Tento článek obsahuje doporučení zabezpečení pro úložiště objektů blob. Implementace těchto doporučení vám pomůže splnit vaše bezpečnostní povinnosti, jak je popsáno v našem modelu sdílené odpovědnosti. Další informace o tom, jak Microsoft plní povinnosti poskytovatele služeb, najdete v tématu Sdílená odpovědnost v cloudu.
Některá doporučení obsažená v tomto článku je možné automaticky monitorovat v programu Microsoft Defender for Cloud, což je první linie obrany při ochraně vašich prostředků v Azure. Informace o programu Microsoft Defender for Cloud najdete v tématu Co je Microsoft Defender for Cloud?
Microsoft Defender for Cloud pravidelně analyzuje stav zabezpečení vašich prostředků Azure, aby identifikoval potenciální ohrožení zabezpečení. Pak vám poskytne doporučení, jak je řešit. Další informace o doporučeních microsoft Defenderu pro cloud najdete v tématu Kontrola doporučení zabezpečení.
Ochrana dat
Doporučení
Komentáře
Defender for Cloud
Použití modelu nasazení Azure Resource Manageru
Vytvořte nové účty úložiště pomocí modelu nasazení Azure Resource Manager pro důležitá vylepšení zabezpečení, včetně řízení přístupu na základě role v Azure (Azure RBAC) a auditování, nasazení a zásad správného řízení založeného na Resource Manageru, přístupu ke spravovaným identitám, přístupu ke službě Azure Key Vault pro tajné kódy a ověřování a autorizaci Microsoft Entra pro přístup k datům a prostředkům azure Storage. Pokud je to možné, migrujte existující účty úložiště, které používají model nasazení Classic k používání Azure Resource Manageru. Další informace o Azure Resource Manageru najdete v přehledu Azure Resource Manageru.
-
Povolení Microsoft Defenderu pro všechny vaše účty úložiště
Microsoft Defender for Storage poskytuje další vrstvu informací o zabezpečení, která detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům úložiště nebo jejich zneužití. Výstrahy zabezpečení se aktivují v Programu Microsoft Defender pro cloud, když dojde k anomáliím v aktivitě a také se odesílají e-mailem správcům předplatného s podrobnostmi o podezřelé aktivitě a doporučeních, jak vyšetřovat a opravovat hrozby. Další informace najdete v tématu Konfigurace Microsoft Defenderu pro úložiště.
Obnovitelné odstranění objektů blob umožňuje obnovit data objektů blob po odstranění. Další informace o obnovitelném odstranění objektů blob najdete v tématu Obnovitelné odstranění objektů blob služby Azure Storage.
-
Zapnutí obnovitelného odstranění kontejnerů
Obnovitelné odstranění kontejnerů umožňuje obnovit kontejner po odstranění. Další informace o obnovitelném odstranění kontejnerů najdete v tématu Obnovitelné odstranění kontejnerů.
-
Uzamčení účtu úložiště, aby se zabránilo náhodnému nebo škodlivému odstranění nebo změnám konfigurace
Použijte zámek Azure Resource Manageru na váš účet úložiště, abyste ochránili účet před náhodným nebo škodlivým odstraněním nebo změnou konfigurace. Uzamčení účtu úložiště nezabrání odstranění dat v rámci daného účtu. Zabrání pouze odstranění samotného účtu. Další informace najdete v tématu Použití zámku Azure Resource Manageru u účtu úložiště.
Ukládání důležitých obchodních dat v neměnných objektech blob
Nakonfigurujte blokování z právních důvodů a zásady uchovávání informací na základě času pro ukládání dat objektů blob ve stavu WORM (Zapsat jednou, číst mnoho). Objekty blob uložené neměnně se dají číst, ale po dobu trvání intervalu uchovávání je nelze upravit ani odstranit. Další informace najdete v tématu Ukládání důležitých obchodních dat objektů blob s neměnným úložištěm.
-
Vyžadovat zabezpečený přenos (HTTPS) do účtu úložiště
Pokud vyžadujete zabezpečený přenos pro účet úložiště, musí se všechny požadavky na účet úložiště provádět přes protokol HTTPS. Všechny požadavky provedené přes protokol HTTP jsou odmítnuty. Microsoft doporučuje vždy vyžadovat zabezpečený přenos pro všechny účty úložiště. Další informace naleznete v tématu Vyžadovat zabezpečený přenos k zajištění zabezpečených připojení.
-
Omezení tokenů sdíleného přístupového podpisu (SAS) pouze na připojení HTTPS
Ve výchozím nastavení má autorizovaný uživatel povoleno konfigurovat zásady replikace objektů, ve kterých je zdrojový účet v jednom tenantovi Microsoft Entra a cílový účet je v jiném tenantovi. Zakázat replikaci objektů mezi tenanty, aby se zdrojové a cílové účty, které se účastní zásad replikace objektů, byly ve stejném tenantovi. Další informace naleznete v tématu Zabránění replikaci objektů napříč tenanty Microsoft Entra.
-
Správa identit a přístupu
Doporučení
Komentáře
Defender for Cloud
Použití Microsoft Entra ID k autorizaci přístupu k datům objektů blob
Microsoft Entra ID poskytuje vynikající zabezpečení a snadné použití prostřednictvím sdíleného klíče pro autorizaci požadavků do úložiště objektů blob. Další informace najdete v tématu Autorizace přístupu k datům ve službě Azure Storage.
-
Při přiřazování oprávnění k objektu zabezpečení Microsoft Entra prostřednictvím Azure RBAC mějte na paměti princip nejnižší úrovně oprávnění.
Při přiřazování role uživateli, skupině nebo aplikaci udělte objektu zabezpečení pouze oprávnění, která jsou potřebná k provádění jejich úkolů. Omezení přístupu k prostředkům pomáhá zabránit neúmyslnému i škodlivému zneužití vašich dat.
-
Použití SAS delegování uživatele k udělení omezeného přístupu k datům objektů blob klientům
Zabezpečení přístupových klíčů k účtu pomocí služby Azure Key Vault
Microsoft doporučuje k autorizaci požadavků do Azure Storage použít ID Microsoft Entra. Pokud ale musíte použít autorizaci pomocí sdíleného klíče, zabezpečte klíče účtu pomocí služby Azure Key Vault. Klíče můžete načíst z trezoru klíčů za běhu místo jejich uložení ve vaší aplikaci. Další informace o službě Azure Key Vault najdete v přehledu služby Azure Key Vault.
-
Pravidelné opětovné vygenerování klíčů účtu
Obměně klíčů účtu pravidelně snižuje riziko vystavení dat škodlivým aktérům.
-
Zakázat autorizaci sdíleného klíče
Když zakážete autorizaci sdíleného klíče pro účet úložiště, Azure Storage odmítne všechny následné požadavky na tento účet, které jsou autorizované pomocí přístupových klíčů účtu. Úspěšné budou pouze zabezpečené požadavky, které jsou autorizované s ID Microsoft Entra. Další informace najdete v tématu Zabránění autorizaci sdíleného klíče pro účet Azure Storage.
-
Při přiřazování oprávnění sas mějte na paměti princip nejnižší úrovně oprávnění.
Při vytváření sdíleného přístupového podpisu zadejte pouze oprávnění, která klient vyžaduje k provedení své funkce. Omezení přístupu k prostředkům pomáhá zabránit neúmyslnému i škodlivému zneužití vašich dat.
-
Máte zavedený plán odvolání pro všechny SAS, které vydáváte klientům.
Pokud dojde k ohrožení zabezpečení sdíleného přístupového podpisu, budete ho chtít co nejdříve odvolat. Pokud chcete odvolat SAS delegování uživatele, zrušte klíč delegování uživatele a rychle zneplatníte všechny podpisy přidružené k ho klíči. Pokud chcete odvolat sdílený přístupový podpis služby přidružený k uloženým zásadám přístupu, můžete odstranit uložené zásady přístupu, přejmenovat zásadu nebo změnit dobu vypršení platnosti na čas, který je v minulosti. Další informace najdete v tématu Udělení omezeného přístupu k prostředkům Azure Storage pomocí sdílených přístupových podpisů (SAS).
-
Pokud sdílený přístupový podpis služby není přidružený k uloženým zásadám přístupu, nastavte dobu vypršení platnosti na jednu hodinu nebo méně.
Sdílený přístupový podpis služby, který není přidružený k uloženým zásadám přístupu, nelze odvolat. Z tohoto důvodu se doporučuje omezit dobu vypršení platnosti, aby sas byl platný po dobu jedné hodiny nebo méně.
-
Zakázání anonymního přístupu pro čtení ke kontejnerům a objektům blob
Anonymní přístup pro čtení ke kontejneru a jeho objektům blob uděluje přístup jen pro čtení k těmto prostředkům libovolnému klientovi. Pokud to váš scénář nevyžaduje, vyhněte se povolení anonymního přístupu pro čtení. Informace o zákazu anonymního přístupu pro účet úložiště najdete v tématu Přehled: Náprava anonymního přístupu pro čtení pro data objektů blob.
-
Sítě
Doporučení
Komentáře
Defender for Cloud
Nakonfigurujte minimální požadovanou verzi protokolu TLS (Transport Layer Security) pro účet úložiště.
Povolení požadovaného zabezpečeného přenosu u všech vašich účtů úložiště
Když povolíte požadovanou možnost zabezpečeného přenosu, musí se všechny požadavky provedené vůči účtu úložiště provádět přes zabezpečená připojení. Všechny požadavky provedené přes PROTOKOL HTTP selžou. Další informace najdete v tématu Vyžadování zabezpečeného přenosu ve službě Azure Storage.
Nakonfigurujte pravidla brány firewall tak, aby omezovali přístup k vašemu účtu úložiště na požadavky pocházející ze zadaných IP adres nebo rozsahů nebo ze seznamu podsítí ve virtuální síti Azure. Další informace o konfiguraci pravidel brány firewall najdete v tématu Konfigurace bran firewall a virtuálních sítí služby Azure Storage.
-
Povolit důvěryhodným služby Microsoft přístup k účtu úložiště
Zapnutí pravidel brány firewall pro váš účet úložiště ve výchozím nastavení blokuje příchozí požadavky na data, pokud požadavky nepocházejí ze služby provozované ve virtuální síti Azure nebo z povolených veřejných IP adres. Mezi blokované požadavky patří ty z jiných služeb Azure, z webu Azure Portal, z protokolování a služeb metrik atd. Žádosti z jiných služeb Azure můžete povolit přidáním výjimky, která umožní důvěryhodným služby Microsoft přístup k účtu úložiště. Další informace o přidání výjimky pro důvěryhodné služby Microsoft najdete v tématu Konfigurace bran firewall služby Azure Storage a virtuálních sítí.
-
Použití privátních koncových bodů
Privátní koncový bod přiřadí k účtu úložiště privátní IP adresu z vaší virtuální sítě Azure. Zabezpečuje veškerý provoz mezi vaší virtuální sítí a účtem úložiště přes privátní propojení. Další informace o privátních koncových bodech najdete v tématu Připojení soukromě do účtu úložiště pomocí privátního koncového bodu Azure.
-
Použití značek služeb virtuální sítě
Značka služby představuje skupinu předpon IP adres z dané služby Azure. Společnost Microsoft spravuje předpony adres zahrnující značku služby a automaticky aktualizuje značku služby při změně adres. Další informace o značkách služeb podporovaných službou Azure Storage najdete v přehledu značek služeb Azure. Kurz, který ukazuje, jak používat značky služeb k vytváření odchozích síťových pravidel, najdete v tématu Omezení přístupu k prostředkům PaaS.
-
Omezení síťového přístupu k určitým sítím
Omezení síťového přístupu na sítě hostující klienty vyžadující přístup snižuje vystavení vašich prostředků síťovým útokům.
Předvolbu směrování sítě pro svůj účet úložiště Azure můžete nakonfigurovat tak, aby určila způsob směrování síťového provozu do vašeho účtu z klientů přes internet pomocí globální sítě Microsoftu nebo internetového směrování. Další informace najdete v tématu Konfigurace předvoleb směrování sítě pro Azure Storage.
Nakonfigurujte upozornění protokolu tak, aby vyhodnocovala protokoly prostředků s nastavenou frekvencí a aktivovali výstrahu na základě výsledků. Další informace najdete v tématu Upozornění protokolu ve službě Azure Monitor.