BLOB depolama için güvenlik önerileri

Bu makale, blob depolamaya yönelik güvenlik önerilerini içerir. Bu önerilerin uygulanması, paylaşılan sorumluluk modelinizde açıklandığı gibi güvenlik yükümlülüklerinizi karşılaalmanıza yardımcı olur. Microsoft 'un hizmet sağlayıcısı sorumluluklarını nasıl karşılayan hakkında daha fazla bilgi için bkz. bulutta paylaşılan sorumluluk.

Bu makaleye eklenen önerilerden bazıları Azure Güvenlik Merkezi tarafından otomatik olarak izlenebilir. Azure Güvenlik Merkezi, Azure 'daki kaynaklarınızı korumaya yönelik ilk savunma hattınızdır. Azure Güvenlik Merkezi hakkında bilgi için bkz. Azure Güvenlik Merkezi nedir?

Azure Güvenlik Merkezi, olası güvenlik açıklarını belirlemek için Azure kaynaklarınızın güvenlik durumunu düzenli olarak analiz eder. Daha sonra bunları nasıl ele almak için öneriler sağlar. Azure Güvenlik Merkezi önerileri hakkında daha fazla bilgi için bkz. Azure Güvenlik Merkezi 'Nde güvenlik önerileri.

Veri koruma

Öneri Yorumlar Güvenlik Merkezi
Azure Resource Manager dağıtım modelini kullanma Azure Resource Manager dağıtım modelini kullanarak, üstün azure rol tabanlı erişim denetimi (Azure RBAC) ve denetim, Kaynak Yöneticisi tabanlı dağıtım ve idare, yönetilen kimliklere erişim, gizli dizi Azure Key Vault erişimi ve azure Depolama veri ve kaynaklarına erişim için azure AD tabanlı kimlik doğrulama ve yetkilendirme gibi önemli güvenlik geliştirmeleri için yeni depolama hesapları oluşturun. Mümkünse, Azure Resource Manager kullanmak için klasik dağıtım modelini kullanan mevcut depolama hesaplarını geçirin. Azure Resource Manager hakkında daha fazla bilgi için bkz. Azure Resource Manager genel bakış. -
Tüm depolama hesaplarınız için Azure Defender 'ı etkinleştirin azure Depolama için azure Defender, depolama hesaplarına yönelik olağan dışı ve olası zararlı girişimleri algılayan ek bir güvenlik bilgileri katmanı sağlar. Güvenlik uyarıları, etkinlik gerçekleştiğinde Azure Güvenlik Merkezi 'nde tetiklenir ve ayrıca, şüpheli etkinliklerin ayrıntıları ve tehditleri araştırıp düzeltilmesi ile ilgili öneriler ile abonelik yöneticilerine e-posta aracılığıyla gönderilir. daha fazla bilgi için bkz. azure için azure Defender Depolama yapılandırma. Evet
Bloblar için geçici silmeyi etkinleştir Bloblar için geçici silme, blob verilerini silindikten sonra kurtarmanıza olanak sağlar. bloblar için geçici silme hakkında daha fazla bilgi için bkz. Azure Depolama blobları için geçici silme. -
Kapsayıcılar için geçici silmeyi aç Kapsayıcılar için geçici silme, bir kapsayıcıyı silindikten sonra kurtarmanızı sağlar. Kapsayıcılar için geçici silme hakkında daha fazla bilgi için bkz. kapsayıcılar Için geçici silme. -
Yanlışlıkla veya kötü amaçlı silme veya yapılandırma değişikliklerini engellemek için depolama hesabını kilitle Hesabı yanlışlıkla veya kötü amaçlı silme veya yapılandırma değişikliğinden korumak için depolama hesabınıza bir Azure Resource Manager kilidi uygulayın. Bir depolama hesabının kilitlenmesi, bu hesabın içindeki verilerin silinmesini engellemez. Yalnızca hesabın silinmesini engeller. Daha fazla bilgi için bkz. depolama hesabına Azure Resource Manager kilidi uygulama.
İş açısından kritik verileri sabit bloblarda depolayın Blob verilerini bir solucan içinde depolamak için yasal ayrı tutma ve zaman tabanlı bekletme ilkeleri yapılandırın (bir kez yaz, çok oku) durumu. Imune sürekliliği bulunan Bloblar okunabilir, ancak saklama aralığı süresince değiştirilemez veya silinemez. Daha fazla bilgi için bkz. sabit depolamayla iş açısından kritik blob verilerini depolama. -
Depolama hesabına güvenli aktarım (HTTPS) gerektir Bir depolama hesabı için güvenli aktarım gerektiğinde, depolama hesabına yönelik tüm isteklerin HTTPS üzerinden yapılması gerekir. HTTP üzerinden yapılan tüm istekler reddedilir. Microsoft, tüm depolama hesaplarınız için her zaman güvenli aktarım gerektirmenizi önerir. Daha fazla bilgi için bkz. Güvenli aktarım gerektir. -
Paylaşılan erişim imzası (SAS) belirteçlerini yalnızca HTTPS bağlantılarıyla sınırla İstemci blob verilerine erişmek için SAS belirteci kullandığında HTTPS gerektirme, gizlice dinleme riskini en aza indirmenize yardımcı olur. daha fazla bilgi için bkz. paylaşılan erişim imzaları (SAS) kullanarak Azure Depolama kaynaklarına sınırlı erişim verme. -

Kimlik ve erişim yönetimi

Öneri Yorumlar Güvenlik Merkezi
blob verilerine erişim yetkisi vermek için Azure Active Directory (Azure AD) kullanın Azure AD, istekleri blob depolamaya yetkilendirmek için paylaşılan anahtar üzerinde üstün güvenlik ve kullanım kolaylığı sağlar. daha fazla bilgi için bkz. Azure Depolama verilere erişim yetkisi verme. -
Azure RBAC aracılığıyla bir Azure AD güvenlik sorumlusuna izin atarken en az ayrıcalık sorumlusunu göz önünde bulundurun Bir Kullanıcı, Grup veya uygulamaya bir rol atarken, bu güvenlik sorumlusuna yalnızca onların görevlerini gerçekleştirmesi için gerekli olan izinleri verin. Kaynaklara erişimi kısıtlamak, verilerinizin yanlışlıkla ve kötü amaçlı olarak kötüye kullanımını önlemeye yardımcı olur. -
Kullanıcılara blob verilerine sınırlı erişim vermek için bir Kullanıcı temsili SAS kullanın kullanıcı temsili sas, Azure Active Directory (Azure AD) kimlik bilgileriyle ve SAS için belirtilen izinlerle korunmaktadır. Kullanıcı temsilciliğini, kapsamı ve işlevi açısından bir hizmet sa 'sı ile benzerdir, ancak hizmet SAS üzerinden güvenlik avantajları sunar. daha fazla bilgi için bkz. paylaşılan erişim imzaları (SAS) kullanarak Azure Depolama kaynaklarına sınırlı erişim verme. -
Hesap erişim anahtarlarınızı Azure Key Vault ile güvenli hale getirin Microsoft, istekleri azure Depolama 'a yetkilendirmek için azure AD 'nin kullanılmasını önerir. Ancak, paylaşılan anahtar yetkilendirmesi kullanmanız gerekiyorsa, hesap anahtarlarınızın Azure Key Vault sağlayın. Anahtar kasasındaki anahtarları uygulamanıza kaydetmek yerine çalışma zamanında alabilirsiniz. Azure Key Vault hakkında daha fazla bilgi için bkz. Azure Key Vault genel bakış. -
Hesap anahtarlarınızı düzenli aralıklarla yeniden oluşturun Hesap anahtarlarını döndürmek, verilerinizi kötü amaçlı aktörlere sunma riskini düzenli aralıklarla azaltır. -
Paylaşılan anahtar yetkilendirmesine izin verme bir depolama hesabı için paylaşılan anahtar yetkilendirmesinin yetkisini kaldırdığınızda, Azure Depolama, hesap erişim anahtarlarıyla yetkilendirilmiş olan bu hesaba yapılan tüm sonraki istekleri reddeder. Yalnızca Azure AD ile yetkilendirilmiş güvenli istekler başarılı olur. daha fazla bilgi için bkz. Azure Depolama hesabının paylaşılan anahtar yetkilendirmesini engelleme. -
SAS 'ye izin atarken en az ayrıcalık sorumlusunu göz önünde bulundurun SAS oluştururken, yalnızca istemcisinin işlevini gerçekleştirmesi için gerekli olan izinleri belirtin. Kaynaklara erişimi kısıtlamak, verilerinizin yanlışlıkla ve kötü amaçlı olarak kötüye kullanımını önlemeye yardımcı olur. -
İstemcilere yaptığınız tüm SAS için bir iptal planı vardır SAS tehlikeye girerse, bu SAS 'ı mümkün olan en kısa sürede iptal etmek isteyeceksiniz. Bir Kullanıcı temsilciliğini iptal etmek için, bu anahtarla ilişkili tüm imzaları hızlıca geçersiz kılmak üzere Kullanıcı temsili anahtarını iptal edin. Depolanan bir erişim ilkesiyle ilişkili bir hizmet SAS 'sini iptal etmek için, saklı erişim ilkesini silebilir, ilkeyi yeniden adlandırabilir veya süre sonu saatini geçmişteki bir zamana dönüştürebilirsiniz. daha fazla bilgi için bkz. paylaşılan erişim imzaları (SAS) kullanarak Azure Depolama kaynaklarına sınırlı erişim verme. -
Bir hizmet SAS, depolanan bir erişim ilkesiyle ilişkilendirilmediği zaman aşımı süresini bir saat veya daha az olarak ayarlayın Depolanan bir erişim ilkesiyle ilişkilendirilmemiş bir hizmet SAS iptal edilemez. Bu nedenle, süre sonu süresini kısıtlamak için SAS bir saat için geçerli veya daha az önerilir. -
Kapsayıcılara ve bloblara anonim genel okuma erişimini devre dışı bırakma Bir kapsayıcıya ve bloblarına anonim genel okuma erişimi, herhangi bir istemciye bu kaynaklara salt okuma erişimi verir. Senaryonuz için gerekli değilse, genel okuma erişimini etkinleştirmemeye özen gösterin. Bir depolama hesabı için anonim genel erişimi devre dışı bırakma hakkında bilgi edinmek için bkz. kapsayıcılar ve Bloblar için anonim genel okuma erişimini yapılandırma. -

Öneri Yorumlar Güvenlik Merkezi
Depolama hesabı için gerekli minimum Aktarım Katmanı Güvenliği (TLS) sürümünü yapılandırın. istemcilerin, bu hesap için en düşük tls sürümünü yapılandırarak bir Azure Depolama hesabına yönelik istekler yapması için daha güvenli bir tls sürümü kullanmasını gerektirir. Daha fazla bilgi için bkz. depolama hesabı için gereken minimum Aktarım Katmanı Güvenliği (TLS) sürümünü yapılandırma -
Tüm depolama hesaplarınızda Güvenli aktarım gerekli seçeneğini etkinleştirin Güvenli aktarım gerekli seçeneğini etkinleştirdiğinizde, depolama hesabında yapılan tüm isteklerin güvenli bağlantılar üzerinden gerçekleşmesi gerekir. HTTP üzerinden yapılan tüm istekler başarısız olur. daha fazla bilgi için bkz. Azure 'da güvenli aktarım gerektir Depolama. Evet
Güvenlik duvarı kurallarını etkinleştirme Depolama hesabınıza erişimi belirtilen IP adreslerinden veya aralıklardan gelen istekler ile veya Bir Azure Sanal Ağı'ndaki (VNet) alt ağlar listesinden gelen istekler ile sınırlamak için güvenlik duvarı kurallarını yapılandırın. Güvenlik duvarı kurallarını yapılandırma hakkında daha fazla bilgi için bkz. Azure Depolama güvenlik duvarlarını ve sanal ağları yapılandırma. -
Güvenilen Microsoft hizmetleri depolama hesabına erişmesine izin ver Depolama hesabınız için güvenlik duvarı kurallarının açıklanması, istekler Azure Sanal Ağı (VNet) içinde veya izin verilen genel IP adreslerinden çalışan bir hizmetten kaynaklandığı sürece varsayılan olarak veriler için gelen istekleri engeller. Engellenen istekler, diğer Azure hizmetlerinden, Azure portal ve ölçüm hizmetlerinden gelen istekleri içerir. Güvenilen kullanıcıların depolama hesabına erişmesine izin vermek için bir özel durum ekleyerek diğer Azure Microsoft hizmetleri isteklerine izin veebilirsiniz. Güvenilen ağlara özel durum ekleme hakkında daha fazla bilgi Microsoft hizmetleri bkz. Azure Depolama güvenlik duvarları ve sanal ağları yapılandırma. -
Özel uç noktaları kullanma Özel uç nokta, Depolama hesabına Azure Sanal Ağınız (VNet) üzerinden özel bir IP adresi atar. Özel bağlantı üzerinden sanal ağınız ile depolama hesabı arasındaki tüm trafiğin güvenliğini sağlar. Özel uç noktalar hakkında daha fazla bilgi için bkz. azure Bağlan kullanarak bir depolama hesabına özel olarak yapılandırma. -
Sanal ağ hizmet etiketlerini kullanma Hizmet etiketi, belirli bir Azure hizmetinin IP adresi ön ekleri grubunu temsil eder. Microsoft, hizmet etiketinin kapsamış olduğu adres ön eklerini yönetir ve adresler değiştiklerinde hizmet etiketini otomatik olarak günceller. Azure hizmet etiketleri tarafından desteklenen hizmet etiketleri hakkında daha fazla bilgi Depolama bkz. Azure hizmet etiketlerine genel bakış. Giden ağ kuralları oluşturmak için hizmet etiketlerini kullanmayı gösteren bir öğretici için bkz. PaaS kaynaklarına erişimi kısıtlama. -
Ağ erişimini belirli ağlarla sınırlama Ağ erişimini erişim gerektiren istemcileri barındıran ağlarla sınırlamak, kaynaklarınızı ağ saldırılarına maruz kalma riskini azaltır. Evet
Ağ yönlendirme tercihini yapılandırma Azure depolama hesabınız için ağ yönlendirme tercihini, Microsoft genel ağı veya İnternet yönlendirmesi kullanılarak İnternet üzerinden istemcilerden hesabınıza ağ trafiğinin nasıl yönlendir olduğunu belirtmek üzere yapılandırabilirsiniz. Daha fazla bilgi için bkz. Azure ağ yönlendirme tercihini yapılandırma Depolama. -

Günlüğe Kaydetme/İzleme

Öneri Yorumlar Güvenlik Merkezi
İsteklerin yetkilendirilma yetkilerini izleme Azure Depolama azure aboneliğine yapılan her isteğin nasıl yetkilendirildi Depolama etkinleştirin. Günlükler, bir isteğin anonim olarak mı, OAuth 2.0 belirteci kullanılarak mı, Paylaşılan Anahtar kullanılarak mı yoksa paylaşılan erişim imzası (SAS) kullanılarak mı yapılmış olduğunu gösteriyor. Daha fazla bilgi için bkz. Klasik İzleme ile Azure Blob Depolama'Azure İzleyici veya Azure Depolama analiz günlüğünü izleme. -
Azure İzleyici'da uyarıları ayarlama Kaynak günlüklerini belirli bir sıklıkta değerlendirecek ve sonuçlara göre bir uyarı tetikleyecek şekilde günlük uyarılarını yapılandırma. Daha fazla bilgi için bkz. Günlük uyarıları Azure İzleyici. -

Sonraki adımlar