Cuentas de almacenamiento y confiabilidad
Las cuentas de Azure Storage son ideales para cargas de trabajo que requieren tiempos de respuesta rápidos y coherentes o que tengan un gran número de operaciones de entrada y salida por segundo (IOP). Las cuentas de Storage contienen todos los objetos de datos de Azure Storage, entre los que se incluyen:
- Datos BLOB
- Recursos compartidos de archivos
- Colas
- Tablas
- Discos
Las cuentas de Storage proporcionan un espacio de nombres único para los datos al que se puede acceder desde cualquier lugar a través de HTTP o HTTPS.
Para obtener más información sobre los diferentes tipos de cuentas de almacenamiento que admiten características diferentes, consulte Tipos de cuentas de almacenamiento.
Para comprender de qué manera una cuenta de Azure Storage refuerza la resistencia de la carga de trabajo de una aplicación, consulte los artículos siguientes:
- Redundancia de Azure Storage
- Recuperación ante desastres y conmutación por error de la cuenta de almacenamiento
En las secciones siguientes se incluyen consideraciones de diseño, una lista de comprobación de configuración y opciones de configuración recomendadas específicas de las cuentas de almacenamiento de Azure y la confiabilidad.
Consideraciones de diseño
Las cuentas de Azure Storage incluyen las siguientes consideraciones de diseño:
Las cuentas de almacenamiento de uso general v1 proporcionan acceso a todos los servicios de Azure Storage, pero puede que no incluyan las características más recientes o que no tengan los precios más bajos por gigabyte. Se recomienda usar cuentas de almacenamiento de uso general v2 en la mayoría de los casos. Entre los motivos para usar v1 se incluyen:
- Las aplicaciones requieren el modelo de implementación clásico.
- Las aplicaciones realizan una gran cantidad de transacciones o utilizan un gran ancho de banda de replicación geográfica, pero no es necesario que tengan una gran capacidad.
- Se requiere una API REST de servicios de almacenamiento anterior al 14 de febrero de 2014, o una biblioteca cliente con una versión anterior a
4.x. No es posible realizar una actualización de la aplicación.
Para obtener más información, consulte Introducción a las cuentas de almacenamiento.
- Los nombres de las cuentas de almacenamiento deben tener entre 3 y 24 caracteres, y solo pueden incluir números y letras en minúscula.
- Para las especificaciones actuales del Acuerdo de Nivel de Servicio, consulte SLA para cuentas de Storage.
- Vaya a Redundancia de Azure Storage para decidir qué opción de redundancia es la mejor para un escenario específico.
- Los nombres de las cuentas de almacenamiento deben ser únicos dentro de Azure. No puede haber dos cuentas de almacenamiento con el mismo nombre.
Lista de comprobación
¿Ha configurado la cuenta de Azure Storage teniendo en cuenta la confiabilidad?
- Active la eliminación temporal de datos de blobs.
- Use Microsoft Entra id. para autorizar el acceso a datos de blobs.
- Tenga en cuenta el principio de privilegios mínimos al asignar permisos a una entidad de seguridad de Microsoft Entra mediante RBAC de Azure.
- Use identidades administradas para acceder a los datos de los blobs y las colas.
- Use el control de versiones de los blobs o los blobs inmutables para almacenar datos críticos para la empresa.
- Restrinja el acceso predeterminado a Internet a las cuentas de almacenamiento.
- Habilitar reglas de firewall.
- Limite el acceso a la red para redes específicas.
- Permita que los servicios Microsoft de confianza accedan a la cuenta de almacenamiento.
- Habilite la opción Se requiere transferencia segura en todas las cuentas de almacenamiento.
- Limite los tokens de firma de acceso compartido (SAS) solo a conexiones
HTTPS. - Evite usar la autorización de clave compartida para acceder a las cuentas de almacenamiento e impida que otros la usen.
- Regenere las claves de cuenta periódicamente.
- Cree y aplique un plan de revocación para cualquier SAS que emita a los clientes.
- Use horas de expiración a corto plazo en las SAS imprevistas, SAS de servicio o SAS de cuenta.
Recomendaciones para la configuración
Tenga en cuenta las siguientes recomendaciones para optimizar la confiabilidad al configurar la cuenta de Azure Storage:
| Recomendación | Descripción |
|---|---|
| Active la eliminación temporal de datos de blobs. | La eliminación temporal de los blobs de Azure Storage permite recuperar datos de blobs después de haberlos eliminado. |
| Use Microsoft Entra id. para autorizar el acceso a datos de blobs. | Microsoft Entra id. proporciona seguridad superior y facilidad de uso en clave compartida para autorizar solicitudes a Blob Storage. Se recomienda usar Microsoft Entra autorización con las aplicaciones de blob y cola siempre que sea posible para minimizar posibles vulnerabilidades de seguridad inherentes a la clave compartida. Para más información, consulte Autorización del acceso a blobs y colas de Azure mediante Microsoft Entra id. |
| Tenga en cuenta el principio de privilegios mínimos al asignar permisos a una entidad de seguridad de Microsoft Entra mediante RBAC de Azure. | Al asignar un rol a un usuario, grupo o aplicación, conceda a esa entidad de seguridad exclusivamente los permisos necesarios para que pueda realizar sus tareas. Limitar el acceso a los recursos ayuda a prevenir el mal uso involuntario y malintencionado de los datos. |
| Use identidades administradas para acceder a los datos de los blobs y las colas. | Azure Blob y Queue Storage admiten la autenticación Microsoft Entra con identidades administradas para recursos de Azure. Las identidades administradas para recursos de Azure pueden autorizar el acceso a datos de blobs y colas mediante credenciales de Microsoft Entra de aplicaciones que se ejecutan en máquinas virtuales (VM) de Azure, aplicaciones de funciones, conjuntos de escalado de máquinas virtuales y otros servicios. Mediante el uso de identidades administradas para recursos de Azure junto con Microsoft Entra autenticación, puede evitar almacenar credenciales con las aplicaciones que se ejecutan en la nube y problemas con las entidades de servicio que expiran. Para obtener información, consulte Autorización del acceso a datos de blobs y colas con identidades administradas para los recursos de Azure. |
| Use el control de versiones de los blobs o los blobs inmutables para almacenar datos críticos para la empresa. | Considere la posibilidad de usar el control de versiones de blobs para mantener versiones anteriores de un objeto o el uso de retenciones legales y directivas de retención basadas en el tiempo para almacenar datos de blobs en un estado WORM (muchas lecturas, una sola escritura). Los blobs inmutables se pueden leer, pero no se pueden modificar ni eliminar durante el intervalo de retención. Para más información, consulte Almacenamiento de datos de blobs críticos para la empresa con almacenamiento inmutable. |
| Restrinja el acceso predeterminado a Internet a las cuentas de almacenamiento. | De manera predeterminada, el acceso de red a las cuentas de almacenamiento no está restringido y está abierto a todo el tráfico procedente de Internet. El acceso a las cuentas de almacenamiento se debe conceder a redes virtuales de Azure específicas solo siempre que sea posible, o use puntos de conexión privados para permitir que los clientes de una red virtual (VNet) accedan a los datos de forma segura a través de una instancia de Private Link. Para más información, consulte Uso de puntos de conexión privados para Azure Storage. Se pueden hacer excepciones para las cuentas de Storage a las que se deba acceder a través de Internet. |
| Habilitar reglas de firewall. | Configure las reglas de firewall para limitar el acceso a su cuenta de almacenamiento a las solicitudes que partan de direcciones IP o intervalos especificados, o de una lista de subredes de una red virtual de Azure (VNet). Para más información acerca de la configuración de reglas de firewall, consulte Configuración de redes virtuales y firewalls de Azure Storage. |
| Limite el acceso a la red para redes específicas. | La limitación del acceso de red a las redes que hospedan clientes que requieren acceso reduce la exposición de los recursos a ataques de red mediante la funcionalidad de firewall y redes virtuales integrada o mediante puntos de conexión privados. |
| Permita que los servicios Microsoft de confianza accedan a la cuenta de almacenamiento. | La activación de las reglas de firewall para las cuentas de almacenamiento bloquea las solicitudes entrantes para los datos de manera predeterminada, salvo que las solicitudes procedan de un servicio que funcione en una red virtual (VNet) de Azure o desde direcciones IP públicas permitidas. Las solicitudes bloqueadas incluyen aquellas de otros servicios de Azure, desde Azure Portal, desde los servicios de registro y de métricas, etc. Para permitir solicitudes de otros servicios de Azure, agregue una excepción que permita que los servicios de Microsoft de confianza accedan a la cuenta de almacenamiento. Para más información sobre la adición de una excepción para los servicios de Microsoft de confianza, consulte Configuración de redes virtuales y firewalls de Azure Storage. |
| Habilite la opción Se requiere transferencia segura en todas las cuentas de almacenamiento. | Cuando habilite la opción Se requiere transferencia segura, deben usarse conexiones seguras para realizar todas las solicitudes realizadas en la cuenta de almacenamiento. Las solicitudes realizadas a través de HTTP producirán un error. Para más información, consulte Requisito de transferencia segura en Azure Storage. |
Limite los tokens de firma de acceso compartido (SAS) solo a conexiones HTTPS. |
Requerir HTTPS cuando un cliente usa un token de SAS para acceder a los datos de los blobs ayuda a minimizar el riesgo de interceptación. Para más información, consulte Concesión de acceso limitado a recursos de Azure Storage mediante firmas de acceso compartido (SAS). |
| Evite usar la autorización de clave compartida para acceder a las cuentas de almacenamiento e impida que otros la usen. | Se recomienda usar Microsoft Entra identificador para autorizar las solicitudes a Azure Storage y evitar la autorización de clave compartida. En los escenarios en que se requiera autorización de clave compartida, siempre se prefieren los tokens de SAS antes que la distribución de la clave compartida. |
| Regenere las claves de cuenta periódicamente. | El cambio periódico de las claves de una cuenta reduce el riesgo de exponer los datos a actores malintencionados. |
| Cree y aplique un plan de revocación para cualquier SAS que emita a los clientes. | Si una SAS está en peligro, querrá revocar esa SAS de inmediato. Para revocar una SAS de delegación de usuario, revoque la clave de delegación de usuario para invalidar rápidamente todas las firmas asociadas con ella. Para revocar una SAS de servicio asociada a una directiva de acceso almacenado, puede eliminar esta directiva, cambiar su nombre, o cambiar su tiempo de vencimiento a un tiempo pasado. |
| Use horas de expiración a corto plazo en las SAS imprevistas, SAS de servicio o SAS de cuenta. | Si una SAS está en peligro, es válida solo durante un breve período. Esta práctica es especialmente importante si no puede hacer referencia a una directiva de acceso almacenada. Las expiraciones a corto plazo también limitan la cantidad de datos que puede escribirse en un blob mediante la limitación del tiempo disponible para cargarlos. Los clientes deben renovar la SAS bastante antes de la expiración para que haya tiempo para los reintentos si el servicio que ofrece la SAS no está disponible. |
Paso siguiente
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de