Zalecenia dotyczące zabezpieczeń usługi Blob Storage
Ten artykuł zawiera zalecenia dotyczące zabezpieczeń usługi Blob Storage. Wdrożenie tych zaleceń pomoże Ci spełnić twoje zobowiązania dotyczące zabezpieczeń zgodnie z opisem w naszym modelu wspólnej odpowiedzialności. Aby uzyskać więcej informacji na temat sposobu, w jaki firma Microsoft spełnia obowiązki dostawcy usług, zobacz Wspólna odpowiedzialność w chmurze.
Niektóre zalecenia zawarte w tym artykule mogą być automatycznie monitorowane przez Microsoft Defender dla Chmury, co jest pierwszą linią obrony w ochronie zasobów na platformie Azure. Aby uzyskać informacje na temat Microsoft Defender dla Chmury, zobacz Co to jest Microsoft Defender dla Chmury?
Microsoft Defender dla Chmury okresowo analizuje stan zabezpieczeń zasobów platformy Azure, aby zidentyfikować potencjalne luki w zabezpieczeniach. Następnie udostępnia zalecenia dotyczące sposobu ich rozwiązywania. Aby uzyskać więcej informacji na temat zaleceń dotyczących Microsoft Defender dla Chmury, zobacz Przeglądanie zaleceń dotyczących zabezpieczeń.
Ochrona danych
| Zalecenie | Komentarze | Defender dla Chmury |
|---|---|---|
| Korzystanie z modelu wdrażania usługi Azure Resource Manager | Utwórz nowe konta magazynu przy użyciu modelu wdrażania usługi Azure Resource Manager w celu uzyskania ważnych ulepszeń zabezpieczeń, w tym najwyższej kontroli dostępu opartej na rolach platformy Azure (Azure RBAC) i inspekcji, wdrażania i zapewniania ładu opartego na usłudze Resource Manager, dostępu do tożsamości zarządzanych, dostępu do usługi Azure Key Vault dla wpisów tajnych oraz uwierzytelniania i autoryzacji firmy Microsoft w celu uzyskania dostępu do danych i zasobów usługi Azure Storage. Jeśli to możliwe, zmigruj istniejące konta magazynu, które używają klasycznego modelu wdrażania do korzystania z usługi Azure Resource Manager. Aby uzyskać więcej informacji na temat usługi Azure Resource Manager, zobacz Omówienie usługi Azure Resource Manager. | - |
| Włączanie usługi Microsoft Defender dla wszystkich kont magazynu | Usługa Microsoft Defender for Storage udostępnia dodatkową warstwę analizy zabezpieczeń, która wykrywa nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do kont magazynu lub wykorzystania ich. Alerty zabezpieczeń są wyzwalane w Microsoft Defender dla Chmury, gdy wystąpią anomalie w działaniu, a także są wysyłane pocztą e-mail do administratorów subskrypcji, ze szczegółami podejrzanych działań i zaleceń dotyczących sposobu badania i korygowania zagrożeń. Aby uzyskać więcej informacji, zobacz Konfigurowanie usługi Microsoft Defender for Storage. | Tak |
| Włącz opcję usuwania nietrwałego dla obiektów blob | Usuwanie nietrwałe dla obiektów blob umożliwia odzyskanie danych obiektu blob po jego usunięciu. Aby uzyskać więcej informacji na temat usuwania nietrwałego dla obiektów blob, zobacz Usuwanie nietrwałe dla obiektów blob usługi Azure Storage. | - |
| Włączanie usuwania nietrwałego dla kontenerów | Usuwanie nietrwałe dla kontenerów umożliwia odzyskanie kontenera po jego usunięciu. Aby uzyskać więcej informacji na temat usuwania nietrwałego dla kontenerów, zobacz Usuwanie nietrwałe dla kontenerów. | - |
| Zablokuj konto magazynu, aby zapobiec przypadkowemu lub złośliwemu usunięciu lub zmianom konfiguracji | Zastosuj blokadę usługi Azure Resource Manager na koncie magazynu, aby chronić konto przed przypadkowym lub złośliwym usunięciem lub zmianą konfiguracji. Blokowanie konta magazynu nie uniemożliwia usunięcia danych w ramach tego konta. Uniemożliwia to usunięcie samego konta. Aby uzyskać więcej informacji, zobacz Stosowanie blokady usługi Azure Resource Manager do konta magazynu. | |
| Przechowywanie danych krytycznych dla działania firmy w niezmiennych obiektach blob | Skonfiguruj zasady archiwizacji ze względów prawnych i przechowywania na podstawie czasu, aby przechowywać dane obiektów blob w stanie WORM (zapis raz, odczyt wielu). Obiekty blob przechowywane niezmiennie mogą być odczytywane, ale nie można ich modyfikować ani usuwać przez czas trwania interwału przechowywania. Aby uzyskać więcej informacji, zobacz Przechowywanie danych obiektów blob krytycznych dla działania firmy przy użyciu niezmiennego magazynu. | - |
| Wymaganie bezpiecznego transferu (HTTPS) do konta magazynu | Jeśli wymagasz bezpiecznego transferu dla konta magazynu, wszystkie żądania do konta magazynu muszą zostać wykonane za pośrednictwem protokołu HTTPS. Wszystkie żądania wysyłane za pośrednictwem protokołu HTTP są odrzucane. Firma Microsoft zaleca, aby zawsze wymagać bezpiecznego transferu dla wszystkich kont magazynu. Aby uzyskać więcej informacji, zobacz Wymagaj bezpiecznego transferu w celu zapewnienia bezpiecznych połączeń. | - |
| Ogranicz tokeny sygnatury dostępu współdzielonego tylko do połączeń HTTPS | Wymaganie protokołu HTTPS, gdy klient używa tokenu SAS do uzyskiwania dostępu do danych obiektów blob, pomaga zminimalizować ryzyko podsłuchiwania. Aby uzyskać więcej informacji, zobacz Udzielanie ograniczonego dostępu do zasobów usługi Azure Storage przy użyciu sygnatur dostępu współdzielonego (SAS). | - |
| Nie zezwalaj na replikację obiektów między dzierżawami | Domyślnie autoryzowany użytkownik może skonfigurować zasady replikacji obiektów, w których konto źródłowe znajduje się w jednej dzierżawie usługi Microsoft Entra, a konto docelowe znajduje się w innej dzierżawie. Nie zezwalaj na replikację obiektów między dzierżawami, aby wymagać, aby konta źródłowe i docelowe biorące udział w zasadach replikacji obiektów znajdują się w tej samej dzierżawie. Aby uzyskać więcej informacji, zobacz Zapobieganie replikacji obiektów w dzierżawach firmy Microsoft Entra. | - |
Zarządzanie tożsamościami i dostępem
| Zalecenie | Komentarze | Defender dla Chmury |
|---|---|---|
| Używanie identyfikatora Entra firmy Microsoft do autoryzowania dostępu do danych obiektów blob | Identyfikator Entra firmy Microsoft zapewnia doskonałe zabezpieczenia i łatwość użycia za pośrednictwem klucza współużytkowanego na potrzeby autoryzowania żądań do usługi Blob Storage. Aby uzyskać więcej informacji, zobacz Autoryzowanie dostępu do danych w usłudze Azure Storage. | - |
| Należy pamiętać o zasadzie najniższych uprawnień podczas przypisywania uprawnień do podmiotu zabezpieczeń firmy Microsoft entra za pośrednictwem kontroli dostępu opartej na rolach platformy Azure | Podczas przypisywania roli do użytkownika, grupy lub aplikacji przyznaj temu podmiotowi zabezpieczeń tylko te uprawnienia, które są niezbędne do wykonywania zadań. Ograniczenie dostępu do zasobów pomaga zapobiec przypadkowemu i złośliwemu niewłaściwemu użyciu danych. | - |
| Używanie sygnatury dostępu współdzielonego delegowania użytkownika w celu udzielenia ograniczonego dostępu do danych obiektów blob klientom | Sygnatura dostępu współdzielonego delegowania użytkownika jest zabezpieczona przy użyciu poświadczeń usługi Microsoft Entra, a także przez uprawnienia określone dla sygnatury dostępu współdzielonego. Sygnatura dostępu współdzielonego delegowania użytkownika jest analogiczna do sygnatury dostępu współdzielonego usługi pod względem zakresu i funkcji, ale oferuje korzyści zabezpieczeń w odniesieniu do sygnatury dostępu współdzielonego usługi. Aby uzyskać więcej informacji, zobacz Udzielanie ograniczonego dostępu do zasobów usługi Azure Storage przy użyciu sygnatur dostępu współdzielonego (SAS). | - |
| Zabezpieczanie kluczy dostępu do konta za pomocą usługi Azure Key Vault | Firma Microsoft zaleca używanie identyfikatora Entra firmy Microsoft do autoryzowania żądań do usługi Azure Storage. Jeśli jednak musisz użyć autoryzacji klucza współdzielonego, zabezpiecz klucze konta za pomocą usługi Azure Key Vault. Klucze można pobrać z magazynu kluczy w czasie wykonywania, zamiast zapisywać je w aplikacji. Aby uzyskać więcej informacji na temat usługi Azure Key Vault, zobacz Omówienie usługi Azure Key Vault. | - |
| Okresowe ponowne generowanie kluczy konta | Rotacja kluczy kont okresowo zmniejsza ryzyko ujawnienia danych złośliwym podmiotom. | - |
| Nie zezwalaj na autoryzację klucza współdzielonego | Jeśli nie zezwalasz na autoryzację klucza wspólnego dla konta magazynu, usługa Azure Storage odrzuca wszystkie kolejne żądania do tego konta, które są autoryzowane przy użyciu kluczy dostępu do konta. Pomyślnie powiedzie się tylko zabezpieczone żądania autoryzowane za pomocą identyfikatora Entra firmy Microsoft. Aby uzyskać więcej informacji, zobacz Zapobieganie autoryzacji klucza współdzielonego dla konta usługi Azure Storage. | - |
| Należy pamiętać o zasadzie najniższych uprawnień podczas przypisywania uprawnień do sygnatury dostępu współdzielonego | Podczas tworzenia sygnatury dostępu współdzielonego określ tylko te uprawnienia, które są wymagane przez klienta do wykonania jego funkcji. Ograniczenie dostępu do zasobów pomaga zapobiec przypadkowemu i złośliwemu niewłaściwemu użyciu danych. | - |
| Masz plan odwołania dla każdej sygnatury dostępu współdzielonego, która jest wystawiana klientom | W przypadku naruszenia zabezpieczeń sygnatury dostępu współdzielonego należy jak najszybciej odwołać tę sygnaturę dostępu współdzielonego. Aby odwołać sygnaturę dostępu współdzielonego delegowania użytkownika, odwołaj klucz delegowania użytkownika, aby szybko unieważnić wszystkie sygnatury skojarzone z tym kluczem. Aby odwołać sygnaturę dostępu współdzielonego usługi skojarzona z zapisanymi zasadami dostępu, można usunąć przechowywane zasady dostępu, zmienić nazwę zasad lub zmienić czas wygaśnięcia na czas, który znajduje się w przeszłości. Aby uzyskać więcej informacji, zobacz Udzielanie ograniczonego dostępu do zasobów usługi Azure Storage przy użyciu sygnatur dostępu współdzielonego (SAS). | - |
| Jeśli sygnatura dostępu współdzielonego usługi nie jest skojarzona z zapisanymi zasadami dostępu, ustaw czas wygaśnięcia na godzinę lub mniej | Nie można odwołać sygnatury dostępu współdzielonego usługi, która nie jest skojarzona z zapisanymi zasadami dostępu. Z tego powodu zaleca się ograniczenie czasu wygaśnięcia, aby sygnatura dostępu współdzielonego obowiązywała przez jedną godzinę lub mniej. | - |
| Wyłączanie anonimowego dostępu do odczytu do kontenerów i obiektów blob | anonimowy dostęp do odczytu do kontenera i jego obiektów blob przyznaje dostęp tylko do odczytu do tych zasobów każdemu klientowi. Unikaj włączania anonimowego dostępu do odczytu, chyba że twój scenariusz tego wymaga. Aby dowiedzieć się, jak wyłączyć dostęp anonimowy dla konta magazynu, zobacz Omówienie: korygowanie anonimowego dostępu do odczytu dla danych obiektów blob. | - |
Sieć
| Zalecenie | Komentarze | Defender dla Chmury |
|---|---|---|
| Skonfiguruj minimalną wymaganą wersję protokołu Transport Layer Security (TLS) dla konta magazynu. | Wymagaj, aby klienci używali bezpieczniejszej wersji protokołu TLS do tworzenia żądań względem konta usługi Azure Storage, konfigurując minimalną wersję protokołu TLS dla tego konta. Aby uzyskać więcej informacji, zobacz Konfigurowanie minimalnej wymaganej wersji protokołu Transport Layer Security (TLS) dla konta magazynu | - |
| Włącz opcję Wymagany bezpieczny transfer na wszystkich kontach magazynu | Po włączeniu opcji Wymagany bezpieczny transfer wszystkie żądania dotyczące konta magazynu muszą odbywać się za pośrednictwem bezpiecznych połączeń. Wszystkie żądania wysyłane za pośrednictwem protokołu HTTP kończą się niepowodzeniem. Aby uzyskać więcej informacji, zobacz Wymaganie bezpiecznego transferu w usłudze Azure Storage. | Tak |
| Włączanie reguł zapory | Skonfiguruj reguły zapory, aby ograniczyć dostęp do konta magazynu do żądań pochodzących z określonych adresów IP lub zakresów albo z listy podsieci w sieci wirtualnej platformy Azure. Aby uzyskać więcej informacji na temat konfigurowania reguł zapory, zobacz Konfigurowanie zapór i sieci wirtualnych usługi Azure Storage. | - |
| Zezwalaj zaufanym usługi firmy Microsoft na dostęp do konta magazynu | Włączenie reguł zapory dla konta magazynu domyślnie blokuje przychodzące żądania dotyczące danych, chyba że żądania pochodzą z usługi działającej w sieci wirtualnej platformy Azure lub z dozwolonych publicznych adresów IP. Żądania, które są zablokowane, obejmują te z innych usług platformy Azure, z witryny Azure Portal, z usług rejestrowania i metryk itd. Możesz zezwolić na żądania z innych usług platformy Azure, dodając wyjątek umożliwiający zaufanym usługi firmy Microsoft uzyskiwanie dostępu do konta magazynu. Aby uzyskać więcej informacji na temat dodawania wyjątku dla zaufanych usługi firmy Microsoft, zobacz Konfigurowanie zapór i sieci wirtualnych usługi Azure Storage. | - |
| Używanie prywatnych punktów końcowych | Prywatny punkt końcowy przypisuje prywatny adres IP z sieci wirtualnej platformy Azure do konta magazynu. Zabezpiecza cały ruch między siecią wirtualną a kontem magazynu za pośrednictwem łącza prywatnego. Aby uzyskać więcej informacji na temat prywatnych punktów końcowych, zobacz Połączenie prywatnie do konta magazynu przy użyciu prywatnego punktu końcowego platformy Azure. | - |
| Używanie tagów usługi sieci wirtualnej | Tag usługi reprezentuje grupę prefiksów adresów IP z danej usługi platformy Azure. Firma Microsoft zarządza prefiksami adresów uwzględnionych przez tag usługi i automatycznie aktualizuje tag usługi w miarę zmiany adresów. Aby uzyskać więcej informacji na temat tagów usług obsługiwanych przez usługę Azure Storage, zobacz Omówienie tagów usługi platformy Azure. Aby zapoznać się z samouczkiem pokazującym, jak używać tagów usługi do tworzenia reguł sieci wychodzących, zobacz Ograniczanie dostępu do zasobów PaaS. | - |
| Ograniczanie dostępu sieciowego do określonych sieci | Ograniczenie dostępu sieciowego do sieci hostujących klientów wymagających dostępu zmniejsza narażenie zasobów na ataki sieciowe. | Tak |
| Konfigurowanie preferencji routingu sieciowego | Możesz skonfigurować preferencję routingu sieciowego dla konta usługi Azure Storage, aby określić sposób kierowania ruchu sieciowego do konta z klientów przez Internet przy użyciu globalnej sieci firmy Microsoft lub routingu internetowego. Aby uzyskać więcej informacji, zobacz Konfigurowanie preferencji routingu sieciowego dla usługi Azure Storage. | - |
Rejestrowanie/monitorowanie
| Zalecenie | Komentarze | Defender dla Chmury |
|---|---|---|
| Śledzenie autoryzowania żądań | Włącz rejestrowanie dla usługi Azure Storage, aby śledzić, jak żądania do usługi są autoryzowane. Dzienniki wskazują, czy żądanie zostało wykonane anonimowo przy użyciu tokenu OAuth 2.0, przy użyciu klucza współdzielonego, czy przy użyciu sygnatury dostępu współdzielonego (SAS). Aby uzyskać więcej informacji, zobacz Monitorowanie usługi Azure Blob Storage przy użyciu usługi Azure Monitor lub rejestrowania analizy usługi Azure Storage przy użyciu klasycznego monitorowania. | - |
| Konfigurowanie alertów w usłudze Azure Monitor | Skonfiguruj alerty dzienników, aby oceniać dzienniki zasobów z ustawioną częstotliwością i uruchamiać alert na podstawie wyników. Aby uzyskać więcej informacji, zobacz Rejestrowanie alertów w usłudze Azure Monitor. | - |
Następne kroki
- Dokumentacja zabezpieczeń platformy Azure
- Bezpieczna dokumentacja programowania.