Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento článek obsahuje doporučení zabezpečení pro úložiště Blob. Implementace těchto doporučení vám pomůže splnit vaše bezpečnostní povinnosti, jak je popsáno v našem modelu sdílené odpovědnosti. Další informace o tom, jak Microsoft plní povinnosti poskytovatele služeb, najdete v tématu Sdílená odpovědnost v cloudu.
Některá doporučení obsažená v tomto článku je možné automaticky monitorovat v programu Microsoft Defender for Cloud, což je první linie obrany při ochraně vašich prostředků v Azure. Informace o programu Microsoft Defender for Cloud najdete v tématu Co je Microsoft Defender for Cloud?
Microsoft Defender for Cloud pravidelně analyzuje stav zabezpečení vašich prostředků Azure, aby identifikoval potenciální ohrožení zabezpečení. Pak vám poskytne doporučení, jak je řešit. Další informace o doporučeních Microsoft Defenderu pro Cloud najdete v tématu Kontrola doporučení zabezpečení.
Ochrana dat
| Doporučení | Komentáře | Ochránce pro cloudové služby |
|---|---|---|
| Použití modelu nasazení Azure Resource Manageru | Vytvořte nové účty úložiště pomocí modelu nasazení Azure Resource Manager pro důležitá vylepšení zabezpečení, včetně řízení přístupu na základě role v Azure (Azure RBAC) a auditování, nasazení a zásad správného řízení založeného na Resource Manageru, přístupu ke spravovaným identitám, přístupu ke službě Azure Key Vault pro tajné kódy a ověřování a autorizaci Microsoft Entra pro přístup k datům a prostředkům azure Storage. Migrujte všechny existující účty úložiště, které používají klasický model nasazení k používání Azure Resource Manageru. Další informace o Azure Resource Manageru najdete v přehledu Azure Resource Manageru. | - |
| Povolte Microsoft Defender pro všechny vaše účty úložiště | Microsoft Defender for Storage poskytuje další vrstvu informací o zabezpečení, která detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům úložiště nebo jejich zneužití. Výstrahy zabezpečení se aktivují v Programu Microsoft Defender pro cloud, když dojde k anomáliím v aktivitě a také se odesílají e-mailem správcům předplatného s podrobnostmi o podezřelé aktivitě a doporučeních, jak vyšetřovat a opravovat hrozby. Další informace najdete v tématu Konfigurace Microsoft Defenderu pro úložiště. | Ano |
| Zapnutí obnovitelného odstranění objektů blob | Měkké odstranění blobů umožňuje obnovu dat blobů po odstranění. Další informace o obnovitelném odstranění objektů blob najdete v tématu Obnovitelné odstranění objektů blob služby Azure Storage. | - |
| Zapněte obnovitelné odstranění kontejnerů | Funkce měkkého odstranění kontejnerů vám umožňuje obnovit kontejner i po jeho odstranění. Další informace o obnovitelném odstranění kontejnerů najdete v tématu Obnovitelné odstranění kontejnerů. | - |
| Uzamčení účtu úložiště, aby se zabránilo náhodnému nebo škodlivému odstranění nebo změnám konfigurace | Použijte zámek Azure Resource Manageru na váš účet úložiště, abyste ochránili účet před náhodným nebo škodlivým odstraněním nebo změnou konfigurace. Uzamčení účtu úložiště nezabrání odstranění dat v rámci daného účtu. Zabrání pouze odstranění samotného účtu. Další informace najdete v tématu Použití zámku Azure Resource Manageru u účtu úložiště. | |
| Ukládání důležitých obchodních dat v neměnných objektech blob | Nakonfigurujte blokování z právních důvodů a zásady uchovávání informací na základě času pro ukládání dat objektů blob ve stavu WORM (Zapsat jednou, číst mnoho). Objekty blob uložené neměnně se dají číst, ale po dobu trvání intervalu uchovávání je nelze upravit ani odstranit. Další informace najdete v tématu Ukládání obchodně kritických dat objektů blob s neměnným úložištěm. | - |
| Použití šifrování k ochraně dat | Azure Storage ve výchozím nastavení šifruje všechna neaktivní uložená data pomocí klíčů spravovaných Microsoftem. Pro lepší kontrolu nakonfigurujte klíče spravované zákazníkem pomocí služby Azure Key Vault tak, aby spravovali šifrovací klíče přímo. Pokud chcete ještě více posílit zabezpečení, před nahráním dat implementujte šifrování na straně klienta . | - |
| Vyžadovat zabezpečený přenos (HTTPS) do účtu úložiště | Pokud vyžadujete zabezpečený přenos pro účet úložiště, musí se všechny požadavky na účet úložiště provádět přes protokol HTTPS. Všechny požadavky provedené přes protokol HTTP jsou odmítnuty. Microsoft doporučuje vždy vyžadovat zabezpečený přenos pro všechny účty úložiště. Další informace naleznete v tématu Vyžadovat zabezpečený přenos k zajištění zabezpečených připojení. | - |
| Omezení tokenů sdíleného přístupového podpisu (SAS) pouze na připojení HTTPS | Vyžadování PROTOKOLU HTTPS, když klient používá token SAS pro přístup k datům objektů blob, pomáhá minimalizovat riziko odposlouchávání. Další informace najdete v tématu Udělení omezeného přístupu k prostředkům Azure Storage pomocí sdílených přístupových podpisů (SAS). | - |
| Zakázat replikaci objektů mezi tenanty | Ve výchozím nastavení má autorizovaný uživatel povoleno konfigurovat zásady replikace objektů, ve kterých je zdrojový účet v jednom tenantovi Microsoft Entra a cílový účet je v jiném tenantovi. Zakázat replikaci objektů pro různé tenanty, aby se zajistilo, že zdrojové a cílové účty účastnící se politiky replikace objektů jsou ve stejném tenantovi. Další informace naleznete v tématu Zabránění replikaci objektů napříč tenanty Microsoft Entra. | - |
Správa identit a přístupu
| Doporučení | Komentáře | Ochránce pro cloudové služby |
|---|---|---|
| Použití Microsoft Entra ID k autorizaci přístupu k blobovým datům | Microsoft Entra ID poskytuje lepší zabezpečení a snadnější použití než sdílený klíč pro autorizaci požadavků do úložiště objektů blob. Další informace najdete v tématu Autorizace přístupu k datům ve službě Azure Storage. | - |
| Při přiřazování oprávnění k objektu zabezpečení Microsoft Entra prostřednictvím Azure RBAC mějte na paměti princip nejnižší úrovně oprávnění. | Při přiřazování role uživateli, skupině nebo aplikaci udělte objektu zabezpečení pouze oprávnění, která jsou potřebná k provádění jejich úkolů. Omezení přístupu k prostředkům pomáhá zabránit neúmyslnému i škodlivému zneužití vašich dat. | - |
| Použití SAS uživatelské delegace k udělení omezeného přístupu klientům k datům objektů blob | SAS delegování uživatele je zabezpečen pomocí přihlašovacích údajů Microsoft Entra a také oprávněními zadanými pro SAS. SAS delegování uživatele je analogický SAS služby, pokud jde o rozsah a funkci, ale poskytuje lepší zabezpečení než SAS služby. Další informace najdete v tématu Udělení omezeného přístupu k prostředkům Azure Storage pomocí sdílených přístupových podpisů (SAS). | - |
| Zabezpečení přístupových klíčů k účtu pomocí služby Azure Key Vault | Microsoft doporučuje k autorizaci požadavků do Azure Storage použít ID Microsoft Entra. Pokud ale musíte použít autorizaci pomocí sdíleného klíče, zabezpečte klíče účtu pomocí služby Azure Key Vault. Klíče můžete načíst z trezoru klíčů během běhu aplikace místo jejich uložení v aplikaci. Další informace o službě Azure Key Vault najdete v přehledu služby Azure Key Vault. | - |
| Pravidelné opětovné vygenerování klíčů účtu | Pravidelnou obměnou klíčů účtu snižujete riziko odhalení vašich dat škodlivým aktorům. | - |
| Zakázat autorizaci sdíleného klíče | Když zakážete autorizaci sdíleného klíče pro účet úložiště, Azure Storage odmítne všechny následné požadavky na tento účet, které jsou autorizované pomocí přístupových klíčů účtu. Úspěšné budou pouze zabezpečené požadavky, které jsou autorizovány pomocí ID Microsoft Entra. Další informace najdete v tématu Zabránění autorizaci sdíleného klíče pro účet Azure Storage. | - |
| Při přiřazování oprávnění SAS mějte na paměti princip minimálních oprávnění. | Při vytváření sdíleného přístupového podpisu zadejte pouze oprávnění, která zákazník vyžaduje ke splnění své funkce. Omezení přístupu k prostředkům pomáhá zabránit neúmyslnému i škodlivému zneužití vašich dat. | - |
| Máte zavedený plán odvolání pro všechny SAS, které vydáváte klientům. | Pokud dojde k ohrožení zabezpečení sdíleného přístupového podpisu, budete ho chtít co nejdříve zrušit. Pokud chcete odvolat uživatelské delegování SAS, zrušte klíč delegování uživatele, čímž rychle zneplatníte všechny podpisy přidružené k tomu klíči. Pokud chcete odvolat sdílený přístupový podpis služby přidružený k uložené zásadě přístupu, můžete odstranit uloženou zásadu přístupu, přejmenovat zásadu nebo změnit dobu vypršení platnosti na čas, který je v minulosti. Další informace najdete v tématu Udělení omezeného přístupu k prostředkům Azure Storage pomocí sdílených přístupových podpisů (SAS). | - |
| Pokud sdílený přístupový podpis služby není přidružený k uloženým zásadám přístupu, nastavte dobu vypršení platnosti na jednu hodinu nebo méně. | Sdílený přístupový podpis služby, který není přidružený k uloženým zásadám přístupu, nelze odvolat. Z tohoto důvodu se doporučuje omezit dobu vypršení platnosti, aby sas byl platný po dobu jedné hodiny nebo méně. | - |
| Zakázání anonymního přístupu pro čtení ke kontejnerům a objektům blob | Anonymní přístup pro čtení ke kontejneru a jeho objektům blob uděluje přístup jen pro čtení k těmto prostředkům libovolnému klientovi. Pokud to váš scénář nevyžaduje, vyhněte se povolení anonymního přístupu pro čtení. Informace o tom, jak zakázat anonymní přístup k účtu úložiště, najdete v tématu Přehled: Náprava anonymního přístupu pro čtení pro data objektů blob. | - |
Síťování
| Doporučení | Komentáře | Ochránce pro cloudové služby |
|---|---|---|
| Nakonfigurujte minimální požadovanou verzi protokolu TLS (Transport Layer Security) pro účet úložiště. | Vyžadovat, aby klienti použili bezpečnější verzi protokolu TLS k provádění požadavků na účet služby Azure Storage tím, že pro tento účet nakonfigurují minimální verzi protokolu TLS. Další informace najdete v tématu Konfigurace minimální požadované verze protokolu TLS (Transport Layer Security) pro účet úložiště. | - |
| Povolte možnost vyžadovat zabezpečený přenos na všech vašich účtech úložiště | Když povolíte požadovanou možnost zabezpečeného přenosu, musí se všechny požadavky provedené vůči účtu úložiště provádět přes zabezpečená připojení. Všechny požadavky provedené přes PROTOKOL HTTP selžou. Další informace najdete v tématu Vyžadování zabezpečeného přenosu ve službě Azure Storage. | Ano |
| Povolte pravidla brány firewall | Nakonfigurujte pravidla brány firewall tak, aby omezovala přístup k vašemu účtu úložiště pouze na požadavky, které jsou zasílány ze zadaných IP adres nebo rozsahů či ze seznamu podsítí ve virtuální síti Azure (VNet). Další informace o konfiguraci pravidel brány firewall najdete v tématu Konfigurace bran firewall a virtuálních sítí služby Azure Storage. | - |
| Povolit důvěryhodným službám Microsoftu přístup k úložišťovému účtu | Zapnutí pravidel brány firewall pro váš účet úložiště ve výchozím nastavení blokuje příchozí požadavky na data, pokud požadavky nepocházejí ze služby provozované ve virtuální síti Azure nebo z povolených veřejných IP adres. Mezi blokované požadavky patří ty z jiných služeb Azure, z webu Azure Portal, z protokolování a služeb metrik atd. Žádosti z jiných služeb Azure můžete povolit přidáním výjimky, která umožní důvěryhodným služby Microsoft přístup k účtu úložiště. Další informace o přidání výjimky pro důvěryhodné služby společnosti Microsoft najdete v části Konfigurace bran firewall v Azure Storage a virtuálních sítí. | - |
| Použití privátních koncových bodů | Privátní koncový bod přiřadí k účtu úložiště privátní IP adresu z vaší virtuální sítě Azure. Zabezpečuje veškerý provoz mezi vaší virtuální sítí a účtem úložiště přes privátní propojení. Další informace oprivátních | - |
| Použijte značky služeb virtuální sítě | Značka služby představuje skupinu předpon IP adres z dané služby Azure. Společnost Microsoft spravuje předpony adres zahrnující značku služby a automaticky aktualizuje značku služby při změně adres. Další informace o značkách služeb podporovaných službou Azure Storage najdete v přehledu značek služeb Azure. Kurz, který ukazuje, jak používat značky služeb k vytváření odchozích síťových pravidel, najdete v tématu Omezení přístupu k prostředkům PaaS. | - |
| Omezení síťového přístupu k určitým sítím | Omezení síťového přístupu na sítě hostující klienty vyžadující přístup snižuje vystavení vašich prostředků síťovým útokům. | Ano |
| Konfigurace předvolby směrování sítě | Předvolbu směrování sítě pro svůj účet úložiště Azure můžete nakonfigurovat tak, aby určila způsob směrování síťového provozu do vašeho účtu z klientů přes internet pomocí globální sítě Microsoftu nebo internetového směrování. Další informace najdete v tématu Konfigurace předvoleb směrování sítě pro Azure Storage. | - |
Protokolování/monitorování
| Doporučení | Komentáře | Ochránce pro cloudové služby |
|---|---|---|
| Sledování způsobu autorizace požadavků | Povolte protokolování pro Azure Storage, abyste mohli sledovat, jak jsou požadavky na službu autorizované. Protokoly označují, jestli byl požadavek proveden anonymně pomocí tokenu OAuth 2.0, pomocí sdíleného klíče nebo pomocí sdíleného přístupového podpisu (SAS). Další informace najdete v tématu Monitorování služby Azure Blob Storage pomocí služby Azure Monitor nebo protokolování analýzy služby Azure Storage s využitím klasického monitorování. | - |
| Nastavení upozornění ve službě Azure Monitor | Nakonfigurujte upozornění protokolu tak, aby vyhodnocovala protokoly prostředků s nastavenou frekvencí a aktivovali výstrahu na základě výsledků. Další informace najdete v tématu Upozornění protokolu ve službě Azure Monitor. | - |
Další kroky
- Dokumentace k zabezpečení Azure
- Dokumentace k zabezpečenému vývoji