. Ongestructureerde gegevens zijn gegevens die niet voldoen aan een specifiek gegevensmodel of -definitie. Voorbeelden van ongestructureerde gegevens zijn tekst en binaire gegevens. Versleuteling door de Storage-service zorgt voor bescherming van data-at-rest. Azure Storage versleutelt uw gegevens terwijl ze worden geschreven in de datacenters en ontsleutelt deze automatisch voor u wanneer u deze opent.
Meld u aan bij de Azure-portal. Zoek en selecteer Opslagaccounts.
Selecteer een opslagaccount in het deelvenster Opslagaccounts .
Selecteer Versleuteling in het linkermenu onder Beveiliging en netwerken.
In het deelvenster Versleuteling ziet u dat Azure Storage-versleuteling is ingeschakeld voor alle nieuwe en bestaande opslagaccounts en dat deze niet kan worden uitgeschakeld.
Regelmatig opnieuw toegangssleutels genereren - Niveau 1
Wanneer u een opslagaccount in Azure maakt, genereert Azure twee 512-bits toegangssleutels voor opslag. Deze sleutels worden gebruikt voor verificatie wanneer het opslagaccount wordt geopend. Als u deze sleutels regelmatig roteert, zorgt u ervoor dat elke onbedoelde toegang tot of blootstelling van deze sleutels wordt beperkt door tijd. Voer de volgende stappen uit voor elk opslagaccount in uw Azure-abonnement.
Meld u aan bij de Azure-portal. Zoek en selecteer Opslagaccounts.
Selecteer een opslagaccount in het deelvenster Opslagaccounts .
Selecteer het activiteitenlogboek in het linkermenu.
Selecteer Aangepast in het activiteitenlogboek in de vervolgkeuzelijst Tijdspan. Selecteer Begintijd en Eindtijd om een bereik van 90 dagen of minder te maken.
Selecteer Toepassen.
Als u Azure Key Vault niet gebruikt met sleutelrotatie, voert u de volgende opdracht uit om toegangssleutels voor opslag voor een specifiek opslagaccount opnieuw te genereren met behulp van de gegevens voor uw abonnement:
POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{accountName}/regenerateKey?api-version=2019-04-01Als u instellingen wijzigt, selecteert u Opslaan in de menubalk.
Vereisen dat handtekeningtokens voor gedeelde toegang binnen een uur verlopen - Niveau 1
Een handtekening voor gedeelde toegang is een URI die beperkte toegangsrechten verleent aan Azure Storage-resources. U kunt een handtekening voor gedeelde toegang opgeven voor clients die niet moeten worden vertrouwd met de sleutel van uw opslagaccount, maar die u toegang tot bepaalde opslagaccountresources wilt delegeren. Door een handtekening voor gedeelde toegang te distribueren aan deze clients, kunt u ze gedurende een bepaalde periode toegang geven tot een resource, met een opgegeven set machtigingen.
Notitie
Voor de aanbevelingen in CIS Microsoft Azure Foundations Security Benchmark v. 1.3.0 kunnen de verlooptijden van het handtekeningtoken voor gedeelde toegang niet automatisch worden geverifieerd. Voor de aanbeveling is handmatige verificatie vereist.
Vereisen dat handtekeningtokens voor gedeelde toegang alleen worden gedeeld via HTTPS - Niveau 1
Handtekeningtokens voor gedeelde toegang mogen alleen worden toegestaan via het HTTPS-protocol. Voer de volgende stappen uit voor elk opslagaccount in uw Azure-abonnement.
Meld u aan bij de Azure-portal. Zoek en selecteer Opslagaccounts.
Selecteer een opslagaccount in het deelvenster Opslagaccounts .
Selecteer Shared Access Signature in het menu onder Beveiliging en netwerken.
Stel in het deelvenster Shared Access Signature onder Begin- en vervaldatum/-tijd de begin- en einddatum en -tijden in.
Selecteer onder Toegestane protocollen alleen HTTPS.
Als u instellingen wijzigt, selecteert u in de menubalk SAS genereren en verbindingsreeks.
Configureer handtekeningfuncties voor gedeelde toegang in de volgende secties.
Versleuteling van Azure-bestanden inschakelen - Niveau 1
Azure Disk Encryption versleutelt het besturingssysteem en de gegevensschijven in IaaS-VM's. Versleuteling aan de clientzijde en versleuteling aan de serverzijde (SSE) worden beide gebruikt voor het versleutelen van gegevens in Azure Storage. Voer de volgende stappen uit voor elk opslagaccount in uw Azure-abonnement.
Meld u aan bij de Azure-portal. Zoek en selecteer Opslagaccounts.
Selecteer een opslagaccount in het deelvenster Opslagaccounts .
Selecteer Versleuteling in het linkermenu onder Beveiliging en netwerken.
In het deelvenster Versleuteling ziet u dat Azure Storage-versleuteling is ingeschakeld voor alle nieuwe en bestaande blobopslag en bestandsopslag en dat deze niet kan worden uitgeschakeld.
Alleen persoonlijke toegang tot blobcontainers vereisen - Niveau 1
U kunt anonieme, openbare leestoegang tot een container en de bijbehorende blobs in Azure Blob Storage inschakelen. Door anonieme, openbare leestoegang in te schakelen, kunt u alleen-lezentoegang verlenen tot deze resources zonder uw accountsleutel te delen en zonder een handtekening voor gedeelde toegang te vereisen. Standaard kunnen een container en blobs in deze container alleen worden geopend door een gebruiker die de juiste machtigingen heeft gekregen. Als u anonieme gebruikers leestoegang wilt verlenen tot een container en de bijbehorende blobs, kunt u het toegangsniveau van de container instellen op openbaar.
Als u echter openbare toegang verleent tot een container, kunnen anonieme gebruikers blobs lezen binnen een openbaar toegankelijke container zonder dat de aanvraag is geautoriseerd. U wordt aangeraden in plaats daarvan toegang tot opslagcontainers in te stellen op privé. Voer de volgende stappen uit voor elk opslagaccount in uw Azure-abonnement.
Meld u aan bij de Azure-portal. Zoek en selecteer Opslagaccounts.
Selecteer een opslagaccount in het deelvenster Opslagaccounts .
Selecteer Containers in het linkermenu onder Gegevensopslag.
Zorg ervoor dat het niveau van openbare toegang is ingesteld op Privé in het deelvenster Containers.
Als u instellingen wijzigt, selecteert u Opslaan in de menubalk.
