Beveiligingsaanbevelingen voor Blob Storage

  • Artikel
  • 9 minuten om te lezen

Dit artikel bevat beveiligingsaanbevelingen voor Blob Storage. Door deze aanbevelingen te implementeren, kunt u voldoen aan uw beveiligingsverplichtingen, zoals beschreven in ons model voor gedeelde verantwoordelijkheid. Zie Gedeelde verantwoordelijkheid in de cloud voor meer informatie over hoe Microsoft voldoet aan de verantwoordelijkheden van de serviceprovider.

Sommige van de aanbevelingen in dit artikel kunnen automatisch worden bewaakt door Microsoft Defender for Cloud. Dit is de eerste verdedigingslinie voor het beveiligen van uw resources in Azure. Zie Wat is Microsoft Defender for Cloud? voor meer informatie over Microsoft Defender for Cloud.

Microsoft Defender for Cloud analyseert periodiek de beveiligingstoestand van uw Azure-resources om mogelijke beveiligingsproblemen te identificeren. Vervolgens krijgt u aanbevelingen voor het aanpakken ervan. Zie Beveiligingsaanbevelingen in Microsoft Defender for Cloud voor meer informatie over aanbevelingen voor Microsoft Defender for Cloud.

Gegevensbeveiliging

Aanbeveling Opmerkingen Defender for Cloud
Het implementatiemodel Azure Resource Manager gebruiken Maak nieuwe opslagaccounts met behulp van het Azure Resource Manager-implementatiemodel voor belangrijke beveiligingsverbeteringen, waaronder op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) en controle, implementatie en governance op basis van Resource Manager, toegang tot beheerde identiteiten, toegang tot Azure Key Vault voor geheimen en verificatie en autorisatie op basis van Azure AD voor toegang tot Azure Storage-gegevens en -resources. Migreert indien mogelijk bestaande opslagaccounts die gebruikmaken van het klassieke implementatiemodel voor het gebruik van Azure Resource Manager. Zie overzicht van Azure Resource Manager voor Azure Resource Manager Azure Resource Manager informatie. -
Microsoft Defender inschakelen voor al uw opslagaccounts Microsoft Defender voor Storage biedt een extra beveiligingslaag die ongebruikelijke en mogelijk schadelijke pogingen detecteert om toegang te krijgen tot of misbruik te maken van opslagaccounts. Beveiligingswaarschuwingen worden geactiveerd in Microsoft Defender for Cloud wanneer er afwijkingen in de activiteit optreden en worden ook via e-mail verzonden naar abonnementsbeheerders, met details van verdachte activiteiten en aanbevelingen voor het onderzoeken en verhelpen van bedreigingen. Zie Configure Microsoft Defender for Storage (Microsoft Defender configureren voor meer Storage. Ja
Voorlopig verwijderen instellen voor blobs Met de functie Voor het verwijderen van blobs kunt u blobgegevens herstellen nadat deze zijn verwijderd. Zie Soft delete for Azure Storage blobs (Zacht verwijderen voor blobs) Azure Storage informatie over het verwijderen van blobs. -
Zacht verwijderen voor containers in- Met een functie voor het verwijderen van containers kunt u een container herstellen nadat deze is verwijderd. Zie Voor meer informatie over het soft deleten van containers Soft Delete voor containers. -
Opslagaccount vergrendelen om onbedoelde of schadelijke verwijdering of configuratiewijzigingen te voorkomen Pas een Azure Resource Manager op uw opslagaccount om het account te beschermen tegen onbedoelde of schadelijke verwijdering of configuratiewijziging. Het vergrendelen van een opslagaccount voorkomt niet dat gegevens in dat account worden verwijderd. Hiermee wordt alleen voorkomen dat het account zelf wordt verwijderd. Zie Apply an Azure Resource Manager lock to a storage account (Een vergrendeling van een Azure Resource Manager toepassen op een opslagaccount) voor meer informatie.
Bedrijfskritieke gegevens opslaan in onveranderbare blobs Configureer juridische bewaring en retentiebeleid op basis van tijd om blobgegevens op te slaan in een WORM-status (Eenmaal schrijven, Veel lezen). Blobs die onveranderbaar zijn opgeslagen, kunnen onveranderbaar worden gelezen, maar kunnen niet worden gewijzigd of verwijderd voor de duur van het retentie-interval. Zie Bedrijfskritieke blobgegevens opslaan met onveranderbare opslag voor meer informatie. -
Veilige overdracht (HTTPS) naar het opslagaccount vereisen Wanneer u veilige overdracht voor een opslagaccount nodig hebt, moeten alle aanvragen naar het opslagaccount worden gedaan via HTTPS. Alle aanvragen die via HTTP worden gedaan, worden geweigerd. Microsoft raadt u aan altijd veilige overdracht te vereisen voor al uw opslagaccounts. Zie Veilige overdracht vereisen om beveiligde verbindingen te garanderen voor meer informatie. -
Sas-tokens (Shared Access Signature) beperken tot alleen HTTPS-verbindingen Door HTTPS te vereisen wanneer een client een SAS-token gebruikt voor toegang tot blobgegevens, wordt het risico op meeluisteren geminimaliseerd. Zie Beperkte toegang verlenen tot uw resources Azure Storage sas (Shared Access Signatures)voor meer informatie. -

Identiteits- en toegangsbeheer

Aanbeveling Opmerkingen Defender for Cloud
Gebruik Azure Active Directory (Azure AD) voor toegang tot blobgegevens Azure AD biedt betere beveiliging en gebruiksgemak dan gedeelde sleutels voor het autoriseren van aanvragen voor Blob Storage. Zie Toegang tot gegevens machtigen in Azure Storage voor meer Azure Storage. -
Houd rekening met de principal met de minste bevoegdheden bij het toewijzen van machtigingen aan een Azure AD-beveiligingsprincipaal via Azure RBAC Wanneer u een rol toewijst aan een gebruiker, groep of toepassing, verleent u die beveiligingsprincipaal alleen de machtigingen die nodig zijn om hun taken uit te voeren. Door de toegang tot resources te beperken, voorkomt u onbedoeld en kwaadwillend misbruik van uw gegevens. -
Een SAS voor gebruikersdelegatie gebruiken om beperkte toegang tot blobgegevens te verlenen aan clients Een SAS voor gebruikersdelegatie wordt beveiligd met Azure Active Directory referenties (Azure AD) en ook door de machtigingen die zijn opgegeven voor de SAS. Een SAS voor gebruikersdelegatie is vergelijkbaar met een service-SAS wat betreft het bereik en de functie, maar biedt beveiligingsvoordelen ten opzichte van de service-SAS. Zie Beperkte toegang verlenen tot uw resources Azure Storage sas (Shared Access Signatures)voor meer informatie. -
Uw accounttoegangssleutels beveiligen met Azure Key Vault Microsoft raadt u aan Azure AD te gebruiken om aanvragen voor Azure Storage. Als u echter gedeelde sleutelautorisatie moet gebruiken, beveiligt u uw accountsleutels met Azure Key Vault. U kunt de sleutels tijdens runtime ophalen uit de sleutelkluis, in plaats van ze op te slaan met uw toepassing. Zie overzicht van Azure Key Vault voor Azure Key Vault informatie over de gegevens. -
Uw accountsleutels periodiek opnieuw maken Door de accountsleutels periodiek te roteren, vermindert u het risico dat uw gegevens beschikbaar worden voor kwaadwillende actoren. -
Autorisatie met gedeelde sleutel niet verlenen Wanneer u gedeelde sleutelautorisatie voor een opslagaccount weigert, Azure Storage alle volgende aanvragen voor dat account die zijn geautoriseerd met de toegangssleutels voor het account, afgewezen. Alleen beveiligde aanvragen die zijn geautoriseerd met Azure AD slagen. Zie Autorisatie van gedeelde sleutels voorkomen voor een Azure Storage-account voor meer informatie. -
Houd rekening met de principal met de minste bevoegdheden bij het toewijzen van machtigingen aan een SAS Geef bij het maken van een SAS alleen de machtigingen op die de client nodig heeft om de functie uit te voeren. Door de toegang tot resources te beperken, voorkomt u onbedoeld en kwaadwillend misbruik van uw gegevens. -
Een intrekkingsplan hebben voor elke SAS die u aan clients uitbetaalt Als een SAS is gecompromitteerd, moet u deze SAS zo snel mogelijk intrekken. Als u een SAS voor gebruikersdelegatie wilt intrekken, trekt u de sleutel voor gebruikersdelegatie in om snel alle handtekeningen die aan die sleutel zijn gekoppeld ongeldig te maken. Als u een service-SAS wilt intrekken die is gekoppeld aan een opgeslagen toegangsbeleid, kunt u het opgeslagen toegangsbeleid verwijderen, de naam van het beleid wijzigen of de verlooptijd wijzigen in een tijd die in het verleden ligt. Zie Beperkte toegang verlenen tot uw resources Azure Storage sas (Shared Access Signatures)voor meer informatie. -
Als een service-SAS niet is gekoppeld aan een opgeslagen toegangsbeleid, stelt u de verlooptijd in op een uur of minder Een service-SAS die niet is gekoppeld aan een opgeslagen toegangsbeleid, kan niet worden ingetrokken. Daarom wordt aanbevolen de verlooptijd te beperken zodat de SAS één uur of minder geldig is. -
Anonieme openbare leestoegang tot containers en blobs uitschakelen Anonieme openbare leestoegang tot een container en de blobs verlenen elke client alleen-lezentoegang tot deze resources. Voorkom dat openbare leestoegang wordt inschakelen, tenzij dit voor uw scenario vereist is. Zie Anonieme openbare leestoegang voor containers en blobs configureren voor meer informatie over het uitschakelen van anonieme openbare toegang voor een opslagaccount. -

Netwerken

Aanbeveling Opmerkingen Defender for Cloud
Configureer de minimaal vereiste versie van Transport Layer Security (TLS) voor een opslagaccount. Vereisen dat clients een veiligere versie van TLS gebruiken om aanvragen te doen voor een Azure Storage-account door de minimale versie van TLS voor dat account te configureren. Zie Minimaal vereiste versie van een Transport Layer Security (TLS) configureren voor een opslagaccount voor meer informatie -
Schakel de optie Veilige overdracht vereist in voor al uw opslagaccounts Wanneer u de optie Veilige overdracht vereist inschakelen, moeten alle aanvragen voor het opslagaccount plaatsvinden via beveiligde verbindingen. Alle aanvragen die via HTTP worden gedaan, mislukken. Zie Require secure transfer in Azure Storage (Veilige overdracht vereisen in Azure Storage) voor meer informatie. Ja
Firewallregels inschakelen Configureer firewallregels om de toegang tot uw opslagaccount te beperken tot aanvragen die afkomstig zijn van opgegeven IP-adressen of -bereiken, of van een lijst met subnetten in een Azure Virtual Network (VNet). Zie Configure Azure Storage firewalls and virtual networks (Firewalls en virtuele netwerken configureren) voor meer informatie over het configureren van firewallregels. -
Vertrouwde gebruikers Microsoft-services toegang tot het opslagaccount toestaan Door firewallregels in te stellen voor uw opslagaccount worden binnenkomende aanvragen voor gegevens standaard geblokkeerd, tenzij de aanvragen afkomstig zijn van een service die binnen een Azure Virtual Network (VNet) of van toegestane openbare IP-adressen werkt. Aanvragen die worden geblokkeerd, zijn onder andere aanvragen van andere Azure-services, Azure Portal, logboekregistratie en services voor metrische gegevens, en meer. U kunt aanvragen van andere Azure-services toestaan door een uitzondering toe te voegen om vertrouwde gebruikers Microsoft-services toegang te geven tot het opslagaccount. Zie Configure Azure Storage firewalls and virtual networks (Firewallsen virtuele netwerken configureren) voor meer Microsoft-services het toevoegen van een uitzondering voor vertrouwde netwerken. -
Privé-eindpunten gebruiken Een privé-eindpunt wijst een privé-IP-adres van uw Azure Virtual Network (VNet) toe aan het opslagaccount. Het beveiligt al het verkeer tussen uw VNet en het opslagaccount via een private link. Voor meer informatie over privé-eindpunten, zie Verbinding maken privé aan een opslagaccount toevoegen met behulp van azure-privé-eindpunt. -
VNet-servicetags gebruiken Een servicetag vertegenwoordigt een groep IP-adres voorvoegsels van een bepaalde Azure-service. Microsoft beheert de adres-voorvoegsels die door de servicetag worden omvat en werkt de servicetag automatisch bij wanneer adressen worden gewijzigd. Zie Overzicht van Azure Azure Storage servicetags voor meer informatie over servicetags die worden ondersteund door Azure Storage. Zie Toegang tot PaaS-resourcesbeperken voor een zelfstudie die laat zien hoe u servicetags gebruikt om uitgaande netwerkregels te maken. -
Netwerktoegang tot specifieke netwerken beperken Het beperken van de netwerktoegang tot netwerken die clients hosten waarvoor toegang is vereist, vermindert de blootstelling van uw resources aan netwerkaanvallen. Ja
Netwerkrouternigsvoorkeur configureren U kunt de voorkeur voor netwerkroutering voor uw Azure-opslagaccount configureren om op te geven hoe netwerkverkeer wordt gerouteerd naar uw account van clients via internet met behulp van het wereldwijde netwerk van Microsoft of internetroutering. Zie Configure network routing preference for Azure Storage (Netwerkrouteringsvoorkeur configureren voor Azure Storage). -

Logboekregistratie/bewaking

Aanbeveling Opmerkingen Defender for Cloud
Bijhouden hoe aanvragen worden geautoriseerd Schakel Azure Storage logboekregistratie in om bij te houden hoe elke aanvraag op Azure Storage is geautoriseerd. De logboeken geven aan of een aanvraag anoniem is ingediend, met behulp van een OAuth 2.0-token, met behulp van een gedeelde sleutel of met behulp van een Shared Access Signature (SAS). Zie Monitoring Azure Blob Storage with Azure Monitor or Azure Storage analytics logging with Classic Monitoring (Azure Blob-gegevens bewaken met Azure Monitor of Azure Storage analytics-logboekregistratie met klassieke bewaking) voor meer informatie. -
Waarschuwingen instellen in Azure Monitor Configureer logboekwaarschuwingen om resourceslogboeken te evalueren met een setfrequentie en een waarschuwing te sturen op basis van de resultaten. Zie Logboekwaarschuwingen inAzure Monitor. -

Volgende stappen