Shrnutí

  • 3 min

V tomto modulu jste se dozvěděli, jak naplánovat a implementovat bezpečnostní opatření pro Azure Storage v souladu s principy nulové důvěryhodnosti a strategiemi hloubkové ochrany.

Probírané klíčové koncepty

Ověřování a autorizace: Prozkoumali jste moderní metody ověřování pro Azure Storage s důrazem na ID Microsoft Entra jako upřednostňovaný přístup ke sdíleným přístupovým klíčům. Naučili jste se implementovat Azure RBAC pro úložiště objektů blob, front a tabulek a pochopit, kdy používat spravované identity pro aplikace a jiné metody ověřování. Dozvěděli jste se také o správné správě přístupových klíčů účtu úložiště, včetně zabezpečeného úložiště ve službě Azure Key Vault a strategií obměny pro minimalizaci rizik zabezpečení.

Specifické zabezpečení služby: Prozkoumali jste metody autorizace přizpůsobené jednotlivým službám Azure Storage:

  • Soubory Azure: Konfigurace ověřování na základě identity pomocí služeb Microsoft Entra Domain Services nebo Active Directory Domain Services a implementace oprávnění na úrovni sdílené složky a na úrovni souborů
  • Blob Storage: Využití MICROSOFT Entra ID pro zabezpečený přístup s odpovídajícími předdefinovanými a vlastními rolemi RBAC
  • Table Storage: Implementace autorizace Microsoft Entra ID se správnými přiřazeními rolí
  • Queue Storage: Autorizace přístupu prostřednictvím webu Azure Portal a prostřednictvím kódu programu pomocí přihlašovacích údajů Microsoft Entra ID

Ochrana a obnovení dat: Naučili jste se komplexní strategie ochrany dat, včetně obnovitelného odstranění kontejnerů a objektů blob, správy verzí objektů blob pro sledování změn, možností obnovení k určitému bodu v čase a neměnných zásad úložiště pro požadavky na dodržování předpisů. Tyto mechanismy ochrany poskytují hloubkovou ochranu před náhodným odstraněním, škodlivými úpravami a útoky ransomwaru.

Pokročilé možnosti šifrování: Prozkoumali jste pokročilé možnosti šifrování pro regulovaná a vysoce zabezpečená prostředí:

  • Používání vlastního klíče (BYOK):: Udržování kontroly nad životním cyklem šifrovacího klíče bezpečným importem klíčů z místních modulů HSM do služby Azure Key Vault
  • Šifrování infrastruktury: Povolení dvojitého šifrování na úrovni služby i infrastruktury pro organizace s přísnými požadavky na dodržování předpisů

Zvýrazněné principy zabezpečení

V tomto modulu bylo posíleno několik důležitých principů zabezpečení:

  • Přístup nulové důvěryhodnosti: Nikdy nedůvěřujte, vždy ověřte – upřednostněte ověřování na základě identity před přístupovými klíči a tokeny.
  • Hloubková ochrana: Implementace několika vrstev kontrolních mechanismů zabezpečení, včetně ověřování, autorizace, šifrování a ochrany dat
  • Přístup s nejnižšími oprávněními: Udělte uživatelům a aplikacím pouze minimální oprávnění potřebná k provádění požadovaných úloh.
  • Oddělení povinností: Použijte různé klíče a mechanismy na různých vrstvách šifrování, abyste minimalizovali riziko kompromitace.
  • Připravenost na dodržování předpisů: Využijte integrované funkce, jako jsou zásady neměnnosti, BYOK a šifrování infrastruktury, aby splňovaly zákonné požadavky.

Použitím těchto konceptů a osvědčených postupů můžete navrhnout a implementovat robustní architektury zabezpečení pro Azure Storage, které chrání vaše data po celý jejich životní cyklus, a přitom udržovat provozní efektivitu a plnit povinnosti dodržování předpisů.