Aanbevelingen voor beveiliging voor Blob Storage
Dit artikel bevat beveiligingsaan aanbevelingen voor Blob Storage. Door deze aanbevelingen te implementeren, kunt u voldoen aan uw beveiligingsverplichtingen, zoals beschreven in ons model voor gedeelde verantwoordelijkheid. Zie Gedeelde verantwoordelijkheid in de cloud voor meer informatie over hoe Microsoft voldoet aan de verantwoordelijkheden van serviceproviders.
Sommige van de aanbevelingen in dit artikel kunnen automatisch worden bewaakt door Microsoft Defender voor Cloud. Dit is de eerste verdedigingslinie bij het beveiligen van uw resources in Azure. Zie Wat is Microsoft Defender voor Cloud voor meer informatie over Microsoft Defender voor Cloud?
Microsoft Defender voor Cloud analyseert periodiek de beveiligingsstatus van uw Azure-resources om potentiële beveiligingsproblemen te identificeren. Vervolgens krijgt u aanbevelingen over hoe u deze kunt aanpakken. Zie Uw aanbevelingen voor beveiliging controleren voor meer informatie over Microsoft Defender voor Cloud aanbevelingen.
Gegevensbescherming
| Aanbeveling | Opmerkingen | Defender voor Cloud |
|---|---|---|
| Het Azure Resource Manager-implementatiemodel gebruiken | Maak nieuwe opslagaccounts met behulp van het Azure Resource Manager-implementatiemodel voor belangrijke beveiligingsverbeteringen, waaronder superieure op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) en controle, implementatie en governance op basis van Resource Manager, toegang tot beheerde identiteiten, toegang tot Azure Key Vault voor geheimen en Microsoft Entra-verificatie en -autorisatie voor toegang tot Azure Storage-gegevens en -resources. Migreer indien mogelijk bestaande opslagaccounts die gebruikmaken van het klassieke implementatiemodel om Azure Resource Manager te gebruiken. Zie het overzicht van Azure Resource Manager voor meer informatie over Azure Resource Manager. | - |
| Microsoft Defender inschakelen voor al uw opslagaccounts | Microsoft Defender voor Storage biedt een extra beveiligingslaag die ongebruikelijke en mogelijk schadelijke pogingen detecteert om toegang te krijgen tot of misbruik te maken van opslagaccounts. Beveiligingswaarschuwingen worden geactiveerd in Microsoft Defender voor Cloud wanneer afwijkingen in activiteit optreden en ook worden verzonden via e-mail naar abonnementsbeheerders, met details van verdachte activiteiten en aanbevelingen voor het onderzoeken en oplossen van bedreigingen. Zie Microsoft Defender voor Opslag configureren voor meer informatie. | Ja |
| Voorlopig verwijderen instellen voor blobs | Met voorlopig verwijderen voor blobs kunt u blobgegevens herstellen nadat deze zijn verwijderd. Zie Voorlopig verwijderen voor Azure Storage-blobs voor meer informatie over voorlopig verwijderen voor blobs. | - |
| Voorlopig verwijderen inschakelen voor containers | Met voorlopig verwijderen voor containers kunt u een container herstellen nadat deze is verwijderd. Zie Voorlopig verwijderen voor containers voor meer informatie over voorlopig verwijderen voor containers. | - |
| Opslagaccount vergrendelen om onbedoelde of schadelijke verwijdering of configuratiewijzigingen te voorkomen | Pas een Azure Resource Manager-vergrendeling toe op uw opslagaccount om het account te beschermen tegen onbedoelde of schadelijke verwijdering of configuratiewijziging. Als u een opslagaccount vergrendelt, wordt niet voorkomen dat gegevens in dat account worden verwijderd. Hiermee voorkomt u alleen dat het account zelf wordt verwijderd. Zie Een Azure Resource Manager-vergrendeling toepassen op een opslagaccount voor meer informatie. | |
| Bedrijfskritieke gegevens opslaan in onveranderbare blobs | Configureer juridische bewaringen en bewaarbeleid op basis van tijd voor het opslaan van blobgegevens in een WORM-status (Write Once, Read Many). Blobs die onveranderlijk zijn opgeslagen, kunnen worden gelezen, maar kunnen niet worden gewijzigd of verwijderd voor de duur van het bewaarinterval. Zie Bedrijfskritieke blobgegevens opslaan met onveranderbare opslag voor meer informatie. | - |
| Veilige overdracht (HTTPS) naar het opslagaccount vereisen | Wanneer u beveiligde overdracht voor een opslagaccount nodig hebt, moeten alle aanvragen naar het opslagaccount worden gedaan via HTTPS. Alle aanvragen die via HTTP worden gedaan, worden geweigerd. Microsoft raadt u aan altijd veilige overdracht voor al uw opslagaccounts te vereisen. Zie Veilige overdracht vereisen om beveiligde verbindingen te garanderen voor meer informatie. | - |
| Alleen SAS-tokens (Shared Access Signature) beperken tot HTTPS-verbindingen | Https vereisen wanneer een client een SAS-token gebruikt om toegang te krijgen tot blobgegevens, helpt het risico op afluisteren tot een minimum te beperken. Zie Beperkte toegang verlenen tot Azure Storage-resources met sas (Shared Access Signatures) voor meer informatie. | - |
| Replicatie van meerdere tenantobjecten niet weigeren | Een geautoriseerde gebruiker mag standaard een beleid voor objectreplicatie configureren waarbij het bronaccount zich in één Microsoft Entra-tenant bevindt en het doelaccount zich in een andere tenant bevindt. Sta replicatie van meerdere tenantobjecten niet toe om te vereisen dat de bron- en doelaccounts die deelnemen aan een objectreplicatiebeleid zich in dezelfde tenant bevinden. Zie Objectreplicatie voorkomen in Microsoft Entra-tenants voor meer informatie. | - |
Identiteits- en toegangsbeheer
| Aanbeveling | Opmerkingen | Defender voor Cloud |
|---|---|---|
| Microsoft Entra-id gebruiken om toegang tot blobgegevens te autoriseren | Microsoft Entra ID biedt superieure beveiliging en gebruiksgemak ten opzichte van gedeelde sleutels voor het autoriseren van aanvragen voor Blob Storage. Zie Toegang tot gegevens in Azure Storage autoriseren voor meer informatie. | - |
| Houd rekening met het principe van minimale bevoegdheden bij het toewijzen van machtigingen aan een Microsoft Entra-beveiligingsprincipaal via Azure RBAC | Wanneer u een rol toewijst aan een gebruiker, groep of toepassing, verleent u die beveiligingsprincipaal alleen machtigingen die nodig zijn om hun taken uit te voeren. Door de toegang tot resources te beperken, voorkomt u onbedoelde en kwaadwillende misbruik van uw gegevens. | - |
| Een SAS voor gebruikersdelegatie gebruiken om beperkte toegang te verlenen tot blobgegevens aan clients | Een SAS voor gebruikersdelegering wordt beveiligd met Microsoft Entra-referenties en ook met de machtigingen die zijn opgegeven voor de SAS. Een SAS voor gebruikersdelegatie is vergelijkbaar met een service-SAS in termen van het bereik en de functie, maar biedt beveiligingsvoordelen ten opzichte van de service-SAS. Zie Beperkte toegang verlenen tot Azure Storage-resources met sas (Shared Access Signatures) voor meer informatie. | - |
| Uw accounttoegangssleutels beveiligen met Azure Key Vault | Microsoft raadt het gebruik van Microsoft Entra-id aan om aanvragen voor Azure Storage te autoriseren. Als u echter autorisatie voor gedeelde sleutels moet gebruiken, moet u uw accountsleutels beveiligen met Azure Key Vault. U kunt de sleutels tijdens runtime ophalen uit de sleutelkluis in plaats van ze op te slaan met uw toepassing. Zie het overzicht van Azure Key Vault voor meer informatie over Azure Key Vault. | - |
| Uw accountsleutels periodiek opnieuw genereren | Als u de accountsleutels regelmatig roteert, vermindert u het risico dat uw gegevens worden blootgesteld aan kwaadwillende actoren. | - |
| Autorisatie van gedeelde sleutels niet weigeren | Wanneer u autorisatie van gedeelde sleutels voor een opslagaccount niet toekent, worden alle volgende aanvragen voor dat account geweigerd die zijn geautoriseerd met de toegangssleutels van het account. Alleen beveiligde aanvragen die zijn geautoriseerd met Microsoft Entra-id, slagen. Zie Autorisatie van gedeelde sleutels voorkomen voor een Azure Storage-account voor meer informatie. | - |
| Houd rekening met het principe van minimale bevoegdheden bij het toewijzen van machtigingen aan een SAS | Wanneer u een SAS maakt, geeft u alleen de machtigingen op die de client nodig heeft om de functie uit te voeren. Door de toegang tot resources te beperken, voorkomt u onbedoelde en kwaadwillende misbruik van uw gegevens. | - |
| Een intrekkingsplan hebben voor elke SAS die u aan clients uitvraagt | Als een SAS is aangetast, wilt u die SAS zo snel mogelijk intrekken. Als u een SAS voor gebruikersdelegering wilt intrekken, trekt u de gebruikersdelegeringssleutel in om alle handtekeningen die aan die sleutel zijn gekoppeld, snel ongeldig te maken. Als u een service-SAS wilt intrekken die is gekoppeld aan een opgeslagen toegangsbeleid, kunt u het opgeslagen toegangsbeleid verwijderen, de naam van het beleid wijzigen of de verlooptijd ervan wijzigen in een tijd die zich in het verleden bevindt. Zie Beperkte toegang verlenen tot Azure Storage-resources met sas (Shared Access Signatures) voor meer informatie. | - |
| Als een service-SAS niet is gekoppeld aan een opgeslagen toegangsbeleid, stelt u de verlooptijd in op één uur of minder | Een service-SAS die niet is gekoppeld aan een opgeslagen toegangsbeleid, kan niet worden ingetrokken. Daarom wordt het beperken van de verlooptijd zo beperkt dat de SAS een uur of minder geldig is. | - |
| Anonieme leestoegang tot containers en blobs uitschakelen | anonieme leestoegang tot een container en de bijbehorende blobs verlenen alleen-lezentoegang tot deze resources aan elke client. Vermijd het inschakelen van anonieme leestoegang, tenzij dit in uw scenario is vereist. Zie Overzicht: Anonieme leestoegang voor blobgegevens herstellen voor informatie over het uitschakelen van anonieme toegang voor een opslagaccount. | - |
Netwerken
| Aanbeveling | Opmerkingen | Defender voor Cloud |
|---|---|---|
| Configureer de minimaal vereiste versie van Tls (Transport Layer Security) voor een opslagaccount. | Vereisen dat clients een veiligere versie van TLS gebruiken om aanvragen te doen voor een Azure Storage-account door de minimale versie van TLS voor dat account te configureren. Zie Minimale vereiste versie van Tls (Transport Layer Security) configureren voor een opslagaccount voor meer informatie | - |
| Schakel de optie Veilige overdracht in voor al uw opslagaccounts | Wanneer u de optie Veilige overdracht vereist inschakelt, moeten alle aanvragen voor het opslagaccount plaatsvinden via beveiligde verbindingen. Alle aanvragen die via HTTP worden gedaan, mislukken. Zie Veilige overdracht in Azure Storage vereisen voor meer informatie. | Ja |
| Firewallregels inschakelen | Configureer firewallregels om de toegang tot uw opslagaccount te beperken tot aanvragen die afkomstig zijn van opgegeven IP-adressen of bereiken, of uit een lijst met subnetten in een Virtueel Azure-netwerk (VNet). Zie Azure Storage-firewalls en virtuele netwerken configureren voor meer informatie over het configureren van firewallregels. | - |
| Vertrouwde Microsoft-services toegang geven tot het opslagaccount | Als u firewallregels voor uw opslagaccount inschakelt, worden binnenkomende aanvragen voor gegevens standaard geblokkeerd, tenzij de aanvragen afkomstig zijn van een service die binnen een Virtueel Azure-netwerk (VNet) of vanuit toegestane openbare IP-adressen werkt. Aanvragen die worden geblokkeerd, zijn die van andere Azure-services, van Azure Portal, van logboekregistratie en metrische gegevens, enzovoort. U kunt aanvragen van andere Azure-services toestaan door een uitzondering toe te voegen om vertrouwde Microsoft-services toegang te geven tot het opslagaccount. Zie Azure Storage-firewalls en virtuele netwerken configureren voor meer informatie over het toevoegen van een uitzondering voor vertrouwde Microsoft-services. | - |
| Privé-eindpunten gebruiken | Een privé-eindpunt wijst een privé-IP-adres van uw Azure Virtual Network (VNet) toe aan het opslagaccount. Hiermee wordt al het verkeer tussen uw VNet en het opslagaccount beveiligd via een privékoppeling. Zie Verbinding maken privé naar een opslagaccount met behulp van een privé-eindpunt van Azure voor meer informatie over privé-eindpunten. | - |
| VNet-servicetags gebruiken | Een servicetag vertegenwoordigt een groep IP-adresvoorvoegsels van een bepaalde Azure-service. Microsoft beheert de adresvoorvoegsels die worden omvat door de servicetag en werkt de servicetag automatisch bij wanneer adressen worden gewijzigd. Zie het overzicht van Azure-servicetags voor meer informatie over servicetags die worden ondersteund door Azure Storage. Zie Toegang tot PaaS-resources beperken voor een zelfstudie die laat zien hoe u servicetags gebruikt om uitgaande netwerkregels te maken. | - |
| Netwerktoegang tot specifieke netwerken beperken | Het beperken van netwerktoegang tot netwerken die clients hosten die toegang vereisen, vermindert de blootstelling van uw resources aan netwerkaanvallen. | Ja |
| Netwerkrouternigsvoorkeur configureren | U kunt de voorkeur voor netwerkroutering configureren voor uw Azure-opslagaccount om op te geven hoe netwerkverkeer via internet naar uw account wordt gerouteerd vanaf clients via internet met behulp van het globale Microsoft-netwerk of internetroutering. Zie Netwerkrouteringsvoorkeur configureren voor Azure Storage voor meer informatie. | - |
Logboekregistratie/bewaking
| Aanbeveling | Opmerkingen | Defender voor Cloud |
|---|---|---|
| Bijhouden hoe aanvragen worden geautoriseerd | Schakel logboekregistratie in voor Azure Storage om bij te houden hoe aanvragen voor de service worden geautoriseerd. De logboeken geven aan of een aanvraag anoniem is gedaan met behulp van een OAuth 2.0-token, met behulp van gedeelde sleutel of met behulp van een SHARED Access Signature (SAS). Zie Bewaking van Azure Blob Storage met Azure Monitor - of Azure Storage-analyselogboekregistratie met klassieke bewaking voor meer informatie. | - |
| Waarschuwingen instellen in Azure Monitor | Configureer logboekwaarschuwingen om resourceslogboeken met een ingestelde frequentie te evalueren en een waarschuwing te activeren op basis van de resultaten. Zie Logboekwaarschuwingen in Azure Monitor voor meer informatie. | - |
Volgende stappen
- Documentatie voor Azure-beveiliging
- Documentatie voor veilige ontwikkeling.