Den här artikeln innehåller säkerhetsrekommendationer för Blob Storage. Implementeringen av dessa rekommendationer hjälper dig att uppfylla dina säkerhetskrav enligt beskrivningen i vår modell för delat ansvar. Mer information om hur Microsoft uppfyller tjänstleverantörens ansvarsområden finns i Delat ansvar i molnet.
Några av rekommendationerna i den här artikeln kan övervakas automatiskt av Microsoft Defender for Cloud, som är den första försvarslinjen för att skydda dina resurser i Azure. Information om Microsoft Defender för molnet finns i Vad är Microsoft Defender för moln?
Microsoft Defender for Cloud analyserar regelbundet säkerhetstillståndet för dina Azure-resurser för att identifiera potentiella säkerhetsproblem. Du får sedan rekommendationer om hur du kan åtgärda dem. Mer information om rekommendationer för Microsoft Defender för molnet finns i Säkerhetsrekommendationer i Microsoft Defender för molnet.
Dataskydd
Rekommendation
Kommentarer
Defender for Cloud
Använda Azure Resource Manager distributionsmodellen
Skapa nya lagringskonton med hjälp av Azure Resource Manager-distributionsmodellen för viktiga säkerhetsförbättringar, inklusive överordnad rollbaserad åtkomstkontroll i Azure (Azure RBAC) och granskning, Resource Manager-baserad distribution och styrning, åtkomst till hanterade identiteter, åtkomst till Azure Key Vault för hemligheter samt Azure AD-baserad autentisering och auktorisering för åtkomst till Azure Storage-data och resurser. Om möjligt migrerar du befintliga lagringskonton som använder den klassiska distributionsmodellen för att använda Azure Resource Manager. Mer information om Azure Resource Manager finns i Azure Resource Manager översikt.
-
Aktivera Microsoft Defender för alla dina lagringskonton
Microsoft Defender for Storage tillhandahåller ytterligare ett lager med säkerhetsinformation som identifierar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja lagringskonton. Säkerhetsaviseringar utlöses i Microsoft Defender for Cloud när avvikelser i aktivitet inträffar och skickas även via e-post till prenumerationsadministratörer, med information om misstänkt aktivitet och rekommendationer om hur du undersöker och åtgärdar hot. Mer information finns i Konfigurera Microsoft Defender för Storage.
Med mjuk borttagning för blobar kan du återställa blobdata när de har tagits bort. Mer information om mjuk borttagning för blobar finns i Mjuk borttagning för Azure Storage blobar.
-
Aktivera mjuk borttagning för containrar
Med mjuk borttagning för containrar kan du återställa en container när den har tagits bort. Mer information om mjuk borttagning för containrar finns i Mjuk borttagning för containrar.
-
Lås lagringskontot för att förhindra oavsiktlig eller skadlig borttagning eller konfigurationsändringar
Använd ett Azure Resource Manager på ditt lagringskonto för att skydda kontot mot oavsiktlig eller skadlig borttagning eller konfigurationsändring. Att låsa ett lagringskonto förhindrar inte att data i det kontot tas bort. Det förhindrar bara att själva kontot tas bort. Mer information finns i Tillämpa ett Azure Resource Manager på ett lagringskonto.
Lagra affärskritiska data i oföränderliga blobar
Konfigurera bevarande av juridiska uppgifter och tidsbaserade bevarandeprinciper för att lagra blobdata i ett WORM-tillstånd (Write Once, Read Many). Blobar som lagras oföränderligt kan läsas, men kan inte ändras eller tas bort under kvarhållningsintervallet. Mer information finns i Lagra affärskritiska blobdata med oföränderlig lagring.
-
Kräv säker överföring (HTTPS) till lagringskontot
När du behöver säker överföring för ett lagringskonto måste alla begäranden till lagringskontot göras via HTTPS. Begäranden som görs via HTTP avvisas. Microsoft rekommenderar att du alltid kräver säker överföring för alla dina lagringskonton. Mer information finns i Kräv säker överföring för att säkerställa säkra anslutningar.
-
Begränsa SAS-token (signatur för delad åtkomst) till endast HTTPS-anslutningar
Använd Azure Active Directory (Azure AD) för att auktorisera åtkomst till blobdata
Azure AD ger överlägsen säkerhet och enkel användning via delad nyckel för auktorisering av begäranden till Blob Storage. Mer information finns i Auktorisera åtkomst till data i Azure Storage.
-
Tänk på minsta privilegium när du tilldelar behörigheter till ett Azure AD-säkerhetsobjekt via Azure RBAC
När du tilldelar en roll till en användare, grupp eller ett program beviljar du säkerhetsobjekt endast de behörigheter som krävs för att de ska kunna utföra sina uppgifter. Genom att begränsa åtkomsten till resurser kan du förhindra både oavsiktligt och skadligt missbruk av dina data.
-
Använda en SAS för användardelegering för att bevilja begränsad åtkomst till blobdata till klienter
En SAS för användardelegering skyddas med Azure Active Directory autentiseringsuppgifter (Azure AD) och även av de behörigheter som anges för SAS. En SAS för användardelegering motsvarar en tjänst-SAS vad gäller omfång och funktion, men ger säkerhetsfördelar över tjänstens SAS. Mer information finns i Bevilja begränsad åtkomst till Azure Storage resurser med hjälp av signaturer för delad åtkomst (SAS).
-
Skydda åtkomstnycklarna för ditt konto med Azure Key Vault
Microsoft rekommenderar att du använder Azure AD för att auktorisera begäranden till Azure Storage. Men om du måste använda auktorisering med delad nyckel ska du skydda dina kontonycklar med Azure Key Vault. Du kan hämta nycklarna från nyckelvalvet vid körning i stället för att spara dem med ditt program. Mer information om Azure Key Vault finns i Azure Key Vault översikt.
-
Återskapa dina kontonycklar regelbundet
Att rotera kontonycklarna minskar regelbundet risken för att exponera dina data för illvilliga aktörer.
-
Tillåta inte auktorisering av delad nyckel
När du inte tillåter auktorisering med delad nyckel för ett lagringskonto Azure Storage avvisar alla efterföljande begäranden till det kontot som har auktoriserats med åtkomstnycklarna för kontot. Endast skyddade begäranden som auktoriserats med Azure AD lyckas. Mer information finns i Förhindra auktorisering med delad nyckel för ett Azure Storage konto.
-
Tänk på huvudnamn för minsta behörighet när du tilldelar behörigheter till en SAS
När du skapar en SAS anger du endast de behörigheter som krävs av klienten för att utföra dess funktion. Genom att begränsa åtkomsten till resurser kan du förhindra både oavsiktligt och skadligt missbruk av dina data.
-
Ha en återkallningsplan på plats för alla SAS som du utfärdar till klienter
Om en SAS komprometteras bör du återkalla den SAS:en så snart som möjligt. Återkalla en SAS för användardelegering genom att återkalla nyckeln för användardelegering för att snabbt ogiltigförklara alla signaturer som är associerade med den nyckeln. Om du vill återkalla en tjänst-SAS som är associerad med en lagrad åtkomstprincip kan du ta bort den lagrade åtkomstprincipen, byta namn på principen eller ändra dess förfallotid till en tidigare tidpunkt. Mer information finns i Bevilja begränsad åtkomst till Azure Storage resurser med hjälp av signaturer för delad åtkomst (SAS).
-
Om en tjänst-SAS inte är associerad med en lagrad åtkomstprincip anger du förfallotiden till en timme eller mindre
En tjänst-SAS som inte är associerad med en lagrad åtkomstprincip kan inte återkallas. Därför rekommenderas att du begränsar förfallotiden så att SAS är giltig i en timme eller mindre.
-
Inaktivera anonym offentlig läsåtkomst till containrar och blobar
Anonym offentlig läsåtkomst till en container och dess blobar ger skrivskyddade åtkomst till dessa resurser till alla klienter. Undvik att aktivera offentlig läsåtkomst om inte ditt scenario kräver det. Information om hur du inaktiverar anonym offentlig åtkomst för ett lagringskonto finns i Konfigurera anonym offentlig läsåtkomst för containrar och blobar.
-
Nätverk
Rekommendation
Kommentarer
Defender for Cloud
Konfigurera den lägsta version av Transport Layer Security (TLS) som krävs för ett lagringskonto.
Aktivera alternativet Säker överföring krävs för alla dina lagringskonton
När du aktiverar alternativet Säker överföring krävs måste alla begäranden som görs mot lagringskontot ske via säkra anslutningar. Alla begäranden som görs via HTTP misslyckas. Mer information finns i Kräv säker överföring i Azure Storage.
Konfigurera brandväggsregler för att begränsa åtkomsten till ditt lagringskonto till begäranden som kommer från angivna IP-adresser eller intervall, eller från en lista över undernät i ett Azure Virtual Network (VNet). Mer information om hur du konfigurerar brandväggsregler finns i Konfigurera Azure Storage och virtuella nätverk.
-
Tillåt betrodda Microsoft-tjänster åtkomst till lagringskontot
Om du startar brandväggsregler för ditt lagringskonto blockeras inkommande databegäranden som standard, såvida inte begärandena kommer från en tjänst som fungerar i ett Azure Virtual Network (VNet) eller från tillåtna offentliga IP-adresser. Blockerade begäranden är bland annat från andra Azure-tjänster, från Azure Portal, från loggnings- och måtttjänster och så vidare. Du kan tillåta begäranden från andra Azure-tjänster genom att lägga till ett undantag för att tillåta betrodda Microsoft-tjänster att komma åt lagringskontot. Mer information om hur du lägger till ett undantag för betrodda Microsoft-tjänster finns i Konfigurera Azure Storage brandväggar och virtuella nätverk.
-
Använda privata slutpunkter
En privat slutpunkt tilldelar en privat IP-adress från ditt Azure Virtual Network (VNet) till lagringskontot. Det skyddar all trafik mellan ditt VNet och lagringskontot via en privat länk. Mer information om privata slutpunkter finns i Anslut privat till ett lagringskontomed azure privat slutpunkt.
-
Använda VNet-tjänsttaggar
En tjänsttagg representerar en grupp med IP-adressprefix från en viss Azure-tjänst. Microsoft hanterar de adressprefix som omfattas av tjänsttaggen och uppdaterar automatiskt tjänsttaggen när adresserna ändras. Mer information om tjänsttaggar som stöds av Azure Storage finns i Översikt över Azure-tjänsttaggar. En självstudiekurs som visar hur du använder tjänsttaggar för att skapa regler för utgående nätverk finns i Begränsa åtkomsten till PaaS-resurser.
-
Begränsa nätverksåtkomst till specifika nätverk
Genom att begränsa nätverksåtkomsten till nätverk som är värdar för klienter som behöver åtkomst minskar exponeringen av dina resurser för nätverksattacker.
Du kan konfigurera inställningar för nätverksroutning för ditt Azure Storage-konto för att ange hur nätverkstrafiken dirigeras till ditt konto från klienter via Internet med hjälp av Microsofts globala nätverk eller Internetroutning. Mer information finns i Konfigurera inställningar för nätverksroutning för Azure Storage.
-
Loggning/övervakning
Rekommendation
Kommentarer
Defender for Cloud
Spåra hur begäranden auktoriserats
Aktivera Azure Storage för att spåra hur varje begäran som gjorts mot Azure Storage har auktoriserats. Loggarna anger om en begäran har gjorts anonymt, med hjälp av en OAuth 2.0-token, med hjälp av delad nyckel eller med hjälp av en signatur för delad åtkomst (SAS). Mer information finns i Monitoring Azure Blob Storage with Azure Monitor or Azure Storage analytics logging with Classic Monitoring (Övervaka Azure Blob-Storage med Azure Monitor eller Azure Storage med klassisk övervakning.
-
Konfigurera aviseringar i Azure Monitor
Konfigurera loggaaviseringar för att utvärdera resursloggar med en fast frekvens och skicka en avisering baserat på resultatet. Mer information finns i Logga aviseringar i Azure Monitor.
