儲存體的 Azure 安全性基準
此安全性基準會將 Microsoft 雲端安全性基準 1.0 版的指引套用至儲存體。 Microsoft 雲端安全性基準提供如何在 Azure 上保護雲端解決方案的建議。 內容會依 Microsoft 雲端安全性效能評定所定義的安全性控制項,以及適用于儲存體的相關指引分組。
您可以使用 Microsoft Defender for Cloud 來監視此安全性基準及其建議。 Azure 原則定義將會列在 Cloud 入口網站Microsoft Defender頁面的法規合規性一節中。
當功能有相關的Azure 原則定義時,這些定義會列在此基準中,以協助您測量 Microsoft 雲端安全性基準控制措施和建議的合規性。 某些建議可能需要付費Microsoft Defender方案,才能啟用特定安全性案例。
注意
已排除不適用於儲存體的功能。 若要查看儲存體如何完全對應至 Microsoft 雲端安全性效能評定,請參閱 完整的儲存體安全性基準對應檔案。
安全性設定檔
安全性設定檔摘要說明儲存體的高影響行為,這可能會導致安全性考慮增加。
| 服務行為屬性 | 值 |
|---|---|
| 產品類別 | 儲存體 |
| 客戶可以存取 HOST / OS | 無存取權 |
| 服務可以部署到客戶的虛擬網路 | 對 |
| 儲存待用客戶內容 | 對 |
網路安全性
如需詳細資訊,請參閱 Microsoft 雲端安全性基準:網路安全性。
NS-1:建立網路分割界限
功能
虛擬網路整合
描述:服務支援部署到客戶的私人虛擬網路 (VNet) 。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| False | 不適用 | 不適用 |
設定指引:不支援此功能來保護此服務。
NS-2:使用網路控制保護雲端服務
功能
Azure Private Link
描述:用於篩選網路流量的服務原生 IP 篩選功能, (不會與 NSG 或Azure 防火牆) 混淆。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
設定指引:部署 Azure 儲存體的私人端點,以建立資源的私人存取點。
停用公用網路存取
描述:服務支援透過使用服務層級 IP ACL 篩選規則來停用公用網路存取, (非 NSG 或Azure 防火牆) 或使用 [停用公用網路存取] 切換開關。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
設定指引:使用 Azure 儲存體服務層級 IP ACL 篩選或切換交換器進行公用網路存取,以停用公用網路存取。
參考: 變更預設網路存取規則
身分識別管理
如需詳細資訊,請參閱 Microsoft 雲端安全性效能評定:身分識別管理。
IM-1:使用集中式身分識別和驗證系統
功能
資料平面存取所需的 Azure AD 驗證
描述:服務支援使用 Azure AD 驗證進行資料平面存取。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| 對 | 對 | Microsoft |
功能附注:儲存體提供多種方式來授權資料平面。 Azure 提供 Azure 角色型存取控制 (Azure RBAC) ,以更精細地控制用戶端對儲存體帳戶中資源的存取。 盡可能使用 Azure AD 認證作為安全性最佳作法,而不是使用帳戶金鑰,這更容易遭到入侵。 當您的應用程式設計需要共用存取簽章才能存取 Blob 儲存體時,請使用 Azure AD 認證來建立使用者委派共用存取簽章, (SAS) 盡可能提供更高的安全性。
設定指引:在預設部署上啟用此設定時,不需要任何其他設定。
資料平面存取的本機驗證方法
描述:支援資料平面存取的本機驗證方法,例如本機使用者名稱和密碼。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
功能注意事項:避免使用本機驗證方法或帳戶,請盡可能停用這些方法。 請改用 Azure AD 在可能的情況下進行驗證。
設定指引:限制對資料平面存取使用本機驗證方法。 請改用 Azure Active Directory (Azure AD) 作為預設驗證方法,以控制您的資料平面存取。
參考: SFTP 許可權模型
IM-3:安全且自動地管理應用程式身分識別
功能
受控識別
描述:資料平面動作支援使用受控識別進行驗證。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
設定指引:盡可能使用 Azure 受控識別,而不是服務主體,它可以向支援 Azure Active Directory 的 Azure 服務和資源進行驗證, (Azure AD) 驗證。 受控識別認證完全受平台管理、輪替和保護,且避開原始程式碼或組態檔中的硬式編碼認證。
參考:使用 Azure 資源的受控識別來授權 Blob 資料的存取權
服務主體
描述:資料平面支援使用服務主體進行驗證。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
其他指引:使用 Azure AD 時,您可以使用 Azure 角色型存取控制 (Azure RBAC) ,將許可權授與安全性主體,這可能是使用者、群組或應用程式服務主體。 安全性主體是由 Azure AD 進行驗證,以傳回 OAuth 2.0 權杖。 權杖接著可以用來授權對 Blob 服務的要求。
參考: 使用 Azure Active Directory 授權對 Blob 的存取
IM-7:根據條件限制資源存取
功能
資料平面的條件式存取
描述:您可以使用 Azure AD 條件式存取原則來控制資料平面存取。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
設定指引:在工作負載中定義 Azure Active Directory (Azure AD) 條件式存取適用的條件和準則。 請考慮常見的使用案例,例如封鎖或授與來自特定位置的存取權、封鎖具風險的登入行為,或要求特定應用程式的組織管理的裝置。
參考: 不允許使用 Azure AD 條件式存取的共用金鑰授權
IM-8:限制認證和祕密的公開
功能
Azure Key Vault 中服務認證和秘密支援整合和儲存
描述:資料平面支援原生使用 Azure 金鑰保存庫認證和秘密存放區。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
設定指引:確定秘密和認證會儲存在 Azure 金鑰保存庫等安全位置,而不是將它們內嵌到程式碼或組態檔中。
參考:使用 金鑰保存庫 和 Azure CLI 管理儲存體帳戶金鑰
特殊權限存取
如需詳細資訊,請參閱 Microsoft 雲端安全性效能評定:特殊許可權存取。
PA-1:劃分和限制高度權限/系統管理使用者
功能
本機管理員帳戶
描述:服務具有本機系統管理帳戶的概念。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| False | 不適用 | 不適用 |
設定指引:不支援此功能來保護此服務。
PA-7:遵循剛好足夠的系統管理 (最低權限) 原則
功能
適用于資料平面的 Azure RBAC
描述:Azure Role-Based 存取控制 (Azure RBAC) 可用來管理服務資料平面動作的存取權。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
設定指引:Azure 儲存體支援使用 Azure Active Directory (Azure AD) 來授權 Blob 資料的要求。 使用 Azure AD,您可以使用 Azure 角色型存取控制 (Azure RBAC) 將權限授與安全性主體 (可能是使用者、群組或應用程式服務主體)。
使用 Azure AD 來授權針對 Azure 儲存體的要求,比共用金鑰授權更為安全,也更易於使用。 Microsoft 建議您盡可能搭配使用 Azure AD 授權與 Blob 應用程式,以確保具有最低必要權限的存取權。
參考: 使用 Azure Active Directory 授權對 Blob 的存取
PA-8:判斷雲端提供者支援的存取程序
功能
客戶加密箱
描述:客戶加密箱可用於 Microsoft 支援存取。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
設定指引:在 Microsoft 需要存取資料的支援案例中,使用客戶加密箱來檢閱,然後核准或拒絕每個 Microsoft 的資料存取要求。
參考: 客戶加密箱
資料保護
如需詳細資訊,請參閱 Microsoft 雲端安全性基準:資料保護。
DP-1:探索、分類及標記敏感性資料
功能
敏感性資料探索和分類
描述:Azure Purview 或 Azure 資訊保護) 等工具 (可用於服務中的資料探索和分類。 深入瞭解。
| 支援 | 預設啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
功能注意事項:儲存體與 Azure purview 的整合目前為私人預覽版。
設定指引:使用 Azure Purview 掃描、分類和標記位於 Azure 儲存體中的任何敏感性資料。
參考: 在 Microsoft Purview 中連線到 Azure Blob 儲存體
DP-2:監視以敏感性資料為目標的異常和威脅
功能
資料外泄/外泄防護
描述:服務支援 DLP 解決方案,以監視客戶內容) 中的敏感性資料移動 (。 深入瞭解。
| 支援 | 預設啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
設定指引:適用于儲存體的 Defender 會持續分析Azure Blob 儲存體和Azure 檔案儲存體服務所產生的遙測資料流程。 偵測到潛在的惡意活動時,系統會產生安全性警示。 這些警示會顯示在適用於雲端的 Microsoft Defender 中,提供可疑活動的詳細資料,以及相關的調查步驟、補救動作和安全性建議。
適用於儲存體的 Microsoft Defender 內建於適用於雲端的 Microsoft Defender。 當您在訂用帳戶上啟用適用於雲端的 Microsoft Defender 增強式安全性功能時,您的所有儲存體帳戶都會自動啟用適用於儲存體的 Microsoft Defender。 您可以針對特定訂用帳戶下的個別儲存體帳戶啟用或停用適用于儲存體的 Defender。
DP-3:加密傳輸中的敏感性資料
功能
傳輸中資料加密
描述:服務支援資料平面的資料傳輸中加密。 深入瞭解。
| 支援 | 預設啟用 | 設定責任 |
|---|---|---|
| 對 | 對 | Microsoft |
設定指引:預設部署上啟用此設定時不需要其他設定。
參考: 針對儲存體帳戶的要求強制執行最低必要版本的傳輸層安全性 (TLS)
DP-4:預設啟用待用資料加密
功能
使用平臺金鑰進行待用加密的資料
描述:支援使用平臺金鑰進行待用資料加密,任何待用客戶內容都會使用這些 Microsoft 管理的金鑰進行加密。 深入瞭解。
| 支援 | 預設啟用 | 設定責任 |
|---|---|---|
| 對 | 對 | Microsoft |
設定指引:預設部署上啟用此設定時不需要其他設定。
DP-5:必要時在待用資料加密中使用客戶自控金鑰選項
功能
使用 CMK 進行待用資料加密
描述:服務所儲存的客戶內容支援使用客戶自控金鑰的資料待用加密。 深入瞭解。
| 支援 | 預設啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
設定指引:如果需要法規合規性,請定義使用客戶管理的金鑰進行加密的使用案例和服務範圍。 使用 Azure 儲存體的客戶管理金鑰,啟用和實作範圍內資料待用資料加密
DP-6:使用安全金鑰管理程序
功能
Azure Key Vault 中的金鑰管理
描述:此服務支援任何客戶金鑰、秘密或憑證的 Azure 金鑰保存庫整合。 深入瞭解。
| 支援 | 預設啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
設定指引:使用 Azure 金鑰保存庫來建立及控制加密金鑰的生命週期,包括金鑰產生、散發和儲存體。 根據定義的排程或金鑰淘汰或入侵時,輪替和撤銷 Azure 中的金鑰金鑰保存庫和服務。 如果您需要在工作負載、服務或應用層級中使用客戶管理的金鑰 (CMK) ,請確定您遵循金鑰管理的最佳做法:使用金鑰階層在金鑰保存庫中產生個別的資料加密金鑰 (DEK) 與金鑰加密金鑰 (KEK) 。 請確定金鑰已向 Azure 金鑰保存庫註冊,並透過服務或應用程式的金鑰識別碼加以參考。 如果您需要將自己的金鑰 (BYOK) 帶入服務 (,例如將受 HSM 保護的金鑰從內部部署 HSM 匯入 Azure 金鑰保存庫) ,請遵循建議的指導方針來執行初始金鑰產生和金鑰傳輸。
參考:使用 金鑰保存庫 和 Azure CLI 管理儲存體帳戶金鑰
資產管理
如需詳細資訊,請參閱 Microsoft 雲端安全性基準測試:資產管理。
AM-2:僅使用核准的服務
功能
Azure 原則支援
描述:服務組態可以透過Azure 原則進行監視和強制執行。 深入瞭解。
| 支援 | 預設啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
設定指引:為與 Azure 儲存體帳戶相關聯的網路資源定義及實作標準安全性設定,以Azure 原則。 使用 「Microsoft.Storage」 和 「Microsoft.Network」 命名空間中的Azure 原則別名來建立自訂原則,以稽核或強制執行儲存體帳戶資源的網路設定。
您也可以使用與儲存體帳戶相關的內建原則定義,例如:儲存體帳戶應該使用虛擬網路服務端點
記錄和威脅偵測
如需詳細資訊,請參閱 Microsoft 雲端安全性效能評定:記錄和威脅偵測。
LT-1:啟用威脅偵測功能
功能
適用於服務/產品供應項目的 Microsoft Defender
描述:服務具有供應專案特定的Microsoft Defender解決方案,可監視和警示安全性問題。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
設定指引:針對儲存體使用Microsoft Defender,提供一層額外的安全性情報,以偵測存取或惡意探索儲存體帳戶的異常和潛在有害嘗試。 其會使用進階威脅偵測功能和 Microsoft 威脅情報資料來提供內容相關的安全性警示。 這些警示也包含步驟來減輕偵測到的威脅,並防止未來的攻擊。
LT-4:啟用安全性調查的記錄
功能
Azure 資源記錄
描述:服務會產生可提供增強服務特定計量和記錄的資源記錄。 客戶可以設定這些資源記錄,並將其傳送至自己的資料接收,例如儲存體帳戶或記錄分析工作區。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
設定指引:透過 Azure 監視器擷取記錄,以匯總端點裝置、網路資源和其他安全性系統所產生的安全性資料。 在 Azure 監視器內,使用 Log Analytics 工作區 () 來查詢和執行分析,並使用 Azure 儲存體帳戶進行長期/封存儲存體,選擇性地使用安全性功能,例如不可變的儲存體和強制執行的保留期。
備份與復原
如需詳細資訊,請參閱 Microsoft 雲端安全性基準:備份和復原。
BR-1:確保定期自動備份
功能
Azure 備份
描述:服務可由Azure 備份服務備份。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
功能注意事項:目前僅支援 Azure Blob 儲存體Azure 備份。 您可以使用 AzCopy 命令列工具來備份佇列和資料表資料。
設定指引:啟用Azure 備份,並以所需的保留期間設定備份來源。 Azure 備份可讓您輕鬆地設定可在儲存體帳戶中保護區塊 Blob 的作業備份。 Blob 的備份是在儲存體帳戶層級設定。 因此,儲存體帳戶中的所有 Blob 都由操作備份來保護。
您可以使用「備份中心」來設定多個儲存體帳戶的備份。 您也可以使用儲存體帳戶的資料保護屬性,來設定儲存體帳戶的備份。
服務原生備份功能
描述:若未使用 Azure 備份) ,服務支援其本身的原生備份功能 (。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
其他指引:Blob 的操作備份是本機備份解決方案。 因此備份資料不會傳輸至備份保存庫,而是直接儲存在資料來源儲存體帳戶中。 然而,仍會將備份保存庫視為管理備份的單位。 此外,這是持續備份解決方案,這表示您不需要排程任何備份,而且所有變更將會保留下來,並可在所選的時間點從狀態中進行還原。
後續步驟
- 請參閱 Microsoft 雲端安全性基準測試概觀
- 深入了解 Azure 資訊安全性基準