Účty úložiště a spolehlivost

Článek
11/14/2023

Účty služby Azure Storage jsou ideální pro úlohy, které vyžadují rychlou a konzistentní dobu odezvy nebo mají vysoký počet vstupních výstupních operací (IOP) za sekundu. Účty úložiště obsahují všechny datové objekty Azure Storage, mezi které patří:

Objekty blob
Sdílené složky
Fronty
Tabulky
Disky

Účty úložiště poskytují jedinečný obor názvů pro vaše data, která jsou přístupná kdekoli přes HTTP nebo HTTPS.

Další informace o různých typech účtů úložiště, které podporují různé funkce, najdete v tématu Typy účtů úložiště.

Informace o tom, jak účet úložiště Azure podporuje odolnost úloh vaší aplikace, najdete v následujících článcích:

Následující části obsahují aspekty návrhu, kontrolní seznam konfigurace a doporučené možnosti konfigurace specifické pro účty úložiště Azure a spolehlivost.

Na co dát pozor při navrhování

Mezi účty úložiště Azure patří následující aspekty návrhu:

Účty úložiště pro obecné účely v1 poskytují přístup ke všem službám Azure Storage, ale nemusí mít nejnovější funkce nebo nižší ceny za gigabajt. Ve většině případů se doporučuje používat účty úložiště pro obecné účely v2. Mezi důvody použití verze 1 patří:
- Aplikace vyžadují model nasazení Classic.
- Aplikace jsou náročné na transakce nebo využívají značnou šířku pásma geografické replikace, ale nevyžadují velkou kapacitu.
- Použití rozhraní REST API služby Storage, které je starší než 14. února 2014, nebo klientské knihovny s verzí starší, než 4.x je vyžadováno. Upgrade aplikace není možný.

Další informace najdete v přehledu účtu úložiště.

Názvy účtů úložiště musí obsahovat tři až 24 znaků a můžou obsahovat jenom číslice a malá písmena.
Aktuální specifikace smlouvy SLA najdete v referenčních informacích o smlouvě SLA pro účty úložiště.
Přejděte do části Redundance služby Azure Storage a zjistěte, která možnost redundance je pro konkrétní scénář nejvhodnější.
Názvy účtů úložiště musí být v rámci Azure jedinečné. Žádné dva účty úložiště nemohou mít stejný název.

Kontrolní seznam

Nakonfigurovali jste účet služby Azure Storage s ohledem na spolehlivost?

Zapněte obnovitelné odstranění dat objektů blob.
K autorizaci přístupu k datům objektů blob použijte ID Microsoft Entra.
Při přiřazování oprávnění k objektu zabezpečení Microsoft Entra prostřednictvím Azure RBAC zvažte princip nejnižších oprávnění.
Použití spravovaných identit pro přístup k datům objektů blob a front.
K ukládání důležitých obchodních dat použijte správu verzí objektů blob nebo neměnné objekty blob.
Omezte výchozí přístup k internetu pro účty úložiště.
Povolte pravidla brány firewall.
Omezte síťový přístup na konkrétní sítě.
Povolte důvěryhodným službám Microsoftu přístup k účtu úložiště.
U všech účtů úložiště povolte možnost Vyžaduje se zabezpečený přenos .
Omezte tokeny sdíleného přístupového podpisu (SAS) pouze na HTTPS připojení.
Vyhněte se použití autorizace sdíleného klíče pro přístup k účtům úložiště.
Klíče účtu pravidelně vygenerujte.
Vytvořte plán odvolání a vytvořte ho pro všechny sas, které vydáte klientům.
U improvizovaného SAS, SAS služby nebo sas účtu použijte blízké vypršení platnosti.

Doporučení ke konfiguraci

Při konfiguraci účtu služby Azure Storage zvažte následující doporučení k optimalizaci spolehlivosti:

Doporučení	Description
Zapněte obnovitelné odstranění dat objektů blob.	Obnovitelné odstranění objektů blob služby Azure Storage umožňuje obnovit data objektů blob po jejich odstranění.
K autorizaci přístupu k datům objektů blob použijte ID Microsoft Entra.	Microsoft Entra ID poskytuje vynikající zabezpečení a snadné použití oproti sdílenému klíči pro autorizaci požadavků na úložiště objektů blob. Pokud je to možné, doporučujeme používat Microsoft Entra autorizaci u aplikací objektů blob a fronty, aby se minimalizovala potenciální ohrožení zabezpečení, která jsou součástí sdíleného klíče. Další informace najdete v tématu Autorizace přístupu k objektům blob a frontám Azure pomocí id Microsoft Entra.
Při přiřazování oprávnění k objektu zabezpečení Microsoft Entra prostřednictvím Azure RBAC zvažte princip nejnižších oprávnění.	Při přiřazování role uživateli, skupině nebo aplikaci udělte objektu zabezpečení jenom ta oprávnění potřebná k provádění svých úkolů. Omezení přístupu k prostředkům pomáhá zabránit neúmyslnému i škodlivému zneužití vašich dat.
Použití spravovaných identit pro přístup k datům objektů blob a front.	Azure Blob a Queue Storage podporuje ověřování Microsoft Entra se spravovanými identitami pro prostředky Azure. Spravované identity pro prostředky Azure můžou autorizovat přístup k datům objektů blob a front pomocí přihlašovacích údajů Microsoft Entra z aplikací spuštěných na virtuálních počítačích Azure, aplikacích funkcí, škálovacích sadách virtuálních počítačů a dalších službách. Používáním spravovaných identit pro prostředky Azure společně s ověřováním Microsoft Entra se můžete vyhnout ukládání přihlašovacích údajů do aplikací, které běží v cloudu, a problémům s vypršením platnosti instančních objektů. Další informace najdete v tématu Autorizace přístupu k datům objektů blob a front pomocí spravovaných identit pro prostředky Azure .
K ukládání důležitých obchodních dat použijte správu verzí objektů blob nebo neměnné objekty blob.	Zvažte použití správy verzí objektů blob k údržbě předchozích verzí objektu nebo použití blokování z právních důvodů a zásad uchovávání informací na základě času k ukládání dat objektů blob ve stavu WORM (Write Once, Read Many). Neměnné objekty blob se dají číst, ale během intervalu uchovávání se nedají upravovat ani odstraňovat. Další informace najdete v tématu Ukládání důležitých obchodních dat objektů blob s neměnným úložištěm.
Omezte výchozí přístup k internetu pro účty úložiště.	Ve výchozím nastavení není síťový přístup k účtům úložiště omezený a je otevřený pro veškerý provoz přicházející z internetu. Přístup k účtům úložiště by se měl udělit jenom konkrétním virtuálním sítím Azure, kdykoli je to možné, nebo pomocí privátních koncových bodů umožnit klientům ve virtuální síti zabezpečený přístup k datům přes Private Link. Další informace najdete v tématu Použití privátních koncových bodů pro Službu Azure Storage . Pro účty úložiště, které musí být přístupné přes internet, je možné provést výjimky.
Povolte pravidla brány firewall.	Nakonfigurujte pravidla brány firewall tak, aby omezila přístup k vašemu účtu úložiště na požadavky pocházející ze zadaných IP adres nebo rozsahů nebo ze seznamu podsítí v azure Virtual Network (VNet). Další informace o konfiguraci pravidel brány firewall najdete v tématu Konfigurace virtuálních sítí a bran firewall služby Azure Storage.
Omezte síťový přístup na konkrétní sítě.	Omezení síťového přístupu na sítě, které hostují klienty vyžadující přístup, snižuje riziko ohrožení vašich prostředků síťovými útoky, a to buď pomocí integrované funkce brány firewall a virtuálních sítí, nebo pomocí privátních koncových bodů.
Povolte důvěryhodným službám Microsoftu přístup k účtu úložiště.	Zapnutí pravidel brány firewall pro účty úložiště ve výchozím nastavení blokuje příchozí požadavky na data, pokud požadavky nepocházejí ze služby provozované v rámci Virtual Network Azure nebo z povolených veřejných IP adres. Mezi blokované požadavky patří požadavky z jiných služeb Azure, z Azure Portal, ze služeb protokolování a metrik atd. Žádosti z jiných služeb Azure můžete povolit přidáním výjimky, která umožní důvěryhodným službám Microsoftu přístup k účtu úložiště. Další informace o přidání výjimky pro důvěryhodné služby Microsoft najdete v tématu Konfigurace bran firewall a virtuálních sítí služby Azure Storage.
U všech účtů úložiště povolte možnost Vyžaduje se zabezpečený přenos .	Když povolíte možnost Vyžaduje se zabezpečený přenos , musí všechny požadavky provedené na účet úložiště probíhat přes zabezpečená připojení. Všechny požadavky provedené přes PROTOKOL HTTP selžou. Další informace najdete v tématu Vyžadování zabezpečeného přenosu ve službě Azure Storage.
Omezte tokeny sdíleného přístupového podpisu (SAS) pouze na `HTTPS` připojení.	Vyžadování, `HTTPS` když klient používá token SAS pro přístup k datům objektů blob, pomáhá minimalizovat riziko odposlouchávání. Další informace najdete v tématu Udělení omezeného přístupu k prostředkům služby Azure Storage pomocí sdílených přístupových podpisů (SAS).
Vyhněte se použití autorizace sdíleného klíče pro přístup k účtům úložiště.	K autorizaci žádostí do služby Azure Storage a zabránění autorizaci sdíleného klíče se doporučuje použít ID Microsoft Entra. Ve scénářích, které vyžadují autorizaci sdíleného klíče, vždy preferujte tokeny SAS před distribucí sdíleného klíče.
Klíče účtu pravidelně vygenerujte.	Pravidelná obměně klíčů účtu snižuje riziko zveřejnění vašich dat zlými aktéry.
Vytvořte plán odvolání a vytvořte ho pro všechny sas, které vydáte klientům.	Pokud dojde k ohrožení sdíleného přístupového podpisu, budete ho chtít okamžitě odvolat. Pokud chcete odvolat SAS delegování uživatele, odvoláte klíč delegování uživatele, aby se rychle zneplatněly všechny podpisy přidružené k danému klíči. Pokud chcete odvolat SDÍLENÝ přístupový podpis služby přidružený k uloženým zásadám přístupu, můžete uložené zásady přístupu odstranit, přejmenovat zásadu nebo změnit čas vypršení platnosti na čas, který je v minulosti.
Použijte časy blízkého vypršení platnosti u improvizovaného SAS, sdíleného přístupového podpisu služby nebo sdíleného přístupového podpisu účtu.	Pokud dojde k ohrožení sdíleného přístupového podpisu, je platný jenom krátce. Tento postup je zvlášť důležitý, pokud nemůžete odkazovat na uložené zásady přístupu. Časy blízkého vypršení platnosti také omezují množství dat, která je možné zapsat do objektu blob, a to omezením času, který je k dispozici k nahrání do objektu blob. Klienti by měli sas prodloužit před vypršením platnosti, aby měli čas na opakování, pokud služba poskytující SAS není dostupná.

Další krok

Účty úložiště a zabezpečení

Share via