Рекомендации по обеспечению безопасности для хранилища BLOB-объектов

В этой статье представлены рекомендации по обеспечению безопасности для хранилища BLOB-объектов. Реализация этих рекомендаций поможет вам выполнить обязательства по обеспечению безопасности, которые описаны в нашей модели общей ответственности. Дополнительные сведения о том, как корпорация Майкрософт выполняет обязанности поставщиков услуг, см. в разделе Общая ответственность в облаке.

Некоторые рекомендации, включенные в эту статью, можно автоматически отслеживать с помощью Microsoft Defender для облака, который является первой линией защиты ресурсов в Azure. Дополнительные сведения о Microsoft Defender для облака см. в статье Что такое Microsoft Defender для облака?

Microsoft Defender для облака периодически анализирует состояние безопасности ресурсов Azure, чтобы выявить потенциальные уязвимости. Затем он предоставляет рекомендации по их устранению. Дополнительные сведения о рекомендациях Microsoft Defender для облака см. в статье Проверка рекомендаций по безопасности.

Защита данных

Рекомендация Комментарии Defender для облака
Использование модели развертывания с помощью Azure Resource Manager Создайте новые учетные записи хранения с помощью модели развертывания Azure Resource Manager для важных улучшений безопасности, включая более высокий контроль доступа на основе ролей Azure (Azure RBAC) и аудит, развертывание и управление на основе Resource Manager, доступ к управляемым удостоверениям, доступ к Azure Key Vault для секретов, а также аутентификация Microsoft Entra и авторизация для доступа к служба хранилища Azure данным и ресурсам. По возможности переведите существующие учетные записи хранения, использующие классическую модель развертывания, на Azure Resource Manager. Дополнительные сведения см. в статье Общие сведения об Azure Resource Manager. -
Включение Microsoft Defender для всех учетных записей хранения Microsoft Defender для хранилища предоставляет дополнительный уровень обнаружения угроз, который отслеживает необычные и потенциально опасные попытки доступа или использования учетных записей хранения. Оповещения системы безопасности активируются в Microsoft Defender для облака при возникновении аномальной активности. Кроме того они отправляются по электронной почте администраторам подписок и сопровождаются подробными сведениями о подозрительных действиях, а также рекомендациями по изучению и устранению угроз. Дополнительные сведения см. в статье Настройка Microsoft Defender для службы хранилища Azure. Да
Включить обратимое удаление для BLOB-объектов Обратимое удаление для BLOB-объектов позволяет восстанавливать BLOB-данные после их удаления. Дополнительные сведения об обратимом удалении BLOB-объектов см. в статье Обратимое удаление для BLOB-объектов службы хранилища Azure. -
Включить обратимое удаление для контейнеров Обратимое удаление для контейнеров позволяет восстановить контейнер после его удаления. Дополнительные сведения об обратимом удалении для контейнеров см. в статье Обратимое удаление для контейнеров. -
Блокировка учетной записи хранения для предотвращения случайного или злонамеренного удаления либо изменения конфигурации Примените блокировку Azure Resource Manager к учетной записи хранения, чтобы защитить учетную запись от случайного или злонамеренного удаления либо изменения конфигурации. Блокировка учетной записи хранения не предотвращает удаления данных в этой учетной записи. Это защищает от удаления только саму учетную запись. Дополнительные сведения см. в статье Применение блокировки Azure Resource Manager к учетной записи хранения.
Хранение критически важных для бизнеса данных в неизменяемых BLOB-объектах Настройте юридические удержания и политики хранения с учетом времени для хранения данных BLOB-объектов в состоянии WORM (Write Once, Read Many — однократная запись, многократное считывание). BLOB-объекты, которые хранятся неизменяемыми, можно читать, но нельзя изменять или удалять в течение периода удержания. Дополнительные сведения см. в статье Хранение критически важных для бизнеса данных BLOB-объектов с помощью неизменяемого хранилища. -
Требование безопасной передачи данных (HTTPS) в учетную запись хранения При необходимости безопасной передачи для учетной записи хранения все запросы к учетной записи хранения следует выполнять по протоколу HTTPS. Любые запросы, выполненные по протоколу HTTP, отклоняются. Корпорация Майкрософт рекомендует установить постоянное требование безопасной передачи данных для всех учетных записей хранения. Дополнительные сведения см. в статье Требование безопасной передачи данных для обеспечения безопасных соединений. -
Ограничение использования маркеров SAS (подписанный URL-адрес) только для подключений по протоколу HTTPS Требование о применении протокола HTTPS, если клиент использует маркер SAS для доступа к данным BLOB-объектов, снижает риск перехвата. Дополнительные сведения см. в статье Предоставление ограниченного доступа к ресурсам службы хранилища Azure с помощью подписанных URL-адресов (SAS). -
Запретить реплика объекта между клиентами По умолчанию авторизованный пользователь может настроить политику реплика tion объекта, в которой исходная учетная запись находится в одном клиенте Microsoft Entra, а целевая учетная запись находится в другом клиенте. Запретить реплика объекта между клиентами, чтобы требовать, чтобы исходные и целевые учетные записи, участвующие в политике реплика tion объекта, находятся в одном клиенте. Дополнительные сведения см. в разделе "Запрет реплика объектов" в клиентах Microsoft Entra. -

Управление удостоверениями и доступом

Рекомендация Комментарии Defender для облака
Использование идентификатора Microsoft Entra для авторизации доступа к данным BLOB-объектов Идентификатор Microsoft Entra обеспечивает более высокую безопасность и простоту использования общего ключа для авторизации запросов к хранилищу BLOB-объектов. Дополнительные сведения см. в статье Авторизация доступа к данным в службе хранилища Azure. -
Имейте в виду принцип наименьших привилегий при назначении разрешений субъекту безопасности Microsoft Entra через Azure RBAC При назначении роли пользователю, группе или приложению этому субъекту безопасности следует предоставить только разрешения, необходимые для выполнения задач. Ограничение доступа к ресурсам позволяет предотвратить и непреднамеренное, и злонамеренное неправильное использование данных. -
Использование SAS для делегирования пользователей в целях обеспечения ограниченного доступа к данным BLOB-объектов для клиентов SAS делегирования пользователей защищен учетными данными Microsoft Entra, а также разрешениями, указанными для SAS. SAS для делегирования пользователей является аналогом SAS-службы с точки зрения области действия и функций. При этом по сравнению с SAS-службой предоставляются дополнительные преимущества для системы безопасности. Дополнительные сведения см. в статье Предоставление ограниченного доступа к ресурсам службы хранилища Azure с помощью подписанных URL-адресов (SAS). -
Защита ключей доступа к учетной записи с помощью Azure Key Vault Корпорация Майкрософт рекомендует использовать идентификатор Microsoft Entra для авторизации запросов на служба хранилища Azure. Но при необходимости авторизации с использованием общего ключа следует защитить ключи учетной записи с помощью Azure Key Vault. Ключи можно получить из хранилища ключей во время выполнения, а не сохранять их вместе с приложением. Дополнительную информацию см. в статье Сведения об Azure Key Vault. -
Периодическое повторное создание ключей учетной записи Периодическое изменение ключей учетной записи снижает риск раскрытия данных злоумышленникам. -
Запрет авторизации с общим ключом Если запретить авторизацию с общим ключом для учетной записи хранения, служба хранилища Azure будет отклонять все последующие запросы к этой учетной записи, которые авторизованы с помощью ключей доступа к учетной записи. Будут успешно выполнены только защищенные запросы, авторизованные с идентификатором Microsoft Entra. Дополнительные сведения см. в статье Предотвращение авторизации с общим ключом для учетной записи службы хранения Azure. -
Имейте в виду принцип наименьших привилегий при назначении разрешений SAS При создании SAS укажите только разрешения, необходимые клиенту для выполнения своей функции. Ограничение доступа к ресурсам позволяет предотвратить и непреднамеренное, и злонамеренное неправильное использование данных. -
Наличие плана отзыва для любого SAS, выданного клиентам В случае компрометации SAS необходимо как можно скорее отменить его. Чтобы отменить SAS для делегирования пользователей, отмените ключ для делегирования пользователей. Это позволит быстро аннулировать все подписи, связанные с этим ключом. Чтобы отменить SAS службы, связанный с хранимой политикой доступа, можно удалить хранимую политику доступа, переименовать политику или изменить время окончания срока действия на прошедшую дату. Дополнительные сведения см. в статье Предоставление ограниченного доступа к ресурсам службы хранилища Azure с помощью подписанных URL-адресов (SAS). -
Если SAS службы не связан с хранимой политикой доступа, установите время истечения срока действия как 1 час или меньше. Нельзя отменить SAS службы, не связанный с хранимой политикой доступа. Поэтому рекомендуется ограничить срок действия SAS, чтобы он не превышал одного часа. -
Отключение анонимного доступа на чтение к контейнерам и BLOB-объектам анонимный доступ на чтение к контейнеру и его BLOB-объектам предоставляет доступ только для чтения к этим ресурсам любому клиенту. Избегайте включения анонимного доступа на чтение, если этот сценарий не требуется. Сведения об отключении анонимного доступа для учетной записи хранения см. в статье "Обзор: исправление анонимного доступа на чтение для данных BLOB-объектов". -

Сеть

Рекомендация Комментарии Defender для облака
Настройка минимальной требуемой версии протокола TLS для учетной записи хранения. Необходимо требовать, чтобы клиенты использовали более безопасную версию протокола TLS для выполнения запросов к учетной записи службы хранилища Azure путем настройки минимальной версии TLS для этой учетной записи. Дополнительные сведения см. в статье Настройка минимальной требуемой версии протокола TLS для учетной записи хранения. -
Включение параметра Требуется безопасное перемещение для всех учетных записей хранения Если включен параметр Требуется безопасное перемещение, все запросы к учетной записи хранения должны выполняться с использованием защищенных подключений. Все запросы, выполненные по протоколу HTTP, завершатся ошибкой. Дополнительные сведения см. в статье Обязательное безопасное перемещение в службе хранилища Azure. Да
Включение правил брандмауэра Настройте правила брандмауэра для ограничения доступа к учетной записи хранения только для запросов, исходящих из указанных IP-адресов, диапазонов IP-адресов или из списка подсетей в виртуальной сети Azure (VNet). Дополнительные сведения см. в статье Настройка брандмауэров службы хранилища Azure и виртуальных сетей. -
Разрешение доступа к учетной записи хранения для доверенных служб Microsoft Включение правил брандмауэра для учетной записи хранения по умолчанию блокирует входящие запросы данных, за исключением запросов от служб, работающих внутри виртуальной сети Azure (VNet), или запросов, поступающих из разрешенных общедоступных IP-адресов. Запросы от других служб Azure, в том числе портала Azure, служб метрики и ведения журналов, блокируются. Можно разрешить запросы от других служб Azure, добавив исключение, чтобы предоставить доверенным службам Microsoft доступ к учетной записи хранения. Дополнительные сведения о добавлении исключений для доверенных служб Microsoft см. в статье Настройка брандмауэров службы хранилища Azure и виртуальных сетей. -
Использование частных конечных точек Частная конечная точка назначает в учетной записи хранения частный IP-адрес из виртуальной сети Azure (VNet). Это обеспечивает безопасность всего трафика по частному каналу между VNet и учетной записью хранения. Дополнительные сведения о частных конечных точках см. в статье Частное подключение к учетной записи хранения с помощью частной конечной точки Azure. -
Использование тегов службы виртуальной сети Тег службы представляет группу префиксов IP-адресов из определенной службы Azure. Корпорация Майкрософт управляет префиксами адресов, входящих в тег службы, и автоматически обновляет этот тег при изменении адресов. Дополнительные сведения о тегах служб, поддерживаемых службой хранилища Azure, см. в статье Общие сведения о тегах служб Azure. Руководство по использованию тегов служб для создания правил исходящего сетевого трафика см. в статье Ограничение доступа к ресурсам PaaS. -
Ограничение сетевого доступа к определенным сетям Ограничение сетевого доступа к сетям, в которых размещаются клиенты с необходимостью доступа, снижает уязвимость ресурсов к сетевым атакам. Да
Настройка предпочтения маршрутизации для сети С помощью глобальной сети Майкрософт или интернет-маршрутизации можно настроить предпочтения маршрутизации для сети для учетной записи хранения Azure, чтобы определить способ передачи сетевого трафика в учетную запись от клиентов через Интернет. Дополнительные сведения см. в статье Настройка предпочтений маршрутизации для сети для службы хранилища Azure. -

Ведение журналов/мониторинг

Рекомендация Комментарии Defender для облака
Отслеживание авторизации запросов Включите ведение журнала для служба хранилища Azure для отслеживания того, как запросы к службе авторизованы. В журналах указаны следующие сведения: анонимность запроса; запрос с помощью маркера OAuth 2.0; запрос с помощью общего ключа или подписанного URL-адреса (SAS). Дополнительные сведения см. в статье Мониторинг хранилища BLOB-объектов Azure с помощью Azure Monitor или Ведение журнала аналитики службы хранилища Azure с помощью классического мониторинга. -
Настройка оповещений в Azure Monitor Настройте оповещения журнала для оценки журналов ресурсов с заданной периодичностью и запуска оповещений на основе результатов. Дополнительные сведения см. в статье Оповещения журнала в Azure Monitor. -

Следующие шаги