Рекомендации по безопасности для хранения BlobSecurity recommendations for Blob storage

Эта статья содержит рекомендации по безопасности для хранения Blob.This article contains security recommendations for Blob storage. Реализация этих рекомендаций поможет вам выполнить свои обязательства по обеспечению безопасности, как это описано в нашей модели общей ответственности.Implementing these recommendations will help you fulfill your security obligations as described in our shared responsibility model. Для получения дополнительной информации о том, что корпорация Майкрософт делает для выполнения обязанностей поставщика услуг, прочитайте Общие обязанности по облачным вычислениям.For more information on what Microsoft does to fulfill service provider responsibilities, read Shared responsibilities for cloud computing.

Некоторые рекомендации, включенные в эту статью, могут быть автоматически проверены Центром безопасности Azure.Some of the recommendations included in this article can be automatically monitored by Azure Security Center. Центр безопасности Azure — это первая линия защиты ресурсов в Azure.Azure Security Center is the first line of defense in protecting your resources in Azure. Для получения информации о Центре безопасности Azure см. What is Azure Security Center?For information on Azure Security Center, see the What is Azure Security Center?.

Центр безопасности Azure периодически анализирует состояние безопасности ресурсов Azure для выявления потенциальных уязвимостей безопасности.Azure Security Center periodically analyzes the security state of your Azure resources to identify potential security vulnerabilities. Затем он предоставляет вам рекомендации о том, как их решать.It then provides you with recommendations on how to address them. Более подробную информацию о рекомендациях Центра безопасности Azure можно узнать в Центре безопасности Azure.For more information on Azure Security Center recommendations, see Security recommendations in Azure Security Center.

Защита данныхData protection

РекомендацияRecommendation КомментарииComments Центр безопасностиSecurity Center
Используйте модель развертывания ресурсов AzureUse the Azure Resource Manager deployment model Создание новых учетных записей хранения с использованием модели развертывания ресурсов Azure Resource Manager для важных улучшений безопасности, включая превосходный контроль доступа (RBAC) и аудит, развертывание и управление на основе менеджера ресурсов, доступ к управляемым идентификаторам, доступ в Azure Key Vault для секретов и на основе Azure AD аутентификация и авторизация для доступа к данным и ресурсам хранилища Azure.Create new storage accounts using the Azure Resource Manager deployment model for important security enhancements, including superior access control (RBAC) and auditing, Resource Manager-based deployment and governance, access to managed identities, access to Azure Key Vault for secrets, and Azure AD-based authentication and authorization for access to Azure Storage data and resources. Если это возможно, переносите существующие учетные записи хранения, которые используют классическую модель развертывания для использования менеджера ресурсов Azure.If possible, migrate existing storage accounts that use the classic deployment model to use Azure Resource Manager. Для получения дополнительной информации об менеджере ресурсов Azure можно ознакомиться на обзоре менеджера ресурсов Azure.For more information about Azure Resource Manager, see Azure Resource Manager overview. -
Включить требуемую опцию Безопасной передачи на всех ваших учетных записяхEnable the Secure transfer required option on all of your storage accounts При вхотливке требуемой опции безопасной передачи все запросы, сделанные в отношении учетной записи хранилища, должны осуществляться по защищенным соединениям.When you enable the Secure transfer required option, all requests made against the storage account must take place over secure connections. Любые запросы, сделанные по HTTP, не сбудутся.Any requests made over HTTP will fail. Для получения дополнительной информации см.For more information, see Require secure transfer in Azure Storage. ДаYes
Включить расширенную защиту угроз для всех учетных записей храненияEnable advanced threat protection for all of your storage accounts Расширенная защита от угроз для Azure Storage предоставляет дополнительный уровень безопасности, который обнаруживает необычные и потенциально опасные попытки получить доступ к учетным записям или использовать их.Advanced threat protection for Azure Storage provides an additional layer of security intelligence that detects unusual and potentially harmful attempts to access or exploit storage accounts. Оповещения о безопасности срабатывают в Центре безопасности Azure при возникновении аномалий в деятельности, а также отправляются по электронной почте администраторам подписки с подробной информацией о подозрительной деятельности и рекомендациями по расследованию и устранению угроз.Security alerts are triggered in Azure Security Center when anomalies in activity occur and are also sent via email to subscription administrators, with details of suspicious activity and recommendations on how to investigate and remediate threats. Для получения дополнительной информации см.For more information, see Advanced threat protection for Azure Storage. ДаYes
Включите мягкое удаление для данных каплиTurn on soft delete for blob data Мягкое удаление позволяет восстановить данные капли после их удаления.Soft delete enables you to recover blob data after it has been deleted. Для получения дополнительной информации о мягком удалении см.For more information on soft delete, see Soft delete for Azure Storage blobs. -
Храните критически важные для бизнеса данные в непреложных капляхStore business-critical data in immutable blobs Настройка юридических удержаний и временных политик удержания для хранения данных капли в состоянии WORM (Написать один раз, прочитайте много) состояния.Configure legal holds and time-based retention policies to store blob data in a WORM (Write Once, Read Many) state. Капли, хранящиеся непреложно, могут быть прочитаны, но не могут быть изменены или удалены в течение интервала удержания.Blobs stored immutably can be read, but cannot be modified or deleted for the duration of the retention interval. Для получения дополнительной информации см.For more information, see Store business-critical blob data with immutable storage. -
Ограничьте только доступ к подписям общего доступа (SAS) только соединениям HTTPSLimit shared access signature (SAS) tokens to HTTPS connections only Требование HTTPS при использовании токеном SAS для доступа к данным blob помогает свести к минимуму риск подслушивания.Requiring HTTPS when a client uses a SAS token to access blob data helps to minimize the risk of eavesdropping. Для получения дополнительной информации см. Грант ограниченный доступ к ресурсам хранения Azure с использованием общих подписей доступа (SAS).For more information, see Grant limited access to Azure Storage resources using shared access signatures (SAS). -

Управление удостоверениями и доступомIdentity and access management

РекомендацияRecommendation КомментарииComments Центр безопасностиSecurity Center
Используйте активный каталог Azure (Azure AD) для авторизации доступа к данным blobUse Azure Active Directory (Azure AD) to authorize access to blob data Azure AD обеспечивает превосходную безопасность и простоту использования по сравнению с общим ключом для авторизации запросов на хранение Blob.Azure AD provides superior security and ease of use over Shared Key for authorizing requests to Blob storage. Для получения дополнительной информации см. Авторизовать доступ к каплям и очередям Azure с помощью Active Directory Azure.For more information, see Authorize access to Azure blobs and queues using Azure Active Directory. -
Имейте в виду основную сумму наименьших привилегий при назначении разрешений директору безопасности Azure AD через RBACKeep in mind the principal of least privilege when assigning permissions to an Azure AD security principal via RBAC При назначении роли пользователю, группе или приложению предоставы, которые основываются на безопасности, только те разрешения, которые необходимы им для выполнения их задач.When assigning a role to a user, group, or application, grant that security principal only those permissions that are necessary for them to perform their tasks. Ограничение доступа к ресурсам помогает предотвратить непреднамеренное и злонамеренное неправомерное использование ваших данных.Limiting access to resources helps prevent both unintentional and malicious misuse of your data. -
Используйте делегацию пользователей SAS, чтобы предоставить клиентам ограниченный доступ к данным blobUse a user delegation SAS to grant limited access to blob data to clients Делегация пользователей SAS защищена учетными данными Active Directory (Azure AD), а также разрешениями, указанными для SAS.A user delegation SAS is secured with Azure Active Directory (Azure AD) credentials and also by the permissions specified for the SAS. Делегация пользователя SAS аналогична сервису SAS с точки зрения сферы охвата и функции, но предлагает преимущества безопасности по сравнению с службой SAS.A user delegation SAS is analogous to a service SAS in terms of its scope and function, but offers security benefits over the service SAS. Для получения дополнительной информации см. Грант ограниченный доступ к ресурсам хранения Azure с использованием общих подписей доступа (SAS).For more information, see Grant limited access to Azure Storage resources using shared access signatures (SAS). -
Защищайте ключи доступа к учетной записи с помощью Azure Key VaultSecure your account access keys with Azure Key Vault Корпорация Майкрософт рекомендует использовать Azure AD для авторизации запросов в хранилище Azure.Microsoft recommends using Azure AD to authorize requests to Azure Storage. Однако, если необходимо использовать авторизацию Shared Key, защитите ключи учетной записи с помощью Azure Key Vault.However, if you must use Shared Key authorization, then secure your account keys with Azure Key Vault. Вы можете получить ключи из хранилища ключей во время выполнения, вместо того, чтобы сохранять их с помощью приложения.You can retrieve the keys from the key vault at runtime, instead of saving them with your application. Для получения дополнительной информации о Убежище ключей Azure смотрите обзор Azure Key Vault.For more information about Azure Key Vault, see Azure Key Vault overview. -
Периодически регенерировать ключи учетной записиRegenerate your account keys periodically Периодические вращения ключей учетной записи снижают риск передачи данных злоумышленникам.Rotating the account keys periodically reduces the risk of exposing your data to malicious actors. -
Имейте в виду основную наименьшую привилегию при назначении разрешений SASKeep in mind the principal of least privilege when assigning permissions to a SAS При создании SAS укажите только те разрешения, которые требуются клиенту для выполнения его функции.When creating a SAS, specify only those permissions that are required by the client to perform its function. Ограничение доступа к ресурсам помогает предотвратить непреднамеренное и злонамеренное неправомерное использование ваших данных.Limiting access to resources helps prevent both unintentional and malicious misuse of your data. -
Иметь план отзыва лицензии для любого SAS, который вы выдаете клиентамHave a revocation plan in place for any SAS that you issue to clients Если SAS скомпрометирован, вы хотите отозвать Этот SAS как можно скорее.If a SAS is compromised, you will want to revoke that SAS as soon as possible. Чтобы отозвать делегацию пользователя SAS, отменить ключ делегации пользователя, чтобы быстро аннулировать все подписи, связанные с этим ключом.To revoke a user delegation SAS, revoke the user delegation key to quickly invalidate all signatures associated with that key. Чтобы отменить службу SAS, связанную с политикой сохраненного доступа, можно удалить сохраненную политику доступа, переименовать политику или изменить время ее действия на время, которое было в прошлом.To revoke a service SAS that is associated with a stored access policy, you can delete the stored access policy, rename the policy, or change its expiry time to a time that is in the past. Для получения дополнительной информации см. Грант ограниченный доступ к ресурсам хранения Azure с использованием общих подписей доступа (SAS).For more information, see Grant limited access to Azure Storage resources using shared access signatures (SAS). -
Если служба SAS не связана с сохраненной политикой доступа, установите срок действия до одного часа или менееIf a service SAS is not associated with a stored access policy, then set the expiry time to one hour or less Служба SAS, не связанная с политикой сохраненного доступа, не может быть отозвана.A service SAS that is not associated with a stored access policy cannot be revoked. По этой причине рекомендуется ограничить срок действия, чтобы SAS действителен в течение одного часа или менее.For this reason, limiting the expiry time so that the SAS is valid for one hour or less is recommended. -
Ограничьте анонимный доступ к чтению в открытых местах к контейнерам и кабоямLimit anonymous public read access to containers and blobs Анонимный, общедоступный доступ к контейнеру и его капли предоставляет только для чтения доступ к этим ресурсам для любого клиента.Anonymous, public read access to a container and its blobs grants read-only access to those resources to any client. Избегайте предоставления общедоступного доступа к чтению, если сценарий не требует этого.Avoid enabling public read access unless your scenario requires it. -

СетиNetworking

РекомендацияRecommendation КомментарииComments Центр безопасностиSecurity Center
Включить правила брандмауэраEnable firewall rules Назначьте правила брандмауэра, чтобы ограничить доступ к учетной записи хранилища запросам, которые исходят от указанных IP-адресов или диапазонов, или из списка подсетей в виртуальной сети Azure (VNet).Configure firewall rules to limit access to your storage account to requests that originate from specified IP addresses or ranges, or from a list of subnets in an Azure Virtual Network (VNet). Для получения дополнительной информации о настройке правил брандмауэра см.For more information about configuring firewall rules, see Azure File Sync proxy and firewall settings. -
Разрешить доверенным службам Майкрософт доступ к учетной записи хранилищаAllow trusted Microsoft services to access the storage account Включение правил брандмауэра для учетной записи хранилища блокирует входящие запросы данных по умолчанию, если только запросы поступают от службы, работающей в виртуальной сети Azure (VNet) или с разрешенных общедоступных IP-адресов.Turning on firewall rules for your storage account blocks incoming requests for data by default, unless the requests originate from a service operating within an Azure Virtual Network (VNet) or from allowed public IP addresses. Запросы от других служб Azure, в том числе портала Azure, служб метрики и ведения журналов, блокируются.Requests that are blocked include those from other Azure services, from the Azure portal, from logging and metrics services, and so on. Вы можете разрешить запросы от других служб Azure, добавив исключение, позволяющее доверенным службам Майкрософт получить доступ к учетной записи хранилища.You can permit requests from other Azure services by adding an exception to allow trusted Microsoft services to access the storage account. Для получения дополнительной информации о добавлении исключения для надежных служб Майкрософт см.For more information about adding an exception for trusted Microsoft services, see Azure File Sync proxy and firewall settings. -
Использование частных конечных точекUse private endpoints Частная конечная точка присваивает учетную запись хранилища частного IP-адреса из виртуальной сети Azure (VNet).A private endpoint assigns a private IP address from your Azure Virtual Network (VNet) to the storage account. Он обеспечивает безопасность всего трафика между Вашим VNet и учетной записью хранения по частной ссылке.It secures all traffic between your VNet and the storage account over a private link. Для получения дополнительной информации о частных конечных точках см. Подключение к учетной записи хранения с помощью Azure Private Endpoint.For more information about private endpoints, see Connect privately to a storage account using Azure Private Endpoint. -
Ограничение доступа к сетям для конкретных сетейLimit network access to specific networks Ограничение сетевого доступа к сетям, принимающим клиентов, требующих доступа, снижает подверженность ваших ресурсов сетевым атакам.Limiting network access to networks hosting clients requiring access reduces the exposure of your resources to network attacks. ДаYes

Регистрация/МониторингLogging/Monitoring

РекомендацияRecommendation КомментарииComments Центр безопасностиSecurity Center
Отслеживайте авторизуемые запросыTrack how requests are authorized Включите журнал хранения Azure для отслеживания авторизованного запроса на хранение Azure.Enable Azure Storage logging to track how each request made against Azure Storage was authorized. В журналах указывается, был ли запрос сделан анонимно, с помощью токена OAuth 2.0, с помощью shared Key или с помощью общей подписи доступа (SAS).The logs indicate whether a request was made anonymously, by using an OAuth 2.0 token, by using Shared Key, or by using a shared access signature (SAS). Для получения дополнительной информации смотрите журнал аналитики хранения данных Azure.For more information, see Azure Storage analytics logging. -

Дальнейшие действияNext steps