Bu makalede Blob depolama için güvenlik önerileri yer almaktadır. Bu önerileri uygulamak, paylaşılan sorumluluk modelimizde açıklandığı gibi güvenlik yükümlülüklerinizi yerine getirmenize yardımcı olur. Microsoft'un hizmet sağlayıcısı sorumluluklarını nasıl yerine getireceği hakkında daha fazla bilgi için bkz. Bulutta paylaşılan sorumluluk.
Bu makalede yer alan bazı öneriler, Azure'daki kaynaklarınızı korumanın ilk savunma hattı olan Bulut için Microsoft Defender tarafından otomatik olarak izlenir. Bulut için Microsoft Defender hakkında bilgi için bkz. Bulut için Microsoft Defender nedir?
Bulut için Microsoft Defender, olası güvenlik açıklarını belirlemek için Azure kaynaklarınızı düzenli aralıklarla analiz eder. Daha sonra bunları nasıl ele alasanız da size öneriler sağlar. Bulut için Microsoft Defender önerileri hakkında daha fazla bilgi için bkz. Bulut için Microsoft Defender'da güvenlik önerileri.
Veri koruma
Öneri
Yorumlar
Bulut için Defender
Azure Resource Manager dağıtım modelini kullanma
Üstün Azure rol tabanlı erişim denetimi (Azure RBAC) ve denetim, Resource Manager tabanlı dağıtım ve idare, yönetilen kimliklere erişim, gizli diziler için Azure Key Vault erişimi ve Azure Depolama veri ve kaynaklarına erişim için Azure AD tabanlı kimlik doğrulaması ve yetkilendirme gibi önemli güvenlik geliştirmeleri için Azure Resource Manager dağıtım modelini kullanarak yeni depolama hesapları oluşturun. Mümkünse, klasik dağıtım modelini kullanan mevcut depolama hesaplarını geçiş için Azure Resource Manager. Daha fazla bilgi için Azure Resource Manager bkz. Azure Resource Manager genel bakış.
-
Tüm depolama hesaplarınız için Microsoft Defender'ı etkinleştirme
Depolama için Microsoft Defender, depolama hesaplarına erişmeye veya bu hesaplardan yararlanmaya yönelik olağan dışı ve zararlı olabilecek girişimleri algılayan ek bir güvenlik zekası katmanı sağlar. Etkinlikte anomaliler oluştuğunda Bulut için Microsoft Defender'da güvenlik uyarıları tetiklenir ve şüpheli etkinliğin ayrıntılarıyla birlikte abonelik yöneticilerine e-posta ile gönderilir ve tehditlerin nasıl araştırıldığına ve nasıl düzeltmeye yönelik önerilere ilişkin öneriler gönderilir. Daha fazla bilgi için bkz. Microsoft Defender'ı Depolama.
Bloblar için kalıcı silme, blob verileri silindikten sonra kurtarmayı sağlar. Bloblar için yazılımdan silme hakkında daha fazla bilgi için bkz. Azure blobları için Depolama silme.
-
Kapsayıcılar için yazılım silmeyi açma
Kapsayıcılar için kalıcı silme, bir kapsayıcı silindikten sonra kurtarmayı sağlar. Kapsayıcılar için yazılım silme hakkında daha fazla bilgi için bkz. Kapsayıcılar için yazılım silme.
-
Yanlışlıkla veya kötü amaçlı silme veya yapılandırma değişikliklerini önlemek için depolama hesabını kilitleme
Hesabı yanlışlıkla Azure Resource Manager veya kötü amaçlı bir şekilde silinmeye veya yapılandırma değişikliğine karşı korumak için depolama hesabınıza bir depolama kilidi uygulama. Bir depolama hesabının kilitlenmesi, bu hesap içindeki verilerin silinmesini engellemez. Yalnızca hesabın silinmesini önler. Daha fazla bilgi için bkz. Depolama Azure Resource Manager bir depolama hesabına bir depolama kilidi uygulama.
İş açısından kritik verileri sabit bloblarda depolama
Blob verilerini WORM (Bir Kez Yaz, Çok Kez Oku) durumda depolamak için yasal tutma ve zaman tabanlı saklama ilkeleri yapılandırma. Depolanmış bloblar sabit bir şekilde okunabilir, ancak saklama süresi boyunca değiştirilemez veya silinemez. Daha fazla bilgi için bkz. İş açısından kritik blob verilerini sabit depolama ile depolama.
-
Depolama hesabına güvenli aktarım (HTTPS) gerektirme
Depolama hesabı için güvenli aktarım gerektiğinde, depolama hesabına yapılan tüm isteklerin HTTPS üzerinden yapılmış olması gerekir. HTTP üzerinden yapılan tüm istekler reddedilir. Microsoft, tüm depolama hesaplarınız için her zaman güvenli aktarım gerektirmenizi önerer. Daha fazla bilgi için bkz. Güvenli bağlantı sağlamak için güvenli aktarım gerektir.
-
Paylaşılan erişim imzası (SAS) belirteçlerini yalnızca HTTPS bağlantılarıyla sınırlama
Azure RBAC aracılığıyla bir Azure AD güvenlik sorumlusuna izin atarken en az ayrıcalık sorumlusundan sorumlu olduğunu unutmayın
Bir kullanıcıya, gruba veya uygulamaya rol atarken, bu güvenlik sorumlusuna yalnızca görevlerini gerçekleştirmesi için gerekli olan izinleri verin. Kaynaklara erişimi sınırlamak, verilerinizin hem yanlış hem de kötü amaçlı kullanımını önlemeye yardımcı olur.
-
İstemcilere blob verilerine sınırlı erişim vermek için kullanıcı temsilcisi SAS kullanma
Kullanıcı temsilcisi SAS'leri, Azure Active Directory (Azure AD) kimlik bilgileriyle ve AYRıCA SAS için belirtilen izinlerle güvenli hale getirildi. Kullanıcı temsilcisi SAS, kapsamı ve işlevi açısından hizmet SAS'lerine benzer, ancak hizmet SAS'sinde güvenlik avantajları sunar. Daha fazla bilgi için bkz. Paylaşılan erişim imzaları (SAS) kullanarak Azure Depolama kaynaklara sınırlı erişim izni ver.
-
Hesap erişim anahtarlarınızı güvenli hale Azure Key Vault
Microsoft, Azure Ad'nin Azure ad hizmetine yönelik istekleri yetkilendirmek Depolama. Ancak Paylaşılan Anahtar yetkilendirmesi kullanıyorsanız hesap anahtarlarınızı güvenli hale Azure Key Vault. Anahtar kasasını uygulamanıza kaydetme yerine çalışma zamanında anahtar kasasını almak için bu anahtarları alın. Daha fazla bilgi için Azure Key Vault bkz. Azure Key Vault genel bakış.
-
Hesap anahtarlarınızı düzenli aralıklarla yeniden oluşturma
Hesap anahtarlarının düzenli aralıklarla döndürülerek kötü amaçlı aktörlere verilerinizin açığa çıkarılama riski azalır.
-
Paylaşılan Anahtar yetkilendirmeye izin veme
Depolama hesabı için Paylaşılan Anahtar yetkilendirmesi'ne izin Depolama Azure Depolama hesap erişim anahtarları ile yetkilendirilmiş olan bu hesaba yapılan sonraki tüm istekleri reddeder. Yalnızca Azure AD ile yetkilendirilmiş güvenli istekler başarılı olur. Daha fazla bilgi için bkz. Azure Depolama hesabı için Paylaşılan Anahtar yetkilendirmesini engelleme.
-
SAS'ye izin atarken en az ayrıcalığa sahip olan sorumluya göz atabilirsiniz
SAS oluştururken, yalnızca istemcinin işlevini gerçekleştirmesi için gereken izinleri belirtin. Kaynaklara erişimi sınırlamak, verilerinizin hem yanlış hem de kötü amaçlı kullanımını önlemeye yardımcı olur.
-
İstemcilere sorun çıkararak tüm SAS'ler için bir iptal planınız vardır
SAS'nin güvenliği ihlal edilirse, bu SAS'ı mümkün olan en kısa sürede iptal etmek gerekir. Bir kullanıcı temsilcisi SAS'lerini iptal etmek için, bu anahtarla ilişkili tüm imzaları hızla geçersiz hale toplamak için kullanıcı temsilcisi anahtarını iptal etme. Depolanan erişim ilkesiyle ilişkili bir hizmet SAS'sini iptal etmek için depolanan erişim ilkesi silin, ilkeyi yeniden adlandırabilir veya süre sonu süresini geçmişteki bir zaman olarak değiştirebilirsiniz. Daha fazla bilgi için bkz. Paylaşılan erişim imzaları (SAS) kullanarak Azure Depolama kaynaklara sınırlı erişim izni ver.
-
Hizmet SAS'sı depolanmış erişim ilkesiyle ilişkili değilse süre sonu süresini bir saat veya daha az olarak ayarlayın
Depolanmış erişim ilkesiyle ilişkilendirilen hizmet SAS'ı iptal edile değildir. Bu nedenle, SAS'nin bir saat veya daha kısa süre geçerli olması için süre sonu süresini sınırlamak önerilir.
-
Kapsayıcılara ve bloblara anonim genel okuma erişimini devre dışı bırakma
Kapsayıcıya ve bloblarına anonim genel okuma erişimi, bu kaynaklara herhangi bir istemciye salt okunur erişim sağlar. Senaryo için gerekli olmadıkça genel okuma erişimini etkinleştirmekten kaçının. Depolama hesabı için anonim genel erişimi devre dışı bırakma hakkında bilgi edinmek için bkz. Kapsayıcılarve bloblar için anonim genel okuma erişimini yapılandırma.
-
Ağ
Öneri
Yorumlar
Bulut için Defender
Depolama hesabı için gereken en düşük Aktarım Katmanı Güvenliği (TLS) sürümünü yapılandırma.
İstemcilerin bu hesap için en düşük TLS sürümünü yapılandırarak bir Azure Depolama hesabına istekte Depolama TLS'nin daha güvenli bir sürümünü kullanmalarını gerektirir. Daha fazla bilgi için bkz. Depolama hesabı için gereken en düşük Aktarım Katmanı Güvenliği (TLS) sürümünü yapılandırma
-
Tüm depolama hesaplarınız için Güvenli aktarım gerekli seçeneğini etkinleştirin
Güvenli aktarım gerekli seçeneğini etkinleştirseniz, depolama hesabına yapılan tüm isteklerin güvenli bağlantılar üzerinden olması gerekir. HTTP üzerinden yapılan tüm istekler başarısız olur. Daha fazla bilgi için bkz. Azure'da güvenli aktarım Depolama.
Depolama hesabınıza erişimi, belirtilen IP adreslerinden veya aralıklarından kaynaklanan isteklerle veya bir Azure sanal ağı 'ndaki (VNet) bir alt ağ listesinden oluşan isteklerle sınırlamak için güvenlik duvarı kurallarını yapılandırın. güvenlik duvarı kurallarını yapılandırma hakkında daha fazla bilgi için bkz. Azure Depolama güvenlik duvarlarını ve sanal ağları yapılandırma.
-
güvenilen Microsoft hizmetleri depolama hesabına erişmesine izin ver
İstekler bir Azure sanal ağı (VNet) içinde veya izin verilen ortak IP adreslerinden bir hizmetten kaynaklanmadığı takdirde, depolama hesabınız için Güvenlik Duvarı kurallarının etkinleştirilmesi, varsayılan olarak gelen istekleri engeller. Engellenen istekler diğer Azure hizmetlerinden, Azure portal, günlük ve ölçüm hizmetlerinden ve bu şekilde devam eder. güvenilen Microsoft hizmetleri depolama hesabına erişmesine izin vermek için bir özel durum ekleyerek diğer Azure hizmetlerinden gelen isteklere izin verebilirsiniz. güvenilir Microsoft hizmetleri özel durum ekleme hakkında daha fazla bilgi için bkz. Azure Depolama güvenlik duvarlarını ve sanal ağları yapılandırma.
-
Özel uç noktaları kullanma
Özel bir uç nokta, Azure sanal ağınızdan (VNet) depolama hesabına özel bir IP adresi atar. VNet ve depolama hesabı arasındaki tüm trafiğin özel bir bağlantı üzerinden güvenliğini sağlar. özel uç noktalar hakkında daha fazla bilgi için bkz. Azure özel uç nokta kullanarak bir depolama hesabına özel olarak Bağlan.
-
VNet hizmet etiketlerini kullanma
Hizmet etiketi, belirli bir Azure hizmetinden bir IP adresi önekleri grubunu temsil eder. Microsoft, hizmet etiketi ile çevrelenmiş adres öneklerini yönetir ve adres değişikliği olarak hizmet etiketini otomatik olarak güncelleştirir. azure Depolama tarafından desteklenen hizmet etiketleri hakkında daha fazla bilgi için bkz. azure hizmet etiketlerine genel bakış. Giden ağ kuralları oluşturmak için hizmet etiketlerinin nasıl kullanılacağını gösteren bir öğretici için bkz. PaaS kaynaklarına erişimi kısıtlama.
-
Belirli ağlarla ağ erişimini sınırlandırma
Erişim gerektiren istemcileri barındıran ağlarla ağ erişimini kısıtlamak, kaynaklarınızın ağ saldırılarına maruz kalmasını azaltır.
Azure depolama hesabınız için ağ trafiği, Microsoft küresel ağ veya Internet yönlendirmesi kullanarak Internet üzerinden istemcilerden hesabınıza nasıl yönlendirildiğini belirtmek için ağ yönlendirme tercihini yapılandırabilirsiniz. daha fazla bilgi için bkz. Azure Depolama için ağ yönlendirme tercihini yapılandırma.
-
Günlüğe kaydetme/Izleme
Öneri
Yorumlar
Bulut için Defender
İsteklerin nasıl yetkilendirildiğini izleme
azure Depolama karşı gerçekleştirilen her isteğin nasıl yetkilendirildiğini izlemek için azure Depolama günlük kaydını etkinleştirin. Günlükler, bir isteğin bir OAuth 2,0 belirteci kullanılarak, paylaşılan anahtar kullanılarak veya paylaşılan erişim imzası (SAS) kullanılarak yapılıp yapılmadığını belirtir. daha fazla bilgi için bkz. azure Blob Depolama azure izleyici ile izleme veya klasik izleme ile azure Depolama analytics günlüğü.
-
Azure Izleyici 'de uyarıları ayarlama
Günlük uyarılarını, bir küme sıklığında kaynak günlüklerini değerlendirmek ve sonuçlara göre bir uyarı tetiklemek için yapılandırın. Daha fazla bilgi için bkz. Azure izleyici 'de günlük uyarıları.
