Azure-säkerhetsbaslinje för Storage
Den här säkerhetsbaslinjen tillämpar vägledning från Microsoft Cloud Security Benchmark version 1.0 till Storage. Microsofts benchmark för molnsäkerhet ger rekommendationer om hur du kan skydda dina molnlösningar i Azure. Innehållet grupperas efter de säkerhetskontroller som definieras av Microsofts benchmark för molnsäkerhet och den relaterade vägledning som gäller för Storage.
Du kan övervaka den här säkerhetsbaslinjen och dess rekommendationer med hjälp av Microsoft Defender för molnet. Azure Policy definitioner visas i avsnittet Regelefterlevnad på portalsidan Microsoft Defender för molnet.
När en funktion har relevanta Azure Policy definitioner visas de i den här baslinjen för att hjälpa dig att mäta efterlevnaden av Microsofts benchmark-kontroller och rekommendationer för molnsäkerhet. Vissa rekommendationer kan kräva en betald Microsoft Defender plan för att aktivera vissa säkerhetsscenarier.
Anteckning
Funktioner som inte är tillämpliga för Storage har exkluderats. Om du vill se hur Lagring helt mappar till Microsofts prestandamått för molnsäkerhet kan du läsa den fullständiga mappningsfilen för lagringssäkerhetsbaslinje.
Säkerhetsprofil
Säkerhetsprofilen sammanfattar lagringens beteende med hög påverkan, vilket kan leda till ökade säkerhetsöverväganden.
| Attribut för tjänstbeteende | Värde |
|---|---|
| Produktkategori | Storage |
| Kunden kan komma åt HOST/OS | Ingen åtkomst |
| Tjänsten kan distribueras till kundens virtuella nätverk | Sant |
| Lagrar kundinnehåll i vila | Sant |
Nätverkssäkerhet
Mer information finns i Microsoft Cloud Security Benchmark: Nätverkssäkerhet.
NS-1: Upprätta nätverkssegmenteringsgränser
Funktioner
Integrering med virtuellt nätverk
Beskrivning: Tjänsten stöder distribution till kundens privata Virtual Network (VNet). Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falskt | Ej tillämpligt | Ej tillämpligt |
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
NS-2: Skydda molntjänster med nätverkskontroller
Funktioner
Azure Private Link
Beskrivning: Tjänstens interna IP-filtreringsfunktion för filtrering av nätverkstrafik (ska inte förväxlas med NSG eller Azure Firewall). Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Konfigurationsvägledning: Distribuera privata slutpunkter för Azure Storage för att upprätta en privat åtkomstpunkt för resurserna.
Referens: Använda privata slutpunkter för Azure Storage
Inaktivera åtkomst till offentligt nätverk
Beskrivning: Tjänsten stöder inaktivering av åtkomst till offentligt nätverk antingen via filtreringsregeln IP ACL på tjänstnivå (inte NSG eller Azure Firewall) eller med växlingsknappen Inaktivera åtkomst till offentligt nätverk. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Konfigurationsvägledning: Inaktivera åtkomst till offentligt nätverk med hjälp av IP-ACL-filtrering på azure Storage-tjänstnivå eller en växlingsväxel för åtkomst till offentligt nätverk.
Referens: Ändra standardregeln för nätverksåtkomst
Identitetshantering
Mer information finns i Microsoft Cloud Security Benchmark: Identitetshantering.
IM-1: Använd centraliserat identitets- och autentiseringssystem
Funktioner
Azure AD autentisering krävs för dataplansåtkomst
Beskrivning: Tjänsten stöder användning av Azure AD-autentisering för åtkomst till dataplanet. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Sant | Microsoft |
Funktionsanteckningar: Lagring erbjuder flera sätt att auktorisera dataplanet. Azure tillhandahåller rollbaserad åtkomstkontroll i Azure (Azure RBAC) för detaljerad kontroll över en klients åtkomst till resurser i ett lagringskonto. Använd Azure AD autentiseringsuppgifter när det är möjligt som bästa praxis för säkerhet i stället för att använda kontonyckeln, som är enklare att kompromettera. När din programdesign kräver signaturer för delad åtkomst för åtkomst till Blob Storage använder du Azure AD autentiseringsuppgifter för att skapa signaturer för delad åtkomst (SAS) för användardelegering när det är möjligt för överlägsen säkerhet.
Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat för en standarddistribution.
Referens: Auktorisera åtkomst till data i Azure Storage
Lokala autentiseringsmetoder för dataplansåtkomst
Beskrivning: Lokala autentiseringsmetoder som stöds för åtkomst till dataplanet, till exempel ett lokalt användarnamn och lösenord. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Funktionsanteckningar: Undvik användning av lokala autentiseringsmetoder eller konton. Dessa bör inaktiveras när det är möjligt. Använd i stället Azure AD för att autentisera där det är möjligt.
Konfigurationsvägledning: Begränsa användningen av lokala autentiseringsmetoder för dataplansåtkomst. Använd i stället Azure Active Directory (Azure AD) som standardautentiseringsmetod för att styra åtkomsten till dataplanet.
Referens: SFTP-behörighetsmodell
IM-3: Hantera programidentiteter på ett säkert och automatiskt sätt
Funktioner
Hanterade identiteter
Beskrivning: Dataplansåtgärder stöder autentisering med hanterade identiteter. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Konfigurationsvägledning: Använd hanterade Azure-identiteter i stället för tjänstens huvudnamn när det är möjligt, som kan autentisera mot Azure-tjänster och resurser som stöder Azure Active Directory-autentisering (Azure AD). Autentiseringsuppgifterna för hanterade identiteter hanteras, roteras och skyddas av plattformen, vilket undviker hårdkodade autentiseringsuppgifter i källkods- eller konfigurationsfiler.
Referens: Auktorisera åtkomst till blobdata med hanterade identiteter för Azure-resurser
Tjänstens huvudnamn
Beskrivning: Dataplanet stöder autentisering med hjälp av tjänstens huvudnamn. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Ytterligare vägledning: Med Azure AD kan du använda rollbaserad åtkomstkontroll i Azure (Azure RBAC) för att bevilja behörigheter till ett säkerhetsobjekt, som kan vara en användare, grupp eller programtjänstens huvudnamn. Säkerhetsobjektet autentiseras av Azure AD för att returnera en OAuth 2.0-token. Token kan sedan användas för att auktorisera en begäran mot Blob-tjänsten.
Referens: Auktorisera åtkomst till blobar med hjälp av Azure Active Directory
SNABBMEDDELANDE 7: Begränsa resursåtkomst baserat på villkor
Funktioner
Villkorsstyrd åtkomst för dataplan
Beskrivning: Dataplansåtkomst kan styras med hjälp av Azure AD principer för villkorsstyrd åtkomst. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Konfigurationsvägledning: Definiera tillämpliga villkor och kriterier för villkorsstyrd åtkomst i Azure Active Directory (Azure AD) i arbetsbelastningen. Överväg vanliga användningsfall som att blockera eller bevilja åtkomst från specifika platser, blockera riskfyllt inloggningsbeteende eller kräva organisationshanterade enheter för specifika program.
Referens: Tillåt inte auktorisering av delad nyckel för användning Azure AD villkorlig åtkomst
IM-8: Begränsa exponeringen av autentiseringsuppgifter och hemligheter
Funktioner
Stöd för integrering och lagring av tjänstautentiseringsuppgifter och hemligheter i Azure Key Vault
Beskrivning: Dataplanet stöder intern användning av Azure Key Vault för lagring av autentiseringsuppgifter och hemligheter. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Konfigurationsvägledning: Se till att hemligheter och autentiseringsuppgifter lagras på säkra platser som Azure Key Vault, i stället för att bädda in dem i kod- eller konfigurationsfiler.
Referens: Hantera lagringskontonycklar med Key Vault och Azure CLI
Privilegierad åtkomst
Mer information finns i Microsofts benchmark för molnsäkerhet: Privilegierad åtkomst.
PA-1: Avgränsa och begränsa högprivilegierade/administrativa användare
Funktioner
Lokala Admin-konton
Beskrivning: Tjänsten har begreppet lokalt administrativt konto. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falskt | Ej tillämpligt | Ej tillämpligt |
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
PA-7: Följ principen för precis tillräcklig administration (lägsta behörighet)
Funktioner
Azure RBAC för dataplan
Beskrivning: Azure Role-Based Access Control (Azure RBAC) kan användas för hanterad åtkomst till tjänstens dataplansåtgärder. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Konfigurationsvägledning: Azure Storage stöder användning av Azure Active Directory (Azure AD) för att auktorisera begäranden till blobdata. Med Azure AD kan du använda rollbaserad åtkomstkontroll i Azure (Azure RBAC) för att bevilja behörigheter till ett säkerhetsobjekt, som kan vara en användare, grupp eller programtjänstens huvudnamn.
Auktorisering av begäranden mot Azure Storage med Azure AD ger överlägsen säkerhet och användarvänlighet över auktorisering med delad nyckel. Microsoft rekommenderar att du använder Azure AD auktorisering med dina blobprogram när det är möjligt för att säkerställa åtkomst med minsta nödvändiga privilegier.
Referens: Auktorisera åtkomst till blobar med hjälp av Azure Active Directory
PA-8: Fastställa åtkomstprocess för molnleverantörssupport
Funktioner
Customer Lockbox
Beskrivning: Customer Lockbox kan användas för microsofts supportåtkomst. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Konfigurationsvägledning: I supportscenarier där Microsoft behöver åtkomst till dina data använder du Customer Lockbox för att granska och sedan godkänna eller avvisa var och en av Microsofts dataåtkomstbegäranden.
Referens: Customer Lockbox
Dataskydd
Mer information finns i Microsoft Cloud Security Benchmark: Dataskydd.
DP-1: Identifiera, klassificera och märka känsliga data
Funktioner
Identifiering och klassificering av känsliga data
Beskrivning: Verktyg (till exempel Azure Purview eller Azure Information Protection) kan användas för identifiering och klassificering av data i tjänsten. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Funktionsanteckningar: Lagringsintegrering med Azure Purview är för närvarande i privat förhandsversion.
Konfigurationsvägledning: Använd Azure Purview för att skanna, klassificera och märka känsliga data som finns i Azure Storage.
Referens: Ansluta till Azure Blob Storage i Microsoft Purview
DP-2: Övervaka avvikelser och hot mot känsliga data
Funktioner
Dataläckage/förlustskydd
Beskrivning: Tjänsten stöder DLP-lösning för att övervaka förflyttning av känsliga data (i kundens innehåll). Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Konfigurationsvägledning: Defender for Storage analyserar kontinuerligt telemetriströmmen som genereras av Azure Blob Storage- och Azure Files-tjänsterna. När potentiellt skadliga aktiviteter identifieras genereras säkerhetsaviseringar. Dessa aviseringar visas i Microsoft Defender för molnet, tillsammans med information om den misstänkta aktiviteten tillsammans med relevanta undersökningssteg, reparationsåtgärder och säkerhetsrekommendationer.
Microsoft Defender för Storage är inbyggt i Microsoft Defender för molnet. När du aktiverar Microsoft Defender för molnets förbättrade säkerhetsfunktioner i din prenumeration aktiveras Microsoft Defender för Lagring automatiskt för alla dina lagringskonton. Du kan aktivera eller inaktivera Defender for Storage för enskilda lagringskonton under en specifik prenumeration.
Referens: Konfigurera Microsoft Defender för lagring
DP-3: Kryptera känsliga data under överföring
Funktioner
Data under överföringskryptering
Beskrivning: Tjänsten stöder datakryptering under överföring för dataplanet. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Sant | Microsoft |
Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat för en standarddistribution.
Referens: Framtvinga en lägsta version av TLS (Transport Layer Security) för begäranden till ett lagringskonto
DP-4: Aktivera vilande datakryptering som standard
Funktioner
Vilande datakryptering med plattformsnycklar
Beskrivning: Vilande datakryptering med plattformsnycklar stöds, allt kundinnehåll i vila krypteras med dessa Microsoft-hanterade nycklar. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Sant | Microsoft |
Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat för en standarddistribution.
Referens: Azure Storage-kryptering för vilande data
DP-5: Använd alternativet kundhanterad nyckel i vilodatakryptering vid behov
Funktioner
Vilande datakryptering med CMK
Beskrivning: Vilande datakryptering med kundhanterade nycklar stöds för kundinnehåll som lagras av tjänsten. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Konfigurationsvägledning: Om det behövs för regelefterlevnad definierar du användningsfall och tjänstomfång där kryptering med kundhanterade nycklar behövs. Aktivera och implementera vilande datakryptering för data i omfånget med hjälp av kundhanterad nyckel för Azure Storage
Referens: Kundhanterade nycklar för Azure Storage-kryptering
DP-6: Använd en säker nyckelhanteringsprocess
Funktioner
Nyckelhantering i Azure Key Vault
Beskrivning: Tjänsten stöder Azure Key Vault integrering för kundnycklar, hemligheter eller certifikat. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Konfigurationsvägledning: Använd Azure Key Vault för att skapa och kontrollera livscykeln för dina krypteringsnycklar, inklusive nyckelgenerering, distribution och lagring. Rotera och återkalla dina nycklar i Azure Key Vault och din tjänst baserat på ett definierat schema eller när det finns en viktig tillbakadragning eller kompromiss. När du behöver använda kundhanterad nyckel (CMK) på arbetsbelastnings-, tjänst- eller programnivå bör du följa metodtipsen för nyckelhantering: Använd en nyckelhierarki för att generera en separat datakrypteringsnyckel (DEK) med nyckelkrypteringsnyckeln (KEK) i nyckelvalvet. Kontrollera att nycklarna är registrerade med Azure Key Vault och refereras via nyckel-ID:t från tjänsten eller programmet. Om du behöver ta med din egen nyckel (BYOK) till tjänsten (till exempel importera HSM-skyddade nycklar från dina lokala HSM:er till Azure Key Vault) följer du de rekommenderade riktlinjerna för att utföra inledande nyckelgenerering och nyckelöverföring.
Referens: Hantera lagringskontonycklar med Key Vault och Azure CLI
Tillgångshantering
Mer information finns i Microsoft Cloud Security Benchmark: Tillgångshantering.
AM-2: Använd endast godkända tjänster
Funktioner
Azure Policy-stöd
Beskrivning: Tjänstkonfigurationer kan övervakas och framtvingas via Azure Policy. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Konfigurationsvägledning: Definiera och implementera standardsäkerhetskonfigurationer för nätverksresurser som är associerade med ditt Azure Storage-konto med Azure Policy. Använd Azure Policy alias i namnrymderna "Microsoft.Storage" och "Microsoft.Network" för att skapa anpassade principer för att granska eller framtvinga nätverkskonfigurationen för dina lagringskontoresurser.
Du kan också använda inbyggda principdefinitioner relaterade till lagringskonto, till exempel: Lagringskonton bör använda en tjänstslutpunkt för virtuellt nätverk
Referens: Azure Policy inbyggda definitioner för Azure Storage
Loggning och hotidentifiering
Mer information finns i Microsoft Cloud Security Benchmark: Loggning och hotidentifiering.
LT-1: Aktivera funktioner för hotidentifiering
Funktioner
Microsoft Defender för tjänst/produkterbjudande
Beskrivning: Tjänsten har en erbjudandespecifik Microsoft Defender lösning för att övervaka och varna om säkerhetsproblem. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Konfigurationsvägledning: Använd Microsoft Defender för Storage för att tillhandahålla ytterligare ett lager med säkerhetsinformation som identifierar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja lagringskonton. Den använder avancerade funktioner för hotidentifiering och Microsoft Threat Intelligence-data för att tillhandahålla sammanhangsbaserade säkerhetsaviseringar. Dessa aviseringar innehåller också steg för att minimera de identifierade hoten och förhindra framtida attacker.
Referens: Introduktion till Microsoft Defender för Storage
LT-4: Aktivera loggning för säkerhetsundersökning
Funktioner
Azure-resursloggar
Beskrivning: Tjänsten skapar resursloggar som kan ge förbättrade tjänstspecifika mått och loggning. Kunden kan konfigurera dessa resursloggar och skicka dem till sin egen datamottagare som ett lagringskonto eller en Log Analytics-arbetsyta. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Konfigurationsvägledning: Mata in loggar via Azure Monitor för att aggregera säkerhetsdata som genereras av slutpunktsenheter, nätverksresurser och andra säkerhetssystem. I Azure Monitor använder du Log Analytics-arbetsytor för att köra frågor mot och utföra analyser och använda Azure Storage-konton för långsiktig/arkiveringslagring, om du vill med säkerhetsfunktioner som oföränderlig lagring och framtvingad kvarhållning.
Referens: Övervakning Azure Blob Storage
Säkerhetskopiering och återställning
Mer information finns i Microsoft Cloud Security Benchmark: Säkerhetskopiering och återställning.
BR-1: Säkerställ regelbundna automatiserade säkerhetskopieringar
Funktioner
Azure Backup
Beskrivning: Tjänsten kan säkerhetskopieras av Azure Backup-tjänsten. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Funktionsanteckningar: Azure Backup stöds för närvarande endast för Azure Blob Storage. Kö- och tabelldata kan säkerhetskopieras med hjälp av kommandoradsverktyget AzCopy.
Konfigurationsvägledning: Aktivera Azure Backup och konfigurera säkerhetskopieringskällan med önskad frekvens och med önskad kvarhållningsperiod. Azure Backup gör att du enkelt kan konfigurera driftsäkerhetskopiering för att skydda blockblobar i dina lagringskonton. Säkerhetskopiering av blobar konfigureras på lagringskontonivå. Därför skyddas alla blobar i lagringskontot med driftsäkerhetskopiering.
Du kan konfigurera säkerhetskopiering för flera lagringskonton med hjälp av Backup Center. Du kan också konfigurera säkerhetskopiering för ett lagringskonto med hjälp av lagringskontots dataskyddsegenskaper.
Referens: Översikt över driftsäkerhetskopiering för Azure-blobar
Funktion för inbyggd säkerhetskopiering av tjänsten
Beskrivning: Tjänsten stöder sin egen inbyggda säkerhetskopieringsfunktion (om den inte använder Azure Backup). Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Ytterligare vägledning: Driftsäkerhetskopiering av blobar är en lokal säkerhetskopieringslösning. Säkerhetskopierade data överförs alltså inte till Säkerhetskopieringsvalvet, utan lagras i själva källlagringskontot. Säkerhetskopieringsvalvet fungerar dock fortfarande som enheten för att hantera säkerhetskopior. Det här är också en lösning för kontinuerlig säkerhetskopiering, vilket innebär att du inte behöver schemalägga några säkerhetskopieringar och att alla ändringar behålls och kan återställas från tillståndet vid en vald tidpunkt.
Referens: Översikt över driftsäkerhetskopiering för Azure-blobar