Überprüfen von Sicherheitsstrategien für Azure Storage
Administratoren greifen auf verschiedene Strategien zurück, um die Sicherheit ihrer Daten zu gewährleisten. Zu den gängigen Ansätzen zählen Verschlüsselung, Authentifizierung, Autorisierung und Benutzerzugriffssteuerung mit Anmeldeinformationen, Dateiberechtigungen und privaten Signaturen. Azure Storage bietet eine Sammlung von Sicherheitsfunktionen, die auf gängigen Strategien basieren und Ihnen helfen, Ihre Daten abzusichern.
Wissenswertes über Sicherheitsstrategien für Azure Storage
Sehen wir uns einige Merkmale bezüglich Sicherheit von Azure Storage an.
Verschlüsselung. Alle in Azure Storage geschriebenen Daten werden automatisch mit der Azure Storage-Verschlüsselung verschlüsselt.
Authentifizierung. Microsoft Entra ID und rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) werden für Azure Storage sowohl für Ressourcenverwaltungs- als auch für Datenvorgänge unterstützt.
- Weisen Sie RBAC-Rollen, die auf das Azure Storage-Konto beschränkt sind, Dienstprinzipalen zu, und verwenden Sie Microsoft Entra ID, um Ressourcenverwaltungsvorgänge wie die Schlüsselverwaltung zu autorisieren.
- Die Microsoft Entra-Integration wird für Datenvorgänge in Azure Blob Storage und Azure Queue Storage unterstützt.
Daten während der Übertragung: Daten können während der Übertragung zwischen einer Anwendung und Azure mit clientseitiger Verschlüsselung, HTTPS oder SMB 3.0 geschützt werden.
Datenträgerverschlüsselung. Betriebssystem- und sonstige Datenträger, die von Azure Virtual Machines verwendet werden, können mithilfe von Azure Disk Encryption verschlüsselt werden.
Shared Access Signatures. Mithilfe einer Shared Access Signature (SAS) kann delegierter Zugriff auf die Datenobjekte in Azure Storage gewährt werden.
Autorisierung. Jede Anforderung, die an eine abgesicherte Ressource in Blob Storage, Azure Files, Queue Storage oder Azure Cosmos DB (Azure Table Storage) gerichtet wird, muss autorisiert werden. Die Autorisierung stellt sicher, dass auf Ressourcen in Ihrem Speicherkonto nur zugegriffen werden kann, wenn Sie dies wünschen, und auch nur von den Benutzern und Anwendungen, denen Sie Zugriff gewähren.
Wissenswertes zu den Sicherheitsaspekten der Autorisierung
Prüfen Sie die folgenden Strategien zur Autorisierung von Anforderungen an Azure Storage. Überlegen Sie, welche Sicherheitsstrategien sich für Ihre Azure Storage-Lösung anbieten.
| Autorisierungsstrategie | Beschreibung |
|---|---|
| Microsoft Entra ID | Microsoft Entra ID ist der cloudbasierte Identitäts- und Zugriffsverwaltungsdienst von Microsoft. MitMicrosoft Entra ID können Sie Benutzer*innen, Gruppen oder Anwendungen über rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) Zugriff präzise zuweisen. |
| Gemeinsam verwendeter Schlüssel | Die Autorisierung mittels freigegebener Schlüssel basiert auf den Zugriffsschlüsseln Ihres Azure Storage-Kontos und anderen Parametern, um eine verschlüsselte Signaturzeichenfolge zu erzeugen. Die Zeichenfolge wird im Autorisierungsheader an die Anforderung übergeben. |
| Shared Access Signatures | Eine SAS delegiert den Zugriff an eine bestimmte Ressource in Ihrem Azure Storage-Konto mit angegebenen Berechtigungen und für ein angegebenes Zeitintervall. |
| Anonymer Zugriff auf Container und Blobs | Optional können Sie Blobressourcen auf Container- oder Blobebene öffentlich machen. Jeder Benutzer hat anonymen Lesezugriff auf öffentliche Container und Blobs. Leseanforderungen an öffentliche Container und Blobs erfordern keine Autorisierung. |