Osvědčené postupy pro zabezpečení webových a mobilních aplikací PaaS pomocí Azure Storage
V tomto článku probereme kolekci osvědčených postupů zabezpečení služby Azure Storage pro zabezpečení webových a mobilních aplikací paaS (platforma jako služba). Tyto osvědčené postupy vycházejí z našich zkušeností s Azure a prostředími zákazníků, jako jsou sami.
Azure umožňuje nasadit a používat úložiště způsobem, který není snadno dosažitelný v místním prostředí. S úložištěm Azure můžete dosáhnout vysoké úrovně škálovatelnosti a dostupnosti s relativně malým úsilím. Azure Storage je nejen základem virtuálních počítačů Azure s Windows a Linuxem, ale může také podporovat velké distribuované aplikace.
Azure Storage poskytuje následující čtyři služby: Blob Storage, Table Storage, Queue Storage a File Storage. Další informace najdete v tématu Úvod do Microsoft Azure Storage.
Tento článek se zabývá následujícími osvědčenými postupy:
- Sdílené přístupové podpisy (SAS)
- Řízení přístupu na základě role Azure (Azure RBAC)
- Šifrování na straně klienta pro data s vysokou hodnotou
- Šifrování služby Storage
Použití sdíleného přístupového podpisu místo klíče účtu úložiště
Řízení přístupu je důležité. Aby bylo snazší řídit přístup ke službě Azure Storage, Azure při vytváření účtu úložiště vygeneruje dva 512bitové klíče účtu úložiště (SDK). Úroveň redundance klíčů vám umožňuje vyhnout se přerušení služeb během pravidelné obměny klíčů.
Přístupové klíče k úložišti jsou tajné kódy s vysokou prioritou a měly by být přístupné jenom lidem zodpovědným za řízení přístupu k úložišti. Pokud k těmto klíčům získají přístup nesprávné osoby, budou mít úplnou kontrolu nad úložištěm a můžou nahradit, odstranit nebo přidat soubory do úložiště. To zahrnuje malware a další typy obsahu, které můžou potenciálně ohrozit vaši organizaci nebo vaše zákazníky.
Stále potřebujete způsob, jak poskytnout přístup k objektům v úložišti. Pokud chcete poskytovat podrobnější přístup, můžete využít výhod sdíleného přístupového podpisu (SAS). SAS umožňuje sdílet konkrétní objekty v úložišti pro předem definovaný časový interval a s konkrétními oprávněními. Sdílený přístupový podpis umožňuje definovat:
- Interval platnosti sdíleného přístupového podpisu, včetně času spuštění a doby vypršení platnosti.
- Oprávnění udělená SAS. Například SAS u objektu blob může uživateli udělit oprávnění ke čtení a zápisu do daného objektu blob, ale ne k odstranění oprávnění.
- Volitelná IP adresa nebo rozsah IP adres, ze kterých Azure Storage přijímá SAS. Můžete například zadat rozsah IP adres patřících vaší organizaci. To poskytuje další míru zabezpečení vašeho sdíleného přístupového podpisu.
- Protokol, přes který Azure Storage přijímá SAS. Tento volitelný parametr můžete použít k omezení přístupu k klientům pomocí protokolu HTTPS.
SAS umožňuje sdílet obsah tak, jak ho chcete sdílet, aniž byste museli dávat klíče účtu úložiště. Vždy používat SAS ve vaší aplikaci je bezpečný způsob sdílení prostředků úložiště bez ohrožení klíčů účtu úložiště.
Další informace o sdíleném přístupového podpisu najdete v tématu Použití sdílených přístupových podpisů.
Použití řízení přístupu na základě role v Azure
Dalším způsobem správy přístupu je použití řízení přístupu na základě role v Azure (Azure RBAC). S Azure RBAC se zaměřujete na poskytování přesných oprávnění zaměstnancům, kteří potřebují, na základě potřeb znát zásady zabezpečení s nejnižšími oprávněními. Příliš mnoho oprávnění může vystavit účet útočníkům. Příliš málo oprávnění znamená, že zaměstnanci nemůžou efektivně pracovat. Azure RBAC pomáhá tento problém vyřešit tím, že nabízí podrobnou správu přístupu pro Azure. Řízení přístupu je nezbytné pro organizace, které chtějí vynutit zásady zabezpečení pro přístup k datům.
K přiřazení oprávnění uživatelům můžete použít předdefinované role Azure v Azure. Můžete například použít Přispěvatel účtu úložiště pro cloudové operátory, kteří potřebují spravovat účty úložiště a roli Přispěvatel klasických účtů úložiště ke správě klasických účtů úložiště. U cloudových operátorů, kteří potřebují spravovat virtuální počítače, ale ne účet virtuální sítě nebo účtu úložiště, ke kterému jsou připojení, je můžete přidat do role Přispěvatel virtuálních počítačů.
Organizace, které nevynucují řízení přístupu k datům pomocí funkcí, jako je Azure RBAC, můžou uživatelům udělit více oprávnění, než je potřeba. Více oprávnění, než je potřeba, může vést k ohrožení zabezpečení dat tím, že některým uživatelům umožní přístup k datům, která by neměli mít na prvním místě.
Další informace o Azure RBAC najdete tady:
- Přiřazování rolí Azure s využitím webu Azure Portal
- Předdefinované role v Azure
- Doporučení zabezpečení pro úložiště objektů blob
Použití šifrování na straně klienta pro data s vysokou hodnotou
Šifrování na straně klienta umožňuje programově šifrovat přenášená data před nahráním do služby Azure Storage a programově dešifrovat data při jejich načítání. Šifrování na straně klienta zajišťuje šifrování přenášených dat, ale poskytuje také šifrování neaktivních uložených dat. Šifrování na straně klienta je nejbezpečnější metodou šifrování dat, ale vyžaduje, abyste v aplikaci udělali programové změny a nasadili procesy správy klíčů.
Šifrování na straně klienta také umožňuje mít nad šifrovacími klíči výhradní kontrolu. Můžete vygenerovat a spravovat vlastní šifrovací klíče. Používá metodu obálek, kdy klientská knihovna úložiště Azure generuje šifrovací klíč obsahu (CEK), který je pak zabalený (šifrovaný) pomocí šifrovacího klíče klíče (KEK). Klíč KEK je identifikován identifikátorem klíče a může se jednat o asymetrický pár klíčů nebo symetrický klíč a dá se spravovat místně nebo ukládat ve službě Azure Key Vault.
Šifrování na straně klienta je součástí Javy a klientských knihoven úložiště .NET. Informace o šifrování dat v klientských aplikacích a generování a správě vlastních šifrovacích klíčů najdete v tématu Šifrování na straně klienta a Azure Key Vault pro Microsoft Azure Storage .
Povolení šifrování neaktivních uložených dat ve službě Storage
Pokud je povolené šifrování služby Storage pro úložiště souborů, data se automaticky šifrují pomocí šifrování AES-256. Microsoft zpracovává veškeré šifrování, dešifrování a správu klíčů. Tato funkce je dostupná pro typy redundance LRS a GRS.
Další kroky
Tento článek vás seznámil s kolekcí osvědčených postupů zabezpečení služby Azure Storage pro zabezpečení webových a mobilních aplikací PaaS. Další informace o zabezpečení nasazení PaaS najdete tady: