Resumen

Completado

En este módulo, implementó la seguridad de defensa en profundidad para Azure Storage abordando las vulnerabilidades en la capa de acceso. Para empezar, configuraste los ajustes básicos de seguridad de la cuenta: exigir la transferencia segura, forzar el uso de Transport Layer Security (TLS) 1.2, deshabilitar el acceso anónimo a blobs y evitar la replicación entre inquilinos. Esta configuración crea una línea base que protege los datos en tránsito y evita la exposición pública no deseada.

Después, ha evaluado los modelos de autorización y ha aprendido por qué las identidades administradas con roles de RBAC son el enfoque preferido para las cargas de trabajo de IA. Al migrar la Azure Functions de Contoso desde claves de cuenta de almacenamiento a identidades administradas, eliminó el tipo de credencial de mayor riesgo de las configuraciones de la aplicación. Ha explorado las directivas de acceso almacenadas como una solución en escenarios que requieren tokens SAS de servicio revocables, ofreciendo flexibilidad operativa para el acceso externo sin depender de las claves de la cuenta de almacenamiento.

Por último, ha aprendido a deshabilitar la autorización de clave compartida por completo y a aplicar esta configuración a escala mediante Azure Policy. Este enfoque garantiza que todas las cuentas de almacenamiento del entorno rechacen los intentos de autenticación mediante claves de cuenta de almacenamiento, lo que fuerza el acceso moderno basado en identidades en todas las aplicaciones.

Las técnicas aplicadas en este módulo abordan el control de acceso y la autenticación. En el módulo siguiente, configurará la seguridad de red para Azure Storage, restringiendo qué redes y direcciones IP llegan a las cuentas de almacenamiento e implementando la conectividad de punto de conexión privado para las cargas de trabajo de IA.

Learn more