Osvědčené postupy pro zabezpečení webových a mobilních aplikací PaaS s využitím služby Azure Storage
V tomto článku probereme kolekci osvědčených postupů zabezpečení služby Azure Storage pro zabezpečení webových a mobilních aplikací typu platforma jako služba (PaaS). Tyto osvědčené postupy vycházejí z našich zkušeností s Azure a zkušeností zákazníků, jako jste vy.
Azure umožňuje nasazení a používání úložiště způsoby, které nejsou snadno dosažitelné místně. Se službou Azure Storage můžete dosáhnout vysoké úrovně škálovatelnosti a dostupnosti s relativně malým úsilím. Azure Storage je základem azure azure Virtual Machines pro Windows a Linux, ale může také podporovat velké distribuované aplikace.
Azure Storage poskytuje následující čtyři služby: Blob Storage, Table Storage, Queue Storage a File Storage. Další informace najdete v tématu Úvod do Microsoft Azure Storage.
Tento článek se zabývá následujícími osvědčenými postupy:
- Sdílené přístupové podpisy (SAS)
- Řízení přístupu na základě role Azure (Azure RBAC)
- Šifrování na straně klienta pro data s vysokou hodnotou
- Šifrování služby Storage
Použití sdíleného přístupového podpisu místo klíče účtu úložiště
Řízení přístupu je kritické. Pro usnadnění řízení přístupu ke službě Azure Storage vygeneruje Azure při vytváření účtu úložiště dva 512bitové klíče účtu úložiště (SDK). Úroveň redundance klíčů umožňuje vyhnout se přerušení služeb během běžné obměně klíčů.
Přístupové klíče k úložišti mají vysokou prioritu a měly by být přístupné jenom osobám zodpovědným za řízení přístupu k úložišti. Pokud k těmto klíčům získají přístup nesprávní lidé, budou mít úplnou kontrolu nad úložištěm a můžou nahradit, odstranit nebo přidat soubory do úložiště. Patří sem malware a další typy obsahu, které můžou potenciálně ohrozit vaši organizaci nebo vaše zákazníky.
Stále potřebujete způsob, jak poskytnout přístup k objektům v úložišti. Pokud chcete poskytnout podrobnější přístup, můžete využít výhod sdíleného přístupového podpisu (SAS). SAS umožňuje sdílet konkrétní objekty v úložišti po předdefinovaný časový interval a s konkrétními oprávněními. Sdílený přístupový podpis umožňuje definovat:
- Interval, po který je SAS platný, včetně času spuštění a času vypršení platnosti.
- Oprávnění udělená sdíleným přístupovým podpisem Například SAS objektu blob může uživateli udělit oprávnění ke čtení a zápisu do daného objektu blob, ale nemusí oprávnění k odstranění.
- Volitelná IP adresa nebo rozsah IP adres, ze kterých Azure Storage přijímá SAS. Můžete například zadat rozsah IP adres patřících vaší organizaci. To poskytuje další míru zabezpečení pro váš SAS.
- Protokol, přes který Azure Storage přijímá SAS. Tento volitelný parametr můžete použít k omezení přístupu ke klientům pomocí PROTOKOLU HTTPS.
SAS umožňuje sdílet obsah tak, jak ho chcete sdílet, aniž byste museli darovat klíče účtu úložiště. Vždy používat SAS v aplikaci je bezpečný způsob, jak sdílet prostředky úložiště, aniž byste ohrozili klíče účtu úložiště.
Další informace o sdíleném přístupových podpisech najdete v tématu Používání sdílených přístupových podpisů.
Použití řízení přístupu na základě role v Azure
Dalším způsobem správy přístupu je použití řízení přístupu na základě role v Azure (Azure RBAC). S Azure RBAC se zaměřujete na to, abyste zaměstnancům poskytli přesná oprávnění, která potřebují, a to na základě toho, že potřebujete znát principy zabezpečení s minimálními oprávněními. Příliš mnoho oprávnění může vystavit účet útočníkům. Příliš málo oprávnění znamená, že zaměstnanci nemůžou pracovat efektivně. Azure RBAC pomáhá tento problém vyřešit tím, že nabízí jemně odstupňovanou správu přístupu pro Azure. Řízení přístupu je nezbytné pro organizace, které chtějí vynutit zásady zabezpečení pro přístup k datům.
Pomocí předdefinovaných rolí Azure v Azure můžete uživatelům přiřazovat oprávnění. Ke správě klasických účtů úložiště můžete například použít přispěvatele účtů úložiště pro cloudové operátory, kteří potřebují spravovat účty úložiště, a klasické role Přispěvatel účtů úložiště. Operátoři cloudu, kteří potřebují spravovat virtuální počítače, ale ne virtuální síť nebo účet úložiště, ke kterým jsou připojení, můžete přidat do role Přispěvatel virtuálních počítačů.
Organizace, které nevynucují řízení přístupu k datům pomocí funkcí, jako je Azure RBAC, můžou svým uživatelům udělit více oprávnění, než je nutné. Větší oprávnění, než je nutné, může vést k ohrožení zabezpečení dat tím, že některým uživatelům umožní přístup k datům, která by neměli mít.
Další informace o Azure RBAC najdete tady:
- Přiřazování rolí Azure s využitím webu Azure Portal
- Předdefinované role v Azure
- Doporučení k zabezpečení pro úložiště objektů blob
Použití šifrování na straně klienta pro data s vysokou hodnotou
Šifrování na straně klienta umožňuje programově šifrovat přenášená data před nahráním do Azure Storage a programově dešifrovat data při jejich načítání. Šifrování na straně klienta zajišťuje šifrování přenášených dat, ale poskytuje také šifrování neaktivních uložených dat. Šifrování na straně klienta je nejbezpečnější metoda šifrování dat, ale vyžaduje, abyste v aplikaci udělali programové změny a zavedli procesy správy klíčů.
Šifrování na straně klienta také umožňuje mít výhradní kontrolu nad šifrovacími klíči. Můžete generovat a spravovat vlastní šifrovací klíče. Používá techniku obálky, kdy klientská knihovna Azure Storage vygeneruje šifrovací klíč obsahu (CEK), který se pak zabalí (zašifruje) pomocí šifrovacího klíče klíče (KEK). Klíč KEK se identifikuje identifikátorem klíče a může to být asymetrický pár klíčů nebo symetrický klíč a dá se spravovat místně nebo uložit v Azure Key Vault.
Šifrování na straně klienta je integrované do klientských knihoven Java a .NET Storage. Informace o šifrování dat v klientských aplikacích a generování a správě vlastních šifrovacích klíčů najdete v tématu Šifrování na straně klienta a Azure Key Vault pro Microsoft Azure Storage.
Povolení šifrování služby Storage pro neaktivní uložená data
Pokud je šifrování služby Storage pro souborové úložiště povolené, data se automaticky šifrují pomocí šifrování AES-256. Veškeré šifrování, dešifrování a správu klíčů zajišťuje Microsoft. Tato funkce je dostupná pro typy redundance LRS a GRS.
Další kroky
Tento článek vás seznámil s kolekcí osvědčených postupů zabezpečení služby Azure Storage pro zabezpečení webových a mobilních aplikací PaaS. Další informace o zabezpečení nasazení PaaS najdete tady: