BLOB depolama için güvenlik önerileriSecurity recommendations for Blob storage

Bu makale, blob depolamaya yönelik güvenlik önerilerini içerir.This article contains security recommendations for Blob storage. Bu önerilerin uygulanması, paylaşılan sorumluluk modelinizde açıklandığı gibi güvenlik yükümlülüklerinizi karşılaalmanıza yardımcı olur.Implementing these recommendations will help you fulfill your security obligations as described in our shared responsibility model. Microsoft 'un hizmet sağlayıcısı sorumluluklarını karşılama hakkında daha fazla bilgi için, bulut bilgi işlem Için paylaşılan sorumluluklarıokuyun.For more information on what Microsoft does to fulfill service provider responsibilities, read Shared responsibilities for cloud computing.

Bu makaleye eklenen önerilerden bazıları Azure Güvenlik Merkezi tarafından otomatik olarak izlenebilir.Some of the recommendations included in this article can be automatically monitored by Azure Security Center. Azure Güvenlik Merkezi, Azure 'daki kaynaklarınızı korumaya yönelik ilk savunma hattınızdır.Azure Security Center is the first line of defense in protecting your resources in Azure. Azure Güvenlik Merkezi hakkında bilgi için bkz. Azure Güvenlik Merkezi nedir?.For information on Azure Security Center, see the What is Azure Security Center?.

Azure Güvenlik Merkezi, olası güvenlik açıklarını belirlemek için Azure kaynaklarınızın güvenlik durumunu düzenli olarak analiz eder.Azure Security Center periodically analyzes the security state of your Azure resources to identify potential security vulnerabilities. Daha sonra bunları nasıl ele almak için öneriler sağlar.It then provides you with recommendations on how to address them. Azure Güvenlik Merkezi önerileri hakkında daha fazla bilgi için bkz. Azure Güvenlik Merkezi 'Nde güvenlik önerileri.For more information on Azure Security Center recommendations, see Security recommendations in Azure Security Center.

Veri korumaData protection

ÖneriRecommendation YorumlarComments Güvenlik MerkeziSecurity Center
Azure Resource Manager dağıtım modelini kullanmaUse the Azure Resource Manager deployment model Üst erişim denetimi (RBAC) ve denetim, Kaynak Yöneticisi tabanlı dağıtım ve idare, yönetilen kimliklere erişim, gizli dizi Azure Key Vault erişimi, Azure depolama verilerine ve kaynaklarına erişim için Azure AD tabanlı kimlik doğrulaması ve yetkilendirme gibi önemli güvenlik geliştirmeleri için Azure Resource Manager dağıtım modelini kullanarak yeni depolama hesapları oluşturun.Create new storage accounts using the Azure Resource Manager deployment model for important security enhancements, including superior access control (RBAC) and auditing, Resource Manager-based deployment and governance, access to managed identities, access to Azure Key Vault for secrets, and Azure AD-based authentication and authorization for access to Azure Storage data and resources. Mümkünse, Azure Resource Manager kullanmak için klasik dağıtım modelini kullanan mevcut depolama hesaplarını geçirin.If possible, migrate existing storage accounts that use the classic deployment model to use Azure Resource Manager. Azure Resource Manager hakkında daha fazla bilgi için bkz. Azure Resource Manager genel bakış.For more information about Azure Resource Manager, see Azure Resource Manager overview. -
Tüm depolama hesaplarınızda Güvenli aktarım gerekli seçeneğini etkinleştirinEnable the Secure transfer required option on all of your storage accounts Güvenli aktarım gerekli seçeneğini etkinleştirdiğinizde, depolama hesabında yapılan tüm isteklerin güvenli bağlantılar üzerinden gerçekleşmesi gerekir.When you enable the Secure transfer required option, all requests made against the storage account must take place over secure connections. HTTP üzerinden yapılan tüm istekler başarısız olur.Any requests made over HTTP will fail. Daha fazla bilgi için bkz. Azure Storage 'da güvenli aktarım gerektir.For more information, see Require secure transfer in Azure Storage. EvetYes
Tüm depolama hesaplarınız için Gelişmiş tehdit korumasını etkinleştirinEnable advanced threat protection for all of your storage accounts Azure depolama için Gelişmiş tehdit koruması, depolama hesaplarına yönelik olağan dışı ve potansiyel olarak zararlı girişimleri algılayan ek bir güvenlik zekası katmanı sağlar.Advanced threat protection for Azure Storage provides an additional layer of security intelligence that detects unusual and potentially harmful attempts to access or exploit storage accounts. Güvenlik uyarıları, etkinlik gerçekleştiğinde Azure Güvenlik Merkezi 'nde tetiklenir ve ayrıca, şüpheli etkinliklerin ayrıntıları ve tehditleri araştırıp düzeltilmesi ile ilgili öneriler ile abonelik yöneticilerine e-posta aracılığıyla gönderilir.Security alerts are triggered in Azure Security Center when anomalies in activity occur and are also sent via email to subscription administrators, with details of suspicious activity and recommendations on how to investigate and remediate threats. Daha fazla bilgi için bkz. Azure depolama Için Gelişmiş tehdit koruması.For more information, see Advanced threat protection for Azure Storage. EvetYes
Blob verileri için geçici silmeyi açTurn on soft delete for blob data Geçici silme, blob verilerini sildikten sonra kurtarmanızı sağlar.Soft delete enables you to recover blob data after it has been deleted. Geçici silme hakkında daha fazla bilgi için bkz. Azure depolama Blobları Için geçici silme.For more information on soft delete, see Soft delete for Azure Storage blobs. -
İş açısından kritik verileri sabit bloblarda depolayınStore business-critical data in immutable blobs Blob verilerini bir solucan içinde depolamak için yasal ayrı tutma ve zaman tabanlı bekletme ilkeleri yapılandırın (bir kez yaz, çok oku) durumu.Configure legal holds and time-based retention policies to store blob data in a WORM (Write Once, Read Many) state. Imune sürekliliği bulunan Bloblar okunabilir, ancak saklama aralığı süresince değiştirilemez veya silinemez.Blobs stored immutably can be read, but cannot be modified or deleted for the duration of the retention interval. Daha fazla bilgi için bkz. sabit depolamayla iş açısından kritik blob verilerini depolama.For more information, see Store business-critical blob data with immutable storage. -
Paylaşılan erişim imzası (SAS) belirteçlerini yalnızca HTTPS bağlantılarıyla sınırlaLimit shared access signature (SAS) tokens to HTTPS connections only İstemci blob verilerine erişmek için SAS belirteci kullandığında HTTPS gerektirme, gizlice dinleme riskini en aza indirmenize yardımcı olur.Requiring HTTPS when a client uses a SAS token to access blob data helps to minimize the risk of eavesdropping. Daha fazla bilgi için bkz. paylaşılan erişim imzaları (SAS) kullanarak Azure depolama kaynaklarına sınırlı erişim verme.For more information, see Grant limited access to Azure Storage resources using shared access signatures (SAS). -

Kimlik ve erişim yönetimiIdentity and access management

ÖneriRecommendation YorumlarComments Güvenlik MerkeziSecurity Center
Blob verilerine erişim yetkisi vermek için Azure Active Directory (Azure AD) kullanınUse Azure Active Directory (Azure AD) to authorize access to blob data Azure AD, istekleri blob depolamaya yetkilendirmek için paylaşılan anahtar üzerinde üstün güvenlik ve kullanım kolaylığı sağlar.Azure AD provides superior security and ease of use over Shared Key for authorizing requests to Blob storage. Daha fazla bilgi için bkz. Azure Active Directory kullanarak Azure bloblarına ve kuyruklara erişim yetkisi verme.For more information, see Authorize access to Azure blobs and queues using Azure Active Directory. -
RBAC aracılığıyla bir Azure AD güvenlik sorumlusuna izin atarken en az ayrıcalık sorumlusunu göz önünde bulundurunKeep in mind the principal of least privilege when assigning permissions to an Azure AD security principal via RBAC Bir Kullanıcı, Grup veya uygulamaya bir rol atarken, bu güvenlik sorumlusuna yalnızca onların görevlerini gerçekleştirmesi için gerekli olan izinleri verin.When assigning a role to a user, group, or application, grant that security principal only those permissions that are necessary for them to perform their tasks. Kaynaklara erişimi kısıtlamak, verilerinizin yanlışlıkla ve kötü amaçlı olarak kötüye kullanımını önlemeye yardımcı olur.Limiting access to resources helps prevent both unintentional and malicious misuse of your data. -
Kullanıcılara blob verilerine sınırlı erişim vermek için bir Kullanıcı temsili SAS kullanınUse a user delegation SAS to grant limited access to blob data to clients Kullanıcı temsili SAS, Azure Active Directory (Azure AD) kimlik bilgileriyle ve SAS için belirtilen izinlerle korunmaktadır.A user delegation SAS is secured with Azure Active Directory (Azure AD) credentials and also by the permissions specified for the SAS. Kullanıcı temsilciliğini, kapsamı ve işlevi açısından bir hizmet sa 'sı ile benzerdir, ancak hizmet SAS üzerinden güvenlik avantajları sunar.A user delegation SAS is analogous to a service SAS in terms of its scope and function, but offers security benefits over the service SAS. Daha fazla bilgi için bkz. paylaşılan erişim imzaları (SAS) kullanarak Azure depolama kaynaklarına sınırlı erişim verme.For more information, see Grant limited access to Azure Storage resources using shared access signatures (SAS). -
Hesap erişim anahtarlarınızı Azure Key Vault ile güvenli hale getirinSecure your account access keys with Azure Key Vault Microsoft, Azure depolama 'ya istekleri yetkilendirmek için Azure AD kullanılmasını önerir.Microsoft recommends using Azure AD to authorize requests to Azure Storage. Ancak, paylaşılan anahtar yetkilendirmesi kullanmanız gerekiyorsa, hesap anahtarlarınızın Azure Key Vault sağlayın.However, if you must use Shared Key authorization, then secure your account keys with Azure Key Vault. Anahtar kasasındaki anahtarları uygulamanıza kaydetmek yerine çalışma zamanında alabilirsiniz.You can retrieve the keys from the key vault at runtime, instead of saving them with your application. Azure Key Vault hakkında daha fazla bilgi için bkz. Azure Key Vault genel bakış.For more information about Azure Key Vault, see Azure Key Vault overview. -
Hesap anahtarlarınızı düzenli aralıklarla yeniden oluşturunRegenerate your account keys periodically Hesap anahtarlarını döndürmek, verilerinizi kötü amaçlı aktörlere sunma riskini düzenli aralıklarla azaltır.Rotating the account keys periodically reduces the risk of exposing your data to malicious actors. -
SAS 'ye izin atarken en az ayrıcalık sorumlusunu göz önünde bulundurunKeep in mind the principal of least privilege when assigning permissions to a SAS SAS oluştururken, yalnızca istemcisinin işlevini gerçekleştirmesi için gerekli olan izinleri belirtin.When creating a SAS, specify only those permissions that are required by the client to perform its function. Kaynaklara erişimi kısıtlamak, verilerinizin yanlışlıkla ve kötü amaçlı olarak kötüye kullanımını önlemeye yardımcı olur.Limiting access to resources helps prevent both unintentional and malicious misuse of your data. -
İstemcilere yaptığınız tüm SAS için bir iptal planı vardırHave a revocation plan in place for any SAS that you issue to clients SAS tehlikeye girerse, bu SAS 'ı mümkün olan en kısa sürede iptal etmek isteyeceksiniz.If a SAS is compromised, you will want to revoke that SAS as soon as possible. Bir Kullanıcı temsilciliğini iptal etmek için, bu anahtarla ilişkili tüm imzaları hızlıca geçersiz kılmak üzere Kullanıcı temsili anahtarını iptal edin.To revoke a user delegation SAS, revoke the user delegation key to quickly invalidate all signatures associated with that key. Depolanan bir erişim ilkesiyle ilişkili bir hizmet SAS 'sini iptal etmek için, saklı erişim ilkesini silebilir, ilkeyi yeniden adlandırabilir veya süre sonu saatini geçmişteki bir zamana dönüştürebilirsiniz.To revoke a service SAS that is associated with a stored access policy, you can delete the stored access policy, rename the policy, or change its expiry time to a time that is in the past. Daha fazla bilgi için bkz. paylaşılan erişim imzaları (SAS) kullanarak Azure depolama kaynaklarına sınırlı erişim verme.For more information, see Grant limited access to Azure Storage resources using shared access signatures (SAS). -
Bir hizmet SAS, depolanan bir erişim ilkesiyle ilişkilendirilmediği zaman aşımı süresini bir saat veya daha az olarak ayarlayınIf a service SAS is not associated with a stored access policy, then set the expiry time to one hour or less Depolanan bir erişim ilkesiyle ilişkilendirilmemiş bir hizmet SAS iptal edilemez.A service SAS that is not associated with a stored access policy cannot be revoked. Bu nedenle, süre sonu süresini kısıtlamak için SAS bir saat için geçerli veya daha az önerilir.For this reason, limiting the expiry time so that the SAS is valid for one hour or less is recommended. -
Kapsayıcılara ve bloblara anonim genel okuma erişimini sınırlayınLimit anonymous public read access to containers and blobs Bir kapsayıcıya ve bloblarına anonim, genel okuma erişimi, herhangi bir istemciye bu kaynaklara salt okuma erişimi verir.Anonymous, public read access to a container and its blobs grants read-only access to those resources to any client. Senaryonuz için gerekli değilse, genel okuma erişimini etkinleştirmemeye özen gösterin.Avoid enabling public read access unless your scenario requires it. -

Networking

ÖneriRecommendation YorumlarComments Güvenlik MerkeziSecurity Center
Güvenlik duvarı kurallarını etkinleştirmeEnable firewall rules Depolama hesabınıza erişimi, belirtilen IP adreslerinden veya aralıklarından kaynaklanan isteklerle veya bir Azure sanal ağı 'ndaki (VNet) bir alt ağ listesinden oluşan isteklerle sınırlamak için güvenlik duvarı kurallarını yapılandırın.Configure firewall rules to limit access to your storage account to requests that originate from specified IP addresses or ranges, or from a list of subnets in an Azure Virtual Network (VNet). Güvenlik duvarı kurallarını yapılandırma hakkında daha fazla bilgi için bkz. Azure dosya eşitleme proxy ve güvenlik duvarı ayarları.For more information about configuring firewall rules, see Azure File Sync proxy and firewall settings. -
Güvenilen Microsoft hizmetlerinin depolama hesabına erişmesine izin verAllow trusted Microsoft services to access the storage account İstekler bir Azure sanal ağı (VNet) içinde veya izin verilen ortak IP adreslerinden bir hizmetten kaynaklanmadığı takdirde, depolama hesabınız için Güvenlik Duvarı kurallarının etkinleştirilmesi, varsayılan olarak gelen istekleri engeller.Turning on firewall rules for your storage account blocks incoming requests for data by default, unless the requests originate from a service operating within an Azure Virtual Network (VNet) or from allowed public IP addresses. Engellenen istekler diğer Azure hizmetlerinden, Azure portal, günlük ve ölçüm hizmetlerinden ve bu şekilde devam eder.Requests that are blocked include those from other Azure services, from the Azure portal, from logging and metrics services, and so on. Güvenilen Microsoft hizmetlerinin depolama hesabına erişmesine izin vermek için bir özel durum ekleyerek diğer Azure hizmetlerinden gelen isteklere izin verebilirsiniz.You can permit requests from other Azure services by adding an exception to allow trusted Microsoft services to access the storage account. Güvenilen Microsoft Hizmetleri için bir özel durum ekleme hakkında daha fazla bilgi için bkz. Azure dosya eşitleme proxy ve güvenlik duvarı ayarları.For more information about adding an exception for trusted Microsoft services, see Azure File Sync proxy and firewall settings. -
Özel uç noktaları kullanmaUse private endpoints Özel bir uç nokta, Azure sanal ağınızdan (VNet) depolama hesabına özel bir IP adresi atar.A private endpoint assigns a private IP address from your Azure Virtual Network (VNet) to the storage account. VNet ve depolama hesabı arasındaki tüm trafiğin özel bir bağlantı üzerinden güvenliğini sağlar.It secures all traffic between your VNet and the storage account over a private link. Özel uç noktalar hakkında daha fazla bilgi için bkz. Azure özel uç nokta kullanarak bir depolama hesabına özel olarak bağlanma.For more information about private endpoints, see Connect privately to a storage account using Azure Private Endpoint. -
VNet hizmet etiketlerini kullanmaUse VNet service tags Hizmet etiketi, belirli bir Azure hizmetinden bir IP adresi önekleri grubunu temsil eder.A service tag represents a group of IP address prefixes from a given Azure service. Microsoft, hizmet etiketi ile çevrelenmiş adres öneklerini yönetir ve adres değişikliği olarak hizmet etiketini otomatik olarak güncelleştirir.Microsoft manages the address prefixes encompassed by the service tag and automatically updates the service tag as addresses change. Azure depolama tarafından desteklenen hizmet etiketleri hakkında daha fazla bilgi için bkz. Azure hizmet etiketlerine genel bakış.For more information about service tags supported by Azure Storage, see Azure service tags overview. Giden ağ kuralları oluşturmak için hizmet etiketlerinin nasıl kullanılacağını gösteren bir öğretici için bkz. PaaS kaynaklarına erişimi kısıtlama.For a tutorial that shows how to use service tags to create outbound network rules, see Restrict access to PaaS resources. -
Belirli ağlarla ağ erişimini sınırlandırmaLimit network access to specific networks Erişim gerektiren istemcileri barındıran ağlarla ağ erişimini kısıtlamak, kaynaklarınızın ağ saldırılarına maruz kalmasını azaltır.Limiting network access to networks hosting clients requiring access reduces the exposure of your resources to network attacks. EvetYes

Günlüğe kaydetme/IzlemeLogging/Monitoring

ÖneriRecommendation YorumlarComments Güvenlik MerkeziSecurity Center
İsteklerin nasıl yetkilendirildiğini izlemeTrack how requests are authorized Azure depolama 'ya karşı yapılan her isteği nasıl yetkilendirdiğini izlemek için Azure depolama günlüğü 'nü etkinleştirin.Enable Azure Storage logging to track how each request made against Azure Storage was authorized. Günlükler, bir isteğin bir OAuth 2,0 belirteci kullanılarak, paylaşılan anahtar kullanılarak veya paylaşılan erişim imzası (SAS) kullanılarak yapılıp yapılmadığını belirtir.The logs indicate whether a request was made anonymously, by using an OAuth 2.0 token, by using Shared Key, or by using a shared access signature (SAS). Daha fazla bilgi için bkz. Azure Storage Analytics günlüğü.For more information, see Azure Storage analytics logging. -

Sonraki adımlarNext steps