Sdílet prostřednictvím

Použití principů nulová důvěra (Zero Trust) na úložiště Azure

  • Článek

Shrnutí: Pokud chcete použít zásady nulová důvěra (Zero Trust) pro úložiště Azure, musíte chránit data (neaktivní uložená, přenášená a použitá), ověřovat uživatele a řídit přístup, oddělit nebo oddělit důležitá data pomocí síťových ovládacích prvků a použít Defender for Storage k automatické detekci a ochraně před hrozbami.

Tento článek obsahuje postup použití principů nulová důvěra (Zero Trust) ve službě Azure Storage:

princip nulová důvěra (Zero Trust) Definice Met by
Explicitní ověření Vždy ověřovat a autorizovat na základě všech dostupných datových bodů. Ověřte přihlašovací údaje uživatele a přístup.
Použití nejméně privilegovaného přístupu Omezte přístup uživatelů pomocí technologie Just-In-Time a Just-Enough-Access (JIT/JEA), adaptivních zásad založených na rizikech a ochrany dat. Řízení přístupu k datům úložiště s nejnižšími oprávněními
Předpokládat porušení zabezpečení Minimalizujte poloměr výbuchu a segmentování přístupu. Ověřte komplexní šifrování a využijte analýzy k získání viditelnosti, zjišťování hrozeb a zlepšení ochrany. Chraňte neaktivní uložená data, přenášená data a data, která se používají. Oddělte důležitá data pomocí síťových ovládacích prvků. K automatické detekci a ochraně před hrozbami použijte Defender for Storage.

Tento článek je součástí série článků, které ukazují, jak aplikovat principy nulová důvěra (Zero Trust) v prostředí v Azure, které zahrnuje služby Azure Storage pro podporu úlohy IaaS. Přehled najdete v tématu Použití principů nulová důvěra (Zero Trust) na infrastrukturu Azure.

Architektura úložiště v Azure

Zásady nulová důvěra (Zero Trust) pro Azure Storage použijete napříč architekturou, od úrovně tenanta a adresáře až po kontejner úložiště v datové vrstvě.

Následující diagram znázorňuje komponenty logické architektury.

Diagram logické architektury pro použití nulová důvěra (Zero Trust) ve službě Azure Storage zobrazující předplatná, skupiny prostředků a účty úložiště v rámci tenanta Microsoft Entra ID

V diagramu:

  • Účet úložiště pro referenční architekturu je obsažen ve vyhrazené skupině prostředků. Jednotlivé účty úložiště můžete izolovat v jiné skupině prostředků, abyste měli podrobnější řízení přístupu na základě role (RBAC). Oprávnění RBAC můžete přiřadit ke správě účtu úložiště na úrovni skupiny prostředků nebo skupiny prostředků a auditovat je pomocí protokolování a nástrojů Microsoft Entra ID, jako je Privileged Identity Management (PIM). Pokud používáte více aplikací nebo úloh s několika odpovídajícími účty úložiště v jednom předplatném Azure, je důležité omezit oprávnění RBAC jednotlivých účtů úložiště na odpovídající vlastníky, správce dat, kontrolery atd.
  • Služby úložiště Azure pro tento diagram jsou obsaženy ve vyhrazeném účtu úložiště. Pro každý typ úlohy úložiště můžete mít jeden účet úložiště.
  • Širší pohled na referenční architekturu najdete v přehledu Azure IaaS s principy Použití nulová důvěra (Zero Trust).

Diagram nezahrnuje fronty Azure a tabulky Azure. K zabezpečení těchto prostředků použijte stejné pokyny v tomto článku.

Co je v tomto článku?

Tento článek vás provede postupem použití principů nulová důvěra (Zero Trust) v referenční architektuře.

Krok Úloha nulová důvěra (Zero Trust) použité zásady
0 Chraňte data ve všech třech režimech: neaktivní uložená data, přenášená data. Předpokládat porušení zabezpečení
2 Ověřte uživatele a kontrolujte přístup k datům úložiště s nejnižšími oprávněními. Explicitní ověření
Použití nejméně privilegovaného přístupu
3 Logicky oddělte nebo oddělte důležitá data pomocí síťových ovládacích prvků. Předpokládat porušení zabezpečení
4 K automatické detekci a ochraně před hrozbami použijte Defender for Storage. Předpokládat porušení zabezpečení

Krok 1: Ochrana dat ve všech třech režimech: neaktivní uložená data, přenášená data

Většinu nastavení pro ochranu neaktivních uložených dat, přenášených dat a jejich použití nakonfigurujete při vytváření účtu úložiště. Abyste měli jistotu, že tyto ochrany nakonfigurujete, použijte následující doporučení. Zvažte také povolení, aby Microsoft Defender for Cloud automaticky vyhodnotil vaše účty úložiště proti srovnávacímu testu zabezpečení cloudu Microsoftu, který popisuje standardní hodnoty zabezpečení pro každou službu Azure.

Další informace o těchto bezpečnostních prvcích úložiště najdete tady.

Použití šifrování při přenosu

Povolením zabezpečení na úrovni přenosu mezi Azure a klientem zajistíte, že data budou zabezpečená. K zajištění zabezpečené komunikace přes veřejný internet používejte vždy protokol HTTPS. Když voláte rozhraní REST API pro přístup k objektům v účtech úložiště, můžete vynutit použití protokolu HTTPS vyžadováním funkce Secure Transfer Required pro účet úložiště. Všechny požadavky pocházející z nezabezpečeného připojení jsou odmítnuty.

Tato konfigurace je ve výchozím nastavení povolená, když nasadíte nový účet služby Azure Storage (ve výchozím nastavení zabezpečený).

Zvažte použití zásady pro odepření nasazení nezabezpečených připojení pro Azure Storage (zabezpečené návrhem).

Tato konfigurace také vyžaduje protokol SMB 3.0 s šifrováním.

Zabránění anonymnímu veřejnému přístupu pro čtení

Ve výchozím nastavení je přístup k veřejnému objektu blob zakázaný, ale uživatel s odpovídajícími oprávněními může nakonfigurovat přístupný prostředek. Pokud chcete zabránit únikům dat z anonymního přístupu, měli byste určit, kdo má k vašim datům přístup. Zabráníte tomu na úrovni účtu úložiště, aby uživatel povolil tento přístup na úrovni kontejneru nebo objektu blob.

Další informace najdete v tématu Zabránění anonymnímu veřejnému přístupu pro čtení ke kontejnerům a objektům blob.

Zabránění autorizaci sdíleného klíče

Tato konfigurace vynutí, aby účet úložiště odmítl všechny požadavky provedené se sdíleným klíčem a vyžadoval místo toho autorizaci Microsoft Entra. Microsoft Entra ID je bezpečnější volba, protože k posílení přístupu k datovým vrstvám můžete použít mechanismy přístupu na základě rizika. Další informace najdete v tématu Zabránění autorizaci sdíleného klíče pro účet Azure Storage.

Ochranu dat nakonfigurujete pro všechny tři režimy z nastavení konfigurace účtu úložiště, jak je znázorněno zde.

Snímek obrazovky konfigurace ochrany dat pro všechny tři režimy účtu úložiště

Tato nastavení se po vytvoření účtu úložiště nedají změnit.

Vynucení minimální požadované verze protokolu TLS (Transport Layer Security)

Nejvyšší verze Azure Storage aktuálně podporuje protokol TLS 1.2. Vynucení minimální verze protokolu TLS odmítne žádosti od klientů pomocí starších verzí. Další informace najdete v tématu Vynucení minimální požadované verze protokolu TLS pro požadavky na účet úložiště.

Definování oboru pro operace kopírování

Definujte rozsah operací kopírování, abyste omezili operace kopírování jenom na ty ze zdrojových účtů úložiště, které jsou ve stejném tenantovi Microsoft Entra nebo které mají službu Private Link do stejné virtuální sítě (VNet) jako cílový účet úložiště.

Omezení operací kopírování na zdrojové účty úložiště s privátními koncovými body je nejvíce omezující možnost a vyžaduje, aby zdrojový účet úložiště má povolené privátní koncové body.

Obor pro operace kopírování nakonfigurujete z nastavení konfigurace účtu úložiště, jak je znázorněno tady.

Snímek obrazovky s definováním rozsahu operací kopírování pro účet úložiště

Vysvětlení fungování šifrování neaktivních uložených dat

Všechna data zapsaná do služby Azure Storage se automaticky šifrují pomocí šifrování služby Storage (SSE) s 256bitovou šifrou AES (Advanced Encryption Standard). SSE automaticky šifruje data při zápisu do služby Azure Storage. Při čtení dat ze služby Azure Storage je tato služba před jejich vrácením dešifruje. Za toto zpracování se neúčtují žádné další poplatky a nedochází k degradaci výkonu. Použití klíčů spravovaných zákazníkem (CMK) poskytuje další možnosti pro řízení obměně šifrovacího klíče klíče nebo kryptograficky vymazat data.

CmK povolíte v okně Šifrování při vytváření účtu úložiště, jak je znázorněno zde.

Snímek obrazovky s povolením CMK pro účet úložiště

Můžete také povolit šifrování infrastruktury, které poskytuje dvojité šifrování na úrovni služby i infrastruktury. Toto nastavení nelze po vytvoření účtu úložiště změnit.

Poznámka:

Pokud chcete použít klíč spravovaný zákazníkem pro šifrování účtu úložiště, musíte ho povolit při vytváření účtu a měli byste mít službu Key Vault s klíčem a spravovanou identitou s odpovídajícími oprávněními, která už jsou zřízená. Volitelně je možné povolit také 256bitové šifrování AES na úrovni infrastruktury Azure Storage.

Krok 2: Ověření přístupu uživatelů a řízení přístupu k datům úložiště s nejnižšími oprávněními

Nejprve použijte ID Microsoft Entra k řízení přístupu k účtům úložiště. Použití řízení přístupu na základě role s účty úložiště umožňuje podrobné definování funkce úlohy založené na přístupu pomocí OAuth 2.0. Podrobný přístup můžete sladit se zásadami podmíněného přístupu.

Je důležité si uvědomit, že role pro účty úložiště musí být přiřazené na úrovni správy nebo dat. Pokud tedy jako metodu ověřování a autorizace používáte ID Microsoft Entra, měl by být uživateli přiřazena odpovídající kombinace rolí, aby mu bylo možné poskytnout nejnižší úroveň oprávnění potřebnou k dokončení funkce úlohy.

Seznam rolí účtu úložiště pro podrobný přístup najdete v tématu Předdefinované role Azure pro službu Storage. Přiřazení RBAC se provádí prostřednictvím možnosti Řízení přístupu v účtu úložiště a je možné je přiřadit v různých oborech.

Řízení přístupu nakonfigurujete z nastavení řízení přístupu (IAM) účtu úložiště, jak je znázorněno tady.

Snímek obrazovky s konfigurací řízení přístupu pro účet úložiště

Můžete zkontrolovat úrovně přístupu uživatelů, skupin, instančních objektů nebo spravovaných identit a přidat přiřazení role.

Dalším způsobem, jak poskytnout oprávnění, která jsou vázána na čas, je prostřednictvím sdílených přístupových podpisů (SAS). Osvědčené postupy při použití SAS na vysoké úrovni jsou následující:

  • Vždy používejte PROTOKOL HTTPS. Pokud jste nasadili navrhované zásady Azure pro cílové zóny Azure, bude se auditovat zabezpečený přenos přes HTTPS.
  • Máte plán odvolání.
  • Konfigurace zásad vypršení platnosti SAS
  • Ověřte oprávnění.
  • Kdykoli je to možné, použijte SAS delegování uživatele. Tento SAS je podepsaný pomocí přihlašovacích údajů Microsoft Entra ID.

Krok 3: Logické oddělení nebo oddělení důležitých dat pomocí síťových ovládacích prvků

V tomto kroku použijete doporučené ovládací prvky k ochraně síťových připojení ke službám Azure Storage a z těchto služeb.

Následující diagram znázorňuje síťová připojení ke službám Azure Storage v referenční architektuře.

Diagram referenční architektury pro použití nulová důvěra (Zero Trust) v úložišti Azure, který zvýrazňuje síťová připojení ke službám Azure Storage v referenční architektuře Azure IaaS

Úloha Popis
Zabránit veřejnému přístupu, vytvořit segmentaci sítě pomocí privátního koncového bodu a služby Private Link. Privátní koncový bod umožňuje připojit se ke službám s použitím jedné privátní IP adresy ve virtuální síti pomocí služby Azure Private Link.
  • Povolení privátních koncových bodů umožňuje platformě Azure ověřit síťová připojení a povolit přístup k dalším prostředkům pouze s explicitním přístupem k prostředku privátního propojení.
  • Pro každou službu v účtu úložiště Azure budete potřebovat samostatný privátní koncový bod.
    		•
    Použití služby Azure Private Link Azure Private Link použijte pro přístup ke službě Azure Storage přes privátní koncový bod ve vaší virtuální síti. Pracovní postup schválení použijte k automatickému schválení nebo ruční žádosti podle potřeby.
    Zabránění veřejnému přístupu ke zdrojům dat pomocí koncových bodů služby Segmentaci sítě můžete provádět pomocí koncových bodů služby tím, že povolíte privátní IP adresy ve virtuální síti, aby se dostaly ke koncovému bodu bez použití veřejných IP adres.

    Privátní koncové body nakonfigurujete z nastavení sítě účtu úložiště, jak je znázorněno tady.

    Snímek obrazovky konfigurace privátního koncového bodu pro účet úložiště

    Krok 4: Použití defenderu for Storage k automatické detekci a ochraně před hrozbami

    Microsoft Defender for Storage poskytuje další úroveň inteligentních funkcí, které detekují neobvyklé a potenciálně škodlivé pokusy o zneužití služeb úložiště. Microsoft Defender for Storage je integrovaný v programu Microsoft Defender for Cloud.

    Defender for Storage detekuje neobvyklá upozornění na vzory přístupu, například:

    • Přístup z neobvyklých umístění
    • Anomálie aplikace
    • Anonymní přístup
    • Neobvyklé extrahování nebo nahrávání upozornění
    • Exfiltrace dat
    • Neočekávané odstranění
    • Nahrání balíčku cloudové služby Azure
    • Upozornění podezřelých aktivit úložiště
    • Změna oprávnění přístupu
    • Kontrola přístupu
    • Zkoumání dat

    Další informace o ochraně před hrozbami v referenční architektuře najdete v přehledu použití zásad nulová důvěra (Zero Trust) pro Azure IaaS.

    Po povolení vás Defender for Storage upozorní na výstrahy zabezpečení a doporučení pro zlepšení stavu zabezpečení účtů úložiště Azure.

    Tady je příklad výstrahy zabezpečení pro účet úložiště se zvýrazněným popisem upozornění a opatření prevence.

    Snímek obrazovky s ukázkovým upozorněním zabezpečení pro účet úložiště

    Konfigurace zabezpečení úložiště

    Školení Konfigurace zabezpečení úložiště
    Zjistěte, jak nakonfigurovat běžné funkce zabezpečení služby Azure Storage, jako jsou přístupové podpisy úložiště.
    V tomto modulu se naučíte:
  • Nakonfigurujte sdílený přístupový podpis (SAS), včetně identifikátoru URI (Uniform Resource Identifier) a parametrů SAS.
  • Nakonfigurujte šifrování služby Azure Storage.
  • Implementujte klíče spravované zákazníkem.
  • Doporučte příležitosti ke zlepšení zabezpečení služby Azure Storage.
    		•

    Spustit >

    Další školení o zabezpečení v Azure najdete v těchto materiálech v katalogu Microsoftu:
    Zabezpečení v Azure | Microsoft Learn

    Další kroky

    Projděte si tyto další články týkající se uplatňování principů nulová důvěra (Zero Trust) v Azure:

    Technické ilustrace

    Tento plakát poskytuje jednostráňový pohled na komponenty Azure IaaS jako referenční a logické architektury společně s kroky k zajištění toho, aby tyto komponenty měly zásady "nikdy nedůvěřovat, vždy ověřovat" použitého modelu nulová důvěra (Zero Trust).

    Položka Popis
    Obrázek miniatury plakátu Použít nulová důvěra (Zero Trust) na infrastrukturu Azure IaaS
    PDF | Visio
    Aktualizováno březen 2024    		 Tento obrázek se používá společně s tímto článkem: Použití principů nulová důvěra (Zero Trust) v přehledu Azure IaaS

    Související průvodci řešením

    Tento plakát poskytuje referenční a logické architektury a podrobné konfigurace samostatných komponent nulová důvěra (Zero Trust) pro Azure IaaS. Stránky tohoto plakátu můžete použít pro samostatná IT oddělení nebo speciality nebo s verzí souboru microsoft Visia přizpůsobit diagramy pro vaši infrastrukturu.

    Položka Popis
    Miniatura diagramů pro použití nulová důvěra (Zero Trust) na plakát infrastruktury Azure IaaS
    PDF | Visio
    Aktualizováno březen 2024    		 Tyto diagramy použijte společně s články, které začínají tady: Použití principů nulová důvěra (Zero Trust) v přehledu Azure IaaS

    Související průvodci řešením

    Další technické ilustrace potřebujete kliknutím sem.

    Reference

    Informace o různých službách a technologiích uvedených v tomto článku najdete na následujících odkazech.