Recomendações de segurança para armazenamento blobSecurity recommendations for Blob storage

Este artigo contém recomendações de segurança para armazenamento blob.This article contains security recommendations for Blob storage. A implementação destas recomendações irá ajudá-lo a cumprir as suas obrigações de segurança, conforme descrito no nosso modelo de responsabilidade partilhada.Implementing these recommendations will help you fulfill your security obligations as described in our shared responsibility model. Para obter mais informações sobre como a Microsoft cumpre as responsabilidades do prestador de serviços, leia responsabilidades partilhadas na computação em nuvem.For more information on how Microsoft fulfills service provider responsibilities, read Shared responsibilities for cloud computing.

Algumas das recomendações incluídas neste artigo podem ser monitorizadas automaticamente pelo Azure Security Center.Some of the recommendations included in this article can be automatically monitored by Azure Security Center. O Centro de Segurança Azure é a primeira linha de defesa na proteção dos seus recursos em Azure.Azure Security Center is the first line of defense in protecting your resources in Azure. Para obter informações sobre o Centro de Segurança Azure, consulte o Centro de Segurança Azure?For information on Azure Security Center, see the What is Azure Security Center?

O Azure Security Center analisa periodicamente o estado de segurança dos seus recursos Azure para identificar potenciais vulnerabilidades de segurança.Azure Security Center periodically analyzes the security state of your Azure resources to identify potential security vulnerabilities. Em seguida, fornece-lhe recomendações sobre como abordá-las.It then provides you with recommendations on how to address them. Para obter mais informações sobre as recomendações do Azure Security Center, consulte as recomendações de segurança no Centro de Segurança Azure.For more information on Azure Security Center recommendations, see Security recommendations in Azure Security Center.

Proteção de dadosData protection

RecomendaçãoRecommendation ComentáriosComments Centro de SegurançaSecurity Center
Utilize o modelo de implementação do Gestor de Recursos AzureUse the Azure Resource Manager deployment model Criar novas contas de armazenamento utilizando o modelo de implementação do Azure Resource Manager para melhorias importantes de segurança, incluindo controlo de acesso baseado em funções superiores a Azure (Azure RBAC) e auditoria, implementação e governação baseadas em recursos, acesso a identidades geridas, acesso ao Cofre chave Azure para segredos, e autenticação baseada em Azure e autorização de acesso a dados e recursos de Armazenamento Azure.Create new storage accounts using the Azure Resource Manager deployment model for important security enhancements, including superior Azure role-based access control (Azure RBAC) and auditing, Resource Manager-based deployment and governance, access to managed identities, access to Azure Key Vault for secrets, and Azure AD-based authentication and authorization for access to Azure Storage data and resources. Se possível, migrar as contas de armazenamento existentes que utilizam o modelo clássico de implementação para utilizar o Azure Resource Manager.If possible, migrate existing storage accounts that use the classic deployment model to use Azure Resource Manager. Para obter mais informações sobre o Azure Resource Manager, consulte a visão geral do Azure Resource Manager.For more information about Azure Resource Manager, see Azure Resource Manager overview. -
Ativar o Azure Defender para todas as suas contas de armazenamentoEnable Azure Defender for all of your storage accounts O Azure Defender for Azure Storage fornece uma camada adicional de inteligência de segurança que deteta tentativas incomuns e potencialmente nocivas de aceder ou explorar contas de armazenamento.Azure Defender for Azure Storage provides an additional layer of security intelligence that detects unusual and potentially harmful attempts to access or exploit storage accounts. Os alertas de segurança são desencadeados no Centro de Segurança do Azure quando ocorrem anomalias na atividade e são também enviados por e-mail para administradores de subscrição, com detalhes de atividades suspeitas e recomendações sobre como investigar e remediar ameaças.Security alerts are triggered in Azure Security Center when anomalies in activity occur and are also sent via email to subscription administrators, with details of suspicious activity and recommendations on how to investigate and remediate threats. Para mais informações, consulte o Configure Azure Defender para armazenamento Azure.For more information, see Configure Azure Defender for Azure Storage. SimYes
Ativar a eliminação recuperável para blobsTurn on soft delete for blobs A eliminação suave para bolhas permite-lhe recuperar dados de bolhas depois de ter sido eliminado.Soft delete for blobs enables you to recover blob data after it has been deleted. Para obter mais informações sobre a eliminação suave para bolhas, consulte Soft delete para blobs de armazenamento Azure.For more information on soft delete for blobs, see Soft delete for Azure Storage blobs. -
Ligue a eliminação suave para recipientesTurn on soft delete for containers A eliminação suave para recipientes permite-lhe recuperar um recipiente depois de ter sido eliminado.Soft delete for containers enables you to recover a container after it has been deleted. Para obter mais informações sobre a eliminação suave dos recipientes, consulte a eliminação suave para recipientes (pré-visualização).For more information on soft delete for containers, see Soft delete for containers (preview). -
Bloquear conta de armazenamento para evitar a eliminação acidental de contaLock storage account to prevent accidental account deletion Pode bloquear os recursos de Azure Resource Manager, como uma subscrição, grupo de recursos ou conta de armazenamento, para evitar que outros utilizadores da sua organização o apaguem ou modifiquem acidentalmente.You can lock an Azure Resource Manager resources, such as a subscription, resource group, or storage account, to prevent other users in your organization from accidentally deleting or modifying it. O bloqueio de uma conta de armazenamento não impede que os dados dentro dessa conta sejam eliminados.Locking a storage account does not prevent data within that account from being deleted. Só impede que a própria conta seja apagada.It only prevents the account itself from being deleted. Para obter mais informações, consulte os recursos de bloqueio para evitar alterações inesperadas.For more information, see Lock resources to prevent unexpected changes.
Armazenar dados críticos do negócio em bolhas imutáveisStore business-critical data in immutable blobs Configure as políticas legais de retenção e as políticas de retenção baseadas no tempo para armazenar dados blob num estado WORM (Write Once, Read Many).Configure legal holds and time-based retention policies to store blob data in a WORM (Write Once, Read Many) state. As bolhas armazenadas imutavelmente podem ser lidas, mas não podem ser modificadas ou eliminadas durante o intervalo de retenção.Blobs stored immutably can be read, but cannot be modified or deleted for the duration of the retention interval. Para obter mais informações, consulte os dados de blob críticos de negócio da Loja com armazenamento imutável.For more information, see Store business-critical blob data with immutable storage. -
Exigir transferência segura (HTTPS) para a conta de armazenamentoRequire secure transfer (HTTPS) to the storage account Quando necessitar de transferência segura para uma conta de armazenamento, todos os pedidos para a conta de armazenamento devem ser feitos em HTTPS.When you require secure transfer for a storage account, all requests to the storage account must be made over HTTPS. Quaisquer pedidos feitos sobre HTTP são rejeitados.Any requests made over HTTP are rejected. A Microsoft recomenda que necessite sempre de transferência segura para todas as suas contas de armazenamento.Microsoft recommends that you always require secure transfer for all of your storage accounts. Para obter mais informações, consulte Exigir uma transferência segura para garantir ligações seguras.For more information, see Require secure transfer to ensure secure connections. -
Limite a assinatura de acesso partilhado (SAS) apenas às ligações HTTPSLimit shared access signature (SAS) tokens to HTTPS connections only Exigir HTTPS quando um cliente usa um token SAS para aceder a dados blob ajuda a minimizar o risco de escutas.Requiring HTTPS when a client uses a SAS token to access blob data helps to minimize the risk of eavesdropping. Para obter mais informações, consulte Grant acesso limitado aos recursos de Armazenamento Azure usando assinaturas de acesso partilhado (SAS).For more information, see Grant limited access to Azure Storage resources using shared access signatures (SAS). -

Gestão de identidades e acessosIdentity and access management

RecomendaçãoRecommendation ComentáriosComments Centro de SegurançaSecurity Center
Utilize o Azure Ative Directory (Azure AD) para autorizar o acesso a dados blobUse Azure Active Directory (Azure AD) to authorize access to blob data A Azure AD proporciona uma segurança superior e facilidade de utilização sobre a Chave Partilhada para autorizar pedidos para o armazenamento blob.Azure AD provides superior security and ease of use over Shared Key for authorizing requests to Blob storage. Para obter mais informações, consulte Autoriza o acesso a blobs e filas Azure usando o Azure Ative Directory.For more information, see Authorize access to Azure blobs and queues using Azure Active Directory. -
Tenha em mente o principal de menor privilégio ao atribuir permissões a um diretor de segurança Azure AD via Azure RBACKeep in mind the principal of least privilege when assigning permissions to an Azure AD security principal via Azure RBAC Ao atribuir uma função a um utilizador, grupo ou aplicação, conceda a esse principal de segurança apenas as permissões necessárias para que possam desempenhar as suas tarefas.When assigning a role to a user, group, or application, grant that security principal only those permissions that are necessary for them to perform their tasks. Limitar o acesso aos recursos ajuda a prevenir o uso indevido e malicioso dos seus dados.Limiting access to resources helps prevent both unintentional and malicious misuse of your data. -
Utilize uma delegação de utilizadores SAS para conceder acesso limitado aos dados blob aos clientesUse a user delegation SAS to grant limited access to blob data to clients Uma delegação de utilizador SAS é protegida com credenciais do Azure Ative Directory (Azure AD) e também pelas permissões especificadas para o SAS.A user delegation SAS is secured with Azure Active Directory (Azure AD) credentials and also by the permissions specified for the SAS. Uma delegação de utilizadores SAS é análoga a um serviço SAS em termos do seu âmbito e função, mas oferece benefícios de segurança sobre o serviço SAS.A user delegation SAS is analogous to a service SAS in terms of its scope and function, but offers security benefits over the service SAS. Para obter mais informações, consulte Grant acesso limitado aos recursos de Armazenamento Azure usando assinaturas de acesso partilhado (SAS).For more information, see Grant limited access to Azure Storage resources using shared access signatures (SAS). -
Proteja as chaves de acesso à sua conta com cofre de chaves AzureSecure your account access keys with Azure Key Vault A Microsoft recomenda a utilização do Azure AD para autorizar pedidos para o Azure Storage.Microsoft recommends using Azure AD to authorize requests to Azure Storage. No entanto, se tiver de utilizar a autorização da Chave Partilhada, então proteja as chaves da sua conta com o Cofre da Chave Azure.However, if you must use Shared Key authorization, then secure your account keys with Azure Key Vault. Podes recuperar as chaves do cofre da chave em tempo de execução, em vez de as guardares com a tua aplicação.You can retrieve the keys from the key vault at runtime, instead of saving them with your application. Para obter mais informações sobre o Azure Key Vault, consulte a visão geral do Azure Key Vault.For more information about Azure Key Vault, see Azure Key Vault overview. -
Regenerar as chaves da sua conta periodicamenteRegenerate your account keys periodically A rotação das chaves da conta reduz periodicamente o risco de expor os seus dados a atores mal-intencionados.Rotating the account keys periodically reduces the risk of exposing your data to malicious actors. -
Não permitir a autorização da Chave PartilhadaDisallow Shared Key authorization Quando não autoriza a Chave Partilhada para uma conta de armazenamento, o Azure Storage rejeita todos os pedidos subsequentes a essa conta que são autorizadas com as chaves de acesso à conta.When you disallow Shared Key authorization for a storage account, Azure Storage rejects all subsequent requests to that account that are authorized with the account access keys. Apenas os pedidos seguros autorizados com a Azure AD serão bem sucedidos.Only secured requests that are authorized with Azure AD will succeed. Para obter mais informações, consulte a autorização prevent Shared Key para uma conta de Armazenamento Azure.For more information, see Prevent Shared Key authorization for an Azure Storage account. -
Tenha em mente o principal de menor privilégio ao atribuir permissões a um SASKeep in mind the principal of least privilege when assigning permissions to a SAS Ao criar um SAS, especifique apenas as permissões que são necessárias pelo cliente para desempenhar a sua função.When creating a SAS, specify only those permissions that are required by the client to perform its function. Limitar o acesso aos recursos ajuda a prevenir o uso indevido e malicioso dos seus dados.Limiting access to resources helps prevent both unintentional and malicious misuse of your data. -
Tenha um plano de revogação em vigor para qualquer SAS que emite aos clientesHave a revocation plan in place for any SAS that you issue to clients Se um SAS estiver comprometido, irá querer revogar o SAS o mais rapidamente possível.If a SAS is compromised, you will want to revoke that SAS as soon as possible. Para revogar uma delegação de utilizadores SAS, revogue a chave da delegação do utilizador para invalidar rapidamente todas as assinaturas associadas a essa chave.To revoke a user delegation SAS, revoke the user delegation key to quickly invalidate all signatures associated with that key. Para revogar um serviço SAS que esteja associado a uma política de acesso armazenada, pode eliminar a política de acesso armazenada, mudar o nome da apólice ou alterar o seu prazo de validade para um tempo que está no passado.To revoke a service SAS that is associated with a stored access policy, you can delete the stored access policy, rename the policy, or change its expiry time to a time that is in the past. Para obter mais informações, consulte Grant acesso limitado aos recursos de Armazenamento Azure usando assinaturas de acesso partilhado (SAS).For more information, see Grant limited access to Azure Storage resources using shared access signatures (SAS). -
Se um serviço SAS não estiver associado a uma política de acesso armazenada, então decida o prazo de validade para uma hora ou menosIf a service SAS is not associated with a stored access policy, then set the expiry time to one hour or less Um serviço SAS que não esteja associado a uma política de acesso armazenada não pode ser revogado.A service SAS that is not associated with a stored access policy cannot be revoked. Por esta razão, recomenda-se a limitação do tempo de validade para que o SAS seja válido por uma hora ou menos.For this reason, limiting the expiry time so that the SAS is valid for one hour or less is recommended. -
Desativar o público anónimo ler acesso a contentores e bolhasDisable anonymous public read access to containers and blobs O público anónimo leu o acesso a um contentor e as suas bolhas concedem acesso apenas a esses recursos a qualquer cliente.Anonymous public read access to a container and its blobs grants read-only access to those resources to any client. Evite permitir o acesso à leitura pública, a menos que o seu cenário o exija.Avoid enabling public read access unless your scenario requires it. Para aprender a desativar o acesso público anónimo a uma conta de armazenamento, consulte o público anónimo Configure acesso a contentores e bolhas.To learn how to disable anonymous public access for a storage account, see Configure anonymous public read access for containers and blobs. -

RedeNetworking

RecomendaçãoRecommendation ComentáriosComments Centro de SegurançaSecurity Center
Configure a versão mínima exigida de Segurança da Camada de Transporte (TLS) para uma conta de armazenamento.Configure the minimum required version of Transport Layer Security (TLS) for a storage account. Exigir que os clientes utilizem uma versão mais segura do TLS para fazer pedidos contra uma conta de Armazenamento Azure, configurando a versão mínima de TLS para essa conta.Require that clients use a more secure version of TLS to make requests against an Azure Storage account by configuring the minimum version of TLS for that account. Para obter mais informações, consulte a versão mínima exigida de Segurança da Camada de Transporte (TLS) para uma conta de armazenamentoFor more information, see Configure minimum required version of Transport Layer Security (TLS) for a storage account -
Ativar a opção de transferência Secure necessária em todas as suas contas de armazenamentoEnable the Secure transfer required option on all of your storage accounts Quando ativa a opção de transferência Secure necessária, todos os pedidos feitos contra a conta de armazenamento devem ser feitos sobre ligações seguras.When you enable the Secure transfer required option, all requests made against the storage account must take place over secure connections. Quaisquer pedidos feitos sobre HTTP falharão.Any requests made over HTTP will fail. Para mais informações, consulte Exigir transferência segura no Azure Storage.For more information, see Require secure transfer in Azure Storage. SimYes
Ativar regras de firewallEnable firewall rules Configure as regras de firewall para limitar o acesso à sua conta de armazenamento a pedidos originários de endereços ou intervalos IP especificados, ou de uma lista de sub-redes numa Rede Virtual Azure (VNet).Configure firewall rules to limit access to your storage account to requests that originate from specified IP addresses or ranges, or from a list of subnets in an Azure Virtual Network (VNet). Para obter mais informações sobre a configuração das regras de firewall, consulte as firewalls de armazenamento Configure Azure e redes virtuais.For more information about configuring firewall rules, see Configure Azure Storage firewalls and virtual networks. -
Permitir serviços fidedignos da Microsoft para aceder à conta de armazenamentoAllow trusted Microsoft services to access the storage account A ligação das regras de firewall para a sua conta de armazenamento bloqueia os pedidos de dados por padrão, a menos que os pedidos sejam originários de um serviço que opera dentro de uma Rede Virtual Azure (VNet) ou de endereços IP públicos permitidos.Turning on firewall rules for your storage account blocks incoming requests for data by default, unless the requests originate from a service operating within an Azure Virtual Network (VNet) or from allowed public IP addresses. Os pedidos que estão bloqueados incluem os de outros serviços Azure, do portal Azure, de serviços de registo e métricas, e assim por diante.Requests that are blocked include those from other Azure services, from the Azure portal, from logging and metrics services, and so on. Pode permitir pedidos de outros serviços da Azure adicionando uma exceção para permitir que serviços confiáveis da Microsoft acedam à conta de armazenamento.You can permit requests from other Azure services by adding an exception to allow trusted Microsoft services to access the storage account. Para obter mais informações sobre a adição de uma exceção para serviços de confiança da Microsoft, consulte firewalls de armazenamento Configure Azure e redes virtuais.For more information about adding an exception for trusted Microsoft services, see Configure Azure Storage firewalls and virtual networks. -
Utilizar pontos finais privadosUse private endpoints Um ponto final privado atribui um endereço IP privado da sua Rede Virtual Azure (VNet) à conta de armazenamento.A private endpoint assigns a private IP address from your Azure Virtual Network (VNet) to the storage account. Protege todo o tráfego entre o seu VNet e a conta de armazenamento por uma ligação privada.It secures all traffic between your VNet and the storage account over a private link. Para obter mais informações sobre os pontos finais privados, consulte Connect private a uma conta de armazenamento utilizando o Azure Private Endpoint.For more information about private endpoints, see Connect privately to a storage account using Azure Private Endpoint. -
Utilize tags de serviço VNetUse VNet service tags Uma etiqueta de serviço representa um grupo de prefixos de endereço IP de um determinado serviço Azure.A service tag represents a group of IP address prefixes from a given Azure service. A Microsoft gere os prefixos de endereços englobados pela etiqueta de serviço e atualiza automaticamente a etiqueta de serviço à medida que os endereços mudam.Microsoft manages the address prefixes encompassed by the service tag and automatically updates the service tag as addresses change. Para obter mais informações sobre etiquetas de serviço suportadas pelo Azure Storage, consulte as etiquetas de serviço Azure.For more information about service tags supported by Azure Storage, see Azure service tags overview. Para um tutorial que mostre como usar tags de serviço para criar regras de rede de saída, consulte restringir o acesso aos recursos do PaaS.For a tutorial that shows how to use service tags to create outbound network rules, see Restrict access to PaaS resources. -
Limitar o acesso à rede a redes específicasLimit network access to specific networks Limitar o acesso à rede a redes que aloquem clientes que necessitem de acesso reduz a exposição dos seus recursos a ataques de rede.Limiting network access to networks hosting clients requiring access reduces the exposure of your resources to network attacks. SimYes
Configurar preferência de encaminhamento de redeConfigure network routing preference Pode configurar a preferência de encaminhamento de rede para a sua conta de armazenamento Azure para especificar como o tráfego de rede é encaminhado para a sua conta a partir de clientes através da Internet utilizando a rede global da Microsoft ou o encaminhamento da Internet.You can configure network routing preference for your Azure storage account to specify how network traffic is routed to your account from clients over the Internet using the Microsoft global network or Internet routing. Para obter mais informações, consulte a preferência de encaminhamento de rede Configure para o Armazenamento Azure.For more information, see Configure network routing preference for Azure Storage. -

Registo/MonitorizaçãoLogging/Monitoring

RecomendaçãoRecommendation ComentáriosComments Centro de SegurançaSecurity Center
Acompanhe como os pedidos são autorizadosTrack how requests are authorized Habilitar o registo de armazenamento Azure para acompanhar como cada pedido feito contra o Azure Storage foi autorizado.Enable Azure Storage logging to track how each request made against Azure Storage was authorized. Os registos indicam se um pedido foi feito de forma anónima, utilizando um token OAuth 2.0, utilizando a Chave Partilhada, ou utilizando uma assinatura de acesso partilhado (SAS).The logs indicate whether a request was made anonymously, by using an OAuth 2.0 token, by using Shared Key, or by using a shared access signature (SAS). Para obter mais informações, consulte o armazenamento de Azure Blob com Azure Monitor ou Azure Storage analytics com Monitorização Clássica.For more information, see Monitoring Azure Blob storage with Azure Monitor or Azure Storage analytics logging with Classic Monitoring. -
Configurar alertas no Azure MonitorSet up alerts in Azure Monitor Configure os alertas de registo para avaliar os registos de recursos numa frequência definida e dispare um alerta com base nos resultados.Configure log alerts to evaluate resources logs at a set frequency and fire an alert based on the results. Para obter mais informações, consulte os alertas de registo no Azure Monitor.For more information, see Log alerts in Azure Monitor. -

Passos seguintesNext steps