Recomendações de segurança para o armazenamento de blobs

Este artigo contém as recomendações de segurança do armazenamento de Blob. Implementar essas recomendações ajudará a atender as obrigações de segurança, conforme descrito em nosso modelo de responsabilidade compartilhada. Para obter mais informações sobre como a Microsoft cumpre as responsabilidades do provedor de serviços, consulte responsabilidade compartilhada na nuvem.

Algumas das recomendações incluídas neste artigo podem ser monitoradas automaticamente pelo Microsoft Defender para Nuvem, que é a primeira linha de defesa na proteção de seus recursos no Azure. Para obter mais informações sobre o Microsoft Defender para Nuvem, consulte O que é o Microsoft Defender para Nuvem?

O Microsoft Defender para Nuvem analisa periodicamente o estado de segurança dos seus recursos do Azure para identificar possíveis vulnerabilidades na segurança. Em seguida, ela fornece recomendações sobre como solucioná-las. Para obter mais informações sobre as recomendações do Microsoft Defender para Nuvem, confira Recomendações de segurança no Microsoft Defender para Nuvem.

Proteção de dados

Recomendação Comentários Defender para Nuvem
Use o modelo de implantação do Azure Resource Manager Crie novas contas de armazenamento usando o modelo de implantação Azure Resource Manager para aprimoramentos de segurança importantes, incluindo controle de acesso baseado em função do Azure (RBAC do Azure) e auditoria, implantação e governança baseadas no Resource Manager, acesso a identidades gerenciadas, acesso a Azure Key Vault para segredos e autenticação e autorização baseadas no Azure AD para acesso aos dados e recursos do armazenamento do Azure. Se possível, migre as contas de armazenamento existentes que usam o modelo de implantação clássico para usar Azure Resource Manager. Para obter mais informações sobre o Azure Resource Manager, confira Visão geral do Azure Resource Manager. -
Habilitar o Microsoft Defender para todas as suas contas de armazenamento O Microsoft Defender para Armazenamento fornece uma camada adicional de inteligência de segurança que detecta tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas de armazenamento. Alertas de Segurança são disparados no Microsoft Defender para Nuvem quando anomalias em atividade ocorre e também são enviados por email para administradores de assinatura, com detalhes de atividades suspeitas e recomendações sobre como investigar e corrigir ameaças. Para obter mais informações, confira Configurar o Microsoft Defender para Armazenamento. Sim
Ativar a exclusão temporária para blobs A exclusão reversível para blobs permite recuperar dados de blob após sua exclusão. Para obter mais informações sobre a exclusão temporária para blobs, confira Exclusão temporária para Armazenamento do Azure de blobs. -
Ativar a exclusão temporária para contêineres A exclusão reversível para contêineres permite que você recupere um contêiner depois que ele tiver sido excluído. Para saber mais sobre a exclusão reversível de contêineres, confira Exclusão reversível de contêineres. -
Bloquear a conta de armazenamento para impedir exclusões acidentais ou mal-intencionadas ou alterações de configuração Aplique um bloqueio de Azure Resource Manager à sua conta de armazenamento para proteger a conta contra exclusão acidental ou mal-intencionada ou alteração de configuração. O bloqueio de uma conta de armazenamento não impede que os dados dentro dessa conta sejam excluídos. Ele apenas impede que a própria conta seja excluída. Para obter mais informações, consulte aplicar um bloqueio de Azure Resource Manager a uma conta de armazenamento.
Armazene dados críticos para os negócios em blobs imutáveis Configure as políticas de retenção baseadas em tempo e as isenções legais para armazenar dados de BLOB em um estado de WORM (gravar uma vez, ler muitos). Blobs armazenados imutavelmente podem ser lidos, mas não podem ser modificados ou excluídos para a duração do intervalo de retenção. Para obter mais informações, consulte Armazenar dados de blob comercialmente críticos com armazenamento imutável. -
Exigir transferência segura (HTTPS) para a conta de armazenamento Quando você precisa de transferência segura para uma conta de armazenamento, todas as solicitações para a conta de armazenamento devem ser feitas via HTTPS. Todas as solicitações feitas por HTTP são rejeitadas. A Microsoft recomenda que você sempre precise de transferência segura para todas as suas contas de armazenamento. Para obter mais informações, consulte exigir transferência segura para garantir conexões seguras. -
Limitar tokens de SAS (assinatura de acesso compartilhado) a conexões HTTPS somente Exigir HTTPS quando um cliente usa um token SAS para acessar dados de blob ajuda a minimizar o risco de espionagem. Para obter mais informações, confira Conceder acesso limitado a recursos de Armazenamento do Azure usando SAS (assinaturas de acesso compartilhado). -

Gerenciamento de identidade e de acesso

Recomendação Comentários Defender para Nuvem
Utilize o Azure Active Directory (Azure AD) para autorizar acesso aos dados de blob O Azure AD fornece segurança superior e facilidade de uso sobre chave compartilhada para autorizar solicitações ao armazenamento de Blob. Para saber mais, confira Autorizar o acesso a dados no Armazenamento do Azure. -
Tenha em mente a entidade de privilégio mínimo ao atribuir permissões a uma entidade de segurança do Azure AD por meio do RBAC do Azure Ao atribuir uma função a um usuário, grupo ou aplicativo, conceda a essa entidade de segurança somente as permissões necessárias para que elas executem suas tarefas. Limitar o acesso a recursos ajuda a impedir o uso indevido intencional e mal-intencionado dos seus dados. -
Usar uma SAS de delegação de usuário para conceder acesso limitado aos dados de blob aos clientes Uma SAS de delegação de usuário é protegida com as credenciais do Azure Active Directory (AD do Azure) e também pelas permissões especificadas para a SAS. Uma SAS de delegação de usuário é análoga a uma SAS de serviço em termos de seu escopo e função, mas oferece benefícios de segurança em relação à SAS do serviço. Para obter mais informações, confira Conceder acesso limitado a recursos de Armazenamento do Azure usando SAS (assinaturas de acesso compartilhado). -
Proteger as chaves de acesso da sua conta com o Azure Key Vault A Microsoft recomenda usar o Azure AD para autorizar solicitações ao armazenamento do Azure. No entanto, se você precisar usar a autorização de chave compartilhada, proteja as chaves de sua conta com Azure Key Vault. Você pode recuperar as chaves do cofre de chaves em tempo de execução, em vez de salvá-las com seu aplicativo. Para obter mais informações sobre o Azure Key Vault, confira visão geral do Azure Key Vault. -
Regenerar as chaves de conta periodicamente Girar as chaves de conta periodicamente reduz o risco de expor seus dados para atores mal-intencionados. -
Desautorização de chave compartilhada Quando você não permite a autorização de chave compartilhada para uma conta de armazenamento, o armazenamento do Azure rejeita todas as solicitações subsequentes para essa conta que são autorizadas com as chaves de acesso da conta. Somente as solicitações seguras autorizadas com o Azure AD terão sucesso. Para obter mais informações, consulte impedir a autorização de chave compartilhada para uma conta de armazenamento do Azure. -
Tenha em mente a entidade de privilégio mínimo ao atribuir permissões a uma SAS Ao criar uma SAS, especifique somente as permissões exigidas pelo cliente para executar sua função. Limitar o acesso a recursos ajuda a impedir usos indevidos acidentais ou mal-intencionados dos seus dados. -
Ter um plano de revogação em vigor para qualquer SAS que você emite para clientes Se uma SAS for comprometida, será necessário revogar essa SAS assim que possível. Para revogar uma SAS de delegação de usuário, revogue a chave de delegação de usuário para invalidar rapidamente todas as assinaturas associadas a essa chave. Para revogar uma SAS de serviço associada a uma política de acesso armazenada, você pode excluir a política de acesso armazenada, renomear a política ou alterar sua hora de expiração para uma hora que esteja no passado. Para obter mais informações, confira Conceder acesso limitado a recursos de Armazenamento do Azure usando SAS (assinaturas de acesso compartilhado). -
Se uma SAS de serviço não estiver associada a uma política de acesso armazenada, defina a hora de expiração para uma hora ou menos Uma SAS de serviço que não está associada a uma política de acesso armazenada não pode ser revogada. Por esse motivo, limitando o tempo de expiração para que a SAS seja válida por uma hora ou menos, é recomendável. -
Desabilitar o acesso de leitura público anônimo a contêineres e blobs Acesso de leitura público anônimo a um contêiner e seus BLOBs concedem acesso somente leitura a esses recursos para qualquer cliente. Evite habilitar o acesso de leitura público, a menos que seu cenário exija. Para saber como desabilitar o acesso público anônimo para uma conta de armazenamento, consulte Configurar acesso de leitura público anônimo para contêineres e blobs. -

Rede

Recomendação Comentários Defender para Nuvem
Configure a versão mínima necessária da TLS (segurança da camada de transporte) para uma conta de armazenamento. Exija que os clientes usem uma versão mais segura do TLS para fazer solicitações em uma conta de armazenamento do Azure Configurando a versão mínima do TLS para essa conta. Para mais informações, consulte Configure a versão mínima necessária da TLS (segurança da camada de transporte) para uma conta de armazenamento -
Habilitar a opção Transferência segura obrigatória em todas as suas contas de armazenamento Quando você habilita a opção Transferência segura necessária, todas as solicitações feitas na conta de armazenamento devem ocorrer em conexões seguras. Todas as solicitações feitas por HTTP falharão. Para obter mais informações, consulte Exigir transferência segura no armazenamento do Azure. Sim
Habilitar regras de firewall Configure as regras de firewall para limitar o acesso à sua conta de armazenamento a solicitações originadas de endereços IP especificados, ou intervalos ou de uma lista de sub-redes em uma VNet (Rede Virtual) do Azure. Para mais informações sobre configurar regras de firewall, consulte Configurar Redes Virtuais e Firewalls de Armazenamento do Azure. -
Permitir que serviços da Microsoft confiáveis acessem a conta de armazenamento Ativar regras de firewall para sua conta de armazenamento bloqueia solicitações de entrada para os dados por padrão, a menos que as solicitações sejam provenientes de um serviço que está operando em uma VNet (Rede Virtual) do Azure ou de endereços IP públicos permitidos. Solicitações que estão bloqueadas incluem as de outros serviços do Azure, do portal do Azure, de registro em log e serviços de métricas e assim por diante. Você pode permitir solicitações de outros serviços do Azure adicionando uma exceção para permitir que serviços confiáveis da Microsoft acessem a conta de armazenamento. Para obter mais informações sobre como adicionar uma exceção para serviços confiáveis da Microsoft, consulte Configurar redes virtuais e firewalls de armazenamento do Azure. -
Usar pontos de extremidade privados Um ponto de extremidade privado atribui um endereço IP privado de sua rede virtual do Azure (VNet) à conta de armazenamento. Isso protege todo o tráfego entre a sua VNet e a conta de armazenamento em um link privado. Para obter mais informações sobre pontos de extremidade privados, consulte conectar-se de forma privada a uma conta de armazenamento usando o ponto de extremidade privado do Azure. -
Usar marcas de serviço do VNet Uma marca de serviço representa um grupo de prefixos de endereço IP de determinado serviço do Azure. A Microsoft gerencia os prefixos de endereço englobados pela marca de serviço e atualiza automaticamente a marca de serviço em caso de alteração de endereços. Para obter mais informações sobre marcas de serviço com suporte no armazenamento do Azure, consulte Visão geral das marcas de serviço do Azure. Para obter um tutorial que mostra como usar marcas de serviço para criar regras de rede de saída, consulte Restringir o acesso aos recursos de PaaS. -
Limitar o acesso à rede para redes específicas Limitar o acesso à rede para redes que hospedam clientes que exigem acesso reduz a exposição de seus recursos a ataques de rede. Sim
Configurar preferência de roteamento de rede Você pode configurar a preferência de roteamento para sua conta de armazenamento do Azure para especificar como o tráfego de rede é roteado para sua conta de clientes pela Internet utilizando a rede global Microsoft ou o roteamento de internet. Para obter mais informações, consulte Configurar a preferência de roteamento de rede para o armazenamento do Azure. -

Registro em log/monitoramento

Recomendação Comentários Defender para Nuvem
Acompanhar como as solicitações são autorizadas Habilite o log de armazenamento do Azure para controlar como cada solicitação feita no armazenamento do Azure foi autorizada. Os logs indicam se uma solicitação foi feita anonimamente, usando um token OAuth 2.0, usando a chave compartilhada ou usando uma SAS (assinatura de acesso compartilhado). Para obter mais informações, confira Como monitorar o Armazenamento de Blobs do Azure com o Azure Monitor ou Registro em log de análise de Armazenamento do Azure com monitoramento clássico. -
Configure alertas no Azure Monitor Configure alertas de log para avaliar os logs de recursos em uma frequência definida e acione um alerta com base nos resultados. Para obter mais informações, confira Alertas de log no Azure Monitor. -

Próximas etapas