Ajánlott eljárások a PaaS-web- és mobilalkalmazások Azure Storage-beli védelméhez
Ebben a cikkben bemutatjuk az Azure Storage biztonsági ajánlott eljárásainak gyűjteményét a szolgáltatásként nyújtott platform (PaaS) webes és mobilalkalmazásainak biztonságossá tételéhez. Ezek az ajánlott eljárások az Azure-ral kapcsolatos tapasztalatainkból és az olyan ügyfelek tapasztalataiból származnak, mint ön.
Az Azure lehetővé teszi a tárolás helyszíni üzembe helyezését és használatát olyan módon, hogy az ne legyen könnyen elérhető a helyszínen. Az Azure Storage használatával viszonylag kevés erőfeszítéssel elérheti a magas szintű méretezhetőséget és rendelkezésre állást. Az Azure Storage nem csak a Windows és Linux Azure Virtual Machines alapja, hanem a nagy méretű elosztott alkalmazásokat is támogatja.
Az Azure Storage a következő négy szolgáltatást nyújtja: Blob Storage, Table Storage, Queue Storage és File Storage. További információ: Bevezetés a Microsoft Azure Storage.
Ez a cikk a következő ajánlott eljárásokat ismerteti:
- Közös hozzáférésű jogosultságkódok (SAS)
- Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC)
- Ügyféloldali titkosítás nagy értékű adatokhoz
- Storage Service Encryption
Megosztott hozzáférésű jogosultságkód használata tárfiókkulcs helyett
A hozzáférés-vezérlés kritikus fontosságú. Az Azure Storage-hoz való hozzáférés szabályozásához az Azure két 512 bites tárfiókkulcsot (SAK-t) hoz létre a tárfiók létrehozásakor. A kulcsredundancia szintje lehetővé teszi, hogy elkerülje a szolgáltatáskimaradásokat a rutinkulcs-rotáció során.
A tárelérési kulcsok kiemelt fontosságú titkos kulcsok, és csak a tárhozzáférés-vezérlésért felelős személyek számára legyenek elérhetők. Ha nem megfelelő személyek férnek hozzá ezekhez a kulcsokhoz, teljes hozzáféréssel rendelkeznek a tárterülethez, és lecserélhetik, törölhetik vagy hozzáadhatják a fájlokat a tárolóhoz. Ide tartoznak a kártevők és más típusú tartalmak, amelyek potenciálisan veszélyeztethetik a szervezetet vagy az ügyfeleket.
Továbbra is szüksége van egy módra, hogy hozzáférést biztosítson a tárolóban lévő objektumokhoz. A részletesebb hozzáférés érdekében kihasználhatja a közös hozzáférésű jogosultságkód (SAS) előnyeit. Az SAS lehetővé teszi bizonyos objektumok megosztását a tárolóban egy előre meghatározott időintervallumban és adott engedélyekkel. A közös hozzáférésű jogosultságkódokkal a következőket határozhatja meg:
- Az az időtartam, amely alatt az SAS érvényes, beleértve a kezdési időpontot és a lejárati időt.
- Az SAS által megadott engedélyek. Egy blob SAS-azonosítója például olvasási és írási engedélyeket adhat a felhasználónak az adott blobhoz, de nem törölhet engedélyeket.
- Nem kötelező IP-cím vagy IP-címtartomány, amelyről az Azure Storage elfogadja az SAS-t. Megadhat például egy, a szervezethez tartozó IP-címtartományt. Ez egy másik biztonsági mértéket biztosít az SAS számára.
- Az a protokoll, amely felett az Azure Storage elfogadja az SAS-t. Ezzel az opcionális paraméterrel korlátozhatja az ügyfelek hozzáférését a HTTPS használatával.
Az SAS lehetővé teszi a tartalom megosztását úgy, ahogyan meg szeretné osztani anélkül, hogy megadna a tárfiókkulcsokat. Az SAS használata az alkalmazásban biztonságos módszer a tárerőforrások megosztására anélkül, hogy veszélyeztetné a tárfiók kulcsait.
A közös hozzáférésű jogosultságkódokkal kapcsolatos további információkért lásd: Közös hozzáférésű jogosultságkódok használata.
Azure szerepköralapú hozzáférés-vezérlés használata
A hozzáférés kezelésének másik módja az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) használata. Az Azure RBAC-vel arra összpontosít, hogy pontosan megadja az alkalmazottaknak a szükséges engedélyeket, a szükséges ismeretek és a minimális jogosultsági biztonsági alapelvek alapján. Túl sok engedély tehet közzé egy fiókot a támadók számára. A túl kevés engedély azt jelenti, hogy az alkalmazottak nem tudják hatékonyan elvégezni a munkájukat. Az Azure RBAC segít a probléma megoldásában azáltal, hogy részletes hozzáférés-kezelést kínál az Azure-hoz. A hozzáférés-vezérlés elengedhetetlen azoknak a szervezeteknek, amelyek biztonsági szabályzatokat szeretnének kikényszeríteni az adathozzáféréshez.
Az Azure beépített azure-szerepköreivel jogosultságokat rendelhet a felhasználókhoz. Használja például a Tárfiók-közreműködőt olyan felhőszolgáltatókhoz, amelyeknek a tárfiókokat és a klasszikus tárfiók-közreműködői szerepkört kell kezelniük a klasszikus tárfiókok kezeléséhez. Azon felhőszolgáltatók esetében, amelyeknek virtuális gépeket kell kezelniük, de nem azt a virtuális hálózatot vagy tárfiókot, amelyhez csatlakoznak, felveheti őket a Virtuálisgép-közreműködő szerepkörbe.
Azok a szervezetek, amelyek nem kényszerítik ki az adathozzáférés-vezérlést olyan képességekkel, mint az Azure RBAC, a szükségesnél több jogosultságot adhatnak a felhasználók számára. A szükségesnél több jogosultság adatmegsemmisítéshez vezethet azáltal, hogy egyes felhasználók hozzáférhetnek azokhoz az adatokhoz, amelyekkel nem kellene rendelkezniük.
Az Azure RBAC-vel kapcsolatos további információkért lásd:
- Azure-szerepkörök hozzárendelése az Azure Portalon
- Beépített Azure-szerepkörök
- Biztonsági javaslatok a Blob Storage-hoz
Ügyféloldali titkosítás használata nagy értékű adatokhoz
Az ügyféloldali titkosítással programozott módon titkosíthatja az átvitt adatokat, mielőtt feltöltené az Azure Storage-ba, és programozott módon visszafejtené az adatokat az adatok lekérésekor. Az ügyféloldali titkosítás biztosítja az átvitel alatt álló adatok titkosítását, de az inaktív adatok titkosítását is biztosítja. Az ügyféloldali titkosítás a legbiztonságosabb módszer az adatok titkosítására, de ehhez programozott módosításokat kell végeznie az alkalmazáson, és be kell állítania a kulcskezelési folyamatokat.
Az ügyféloldali titkosítás lehetővé teszi a titkosítási kulcsok kizárólagos vezérlését is. Létrehozhatja és kezelheti saját titkosítási kulcsait. Egy borítékos technikát használ, amelyben az Azure Storage-ügyfélkódtár létrehoz egy tartalomtitkosítási kulcsot (CEK), amelyet aztán a kulcstitkosítási kulccsal (KEK) burkolunk (titkosított). A KEK-et egy kulcsazonosító azonosítja, amely lehet aszimmetrikus kulcspár vagy szimmetrikus kulcs, és helyileg kezelhető, vagy tárolható az Azure Key Vault.
Az ügyféloldali titkosítás a Java és a .NET storage ügyfélkódtárakba van beépítve. Az ügyfélalkalmazásokon belüli adatok titkosításáról és a saját titkosítási kulcsok létrehozásával és kezelésével kapcsolatos információkért lásd: Ügyféloldali titkosítás és Azure Key Vault az Microsoft Azure Storage.
Tárolószolgáltatás titkosításának engedélyezése inaktív adatokhoz
Ha engedélyezve van a fájltárolás tárolási szolgáltatásának titkosítása , a rendszer automatikusan titkosítja az adatokat az AES-256 titkosítással. A Microsoft kezeli az összes titkosítást, visszafejtést és kulcskezelést. Ez a funkció LRS- és GRS-redundanciatípusokhoz érhető el.
Következő lépések
Ez a cikk bemutatja a PaaS-web- és mobilalkalmazások biztonságossá tételéhez ajánlott Azure Storage-biztonsági ajánlott eljárásokat. További információ a PaaS-telepítések biztonságossá tételéről: