Ajánlott eljárások a PaaS-web- és mobilalkalmazások Azure Storage használatával történő biztonságossá tételéhez

Ebben a cikkben bemutatjuk az Azure Storage biztonsági ajánlott eljárásainak gyűjteményét a szolgáltatásként nyújtott platform (PaaS) webes és mobilalkalmazásainak biztonságossá tételéhez. Ezek az ajánlott eljárások az Azure-ral kapcsolatos tapasztalatainkból és az olyan ügyfelek tapasztalataiból származnak, mint ön.

Az Azure lehetővé teszi a tároló üzembe helyezését és használatát a helyszínen nem könnyen elérhető módon. Az Azure Storage használatával viszonylag kevés erőfeszítéssel elérheti a magas szintű méretezhetőséget és rendelkezésre állást. Az Azure Storage nem csak a Windows és Linux Rendszerű Azure-beli virtuális gépek alapja, hanem nagy méretű elosztott alkalmazásokat is támogat.

Az Azure Storage a következő négy szolgáltatást nyújtja: Blob Storage, Table Storage, Queue Storage és File Storage. További információ: Bevezetés a Microsoft Azure Storage használatába.

Ez a cikk a következő ajánlott eljárásokat ismerteti:

• Közös hozzáférésű jogosultságkódok (SAS)
• Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC)
• Ügyféloldali titkosítás nagy értékű adatokhoz
• Storage Service Encryption

Tárfiókkulcs helyett közös hozzáférésű jogosultságkód használata

A hozzáférés-vezérlés kritikus fontosságú. Az Azure Storage-hoz való hozzáférés szabályozásához az Azure két 512 bites tárfiókkulcsot (SAK-t) hoz létre tárfiók létrehozásakor. A kulcsredundancia szintje lehetővé teszi a szolgáltatás megszakításának elkerülését a rutinkulcs-rotáció során.

A tárelérési kulcsok kiemelt fontosságú titkos kulcsok, és csak a tárhozzáférés-vezérlésért felelős személyek számára legyenek elérhetők. Ha nem a megfelelő személyek férnek hozzá ezekhez a kulcsokhoz, teljes mértékben szabályozhatják a tárterületet, és lecserélhetik, törölhetik vagy hozzáadhatják a fájlokat a tárolóhoz. Ide tartoznak a kártevők és más típusú tartalmak, amelyek potenciálisan veszélyeztethetik a szervezetet vagy az ügyfeleket.

Továbbra is szüksége van egy módra, hogy hozzáférést biztosítson a tárolóban lévő objektumokhoz. A részletesebb hozzáférés érdekében kihasználhatja a közös hozzáférésű jogosultságkód (SAS) előnyeit. Az SAS lehetővé teszi bizonyos objektumok megosztását a tárolóban egy előre meghatározott időintervallumban és adott engedélyekkel. A közös hozzáférésű jogosultságkódokkal a következőket határozhatja meg:

• Az az időtartam, amely alatt az SAS érvényes, beleértve a kezdési időpontot és a lejárati időt.
• Az SAS által megadott engedélyek. Egy blob sasa például olvasási és írási engedélyeket adhat a felhasználónak az adott blobhoz, de nem törölhet engedélyeket.
• Nem kötelező IP-cím vagy IP-címtartomány, amelyből az Azure Storage elfogadja az SAS-t. Megadhatja például a szervezethez tartozó IP-címek tartományát. Ez egy másik biztonsági mértéket biztosít az SAS számára.
• Az a protokoll, amelyen az Azure Storage elfogadja az SAS-t. Ezzel az opcionális paraméterrel korlátozhatja az ügyfelek hozzáférését HTTPS használatával.

Az SAS lehetővé teszi a tartalom megosztását úgy, ahogyan meg szeretné osztani, anélkül, hogy a tárfiókkulcsokat átadna. Az SAS használata az alkalmazásban biztonságos módszer a tárerőforrások megosztására anélkül, hogy veszélyeztetné a tárfiókkulcsokat.

A közös hozzáférésű jogosultságkódokkal kapcsolatos további információkért lásd : Közös hozzáférésű jogosultságkódok használata.

Az Azure-beli szerepköralapú hozzáférés használata

A hozzáférés felügyeletének másik módja az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) használata. Az Azure RBAC-vel arra összpontosít, hogy pontosan megadja az alkalmazottaknak azokat az engedélyeket, amelyekre szükségük van, a szükséges ismeretek és a minimális jogosultsági biztonsági alapelvek alapján. Túl sok engedély tehet közzé egy fiókot a támadók számára. A túl kevés engedély azt jelenti, hogy az alkalmazottak nem tudják hatékonyan elvégezni a munkájukat. Az Azure RBAC segít a probléma megoldásában azáltal, hogy részletes hozzáférés-kezelést kínál az Azure-hoz. A hozzáférés-vezérlés elengedhetetlen azon szervezetek számára, amelyek biztonsági szabályzatokat szeretnének kikényszeríteni az adathozzáféréshez.

Az Azure beépített szerepköreivel jogosultságokat rendelhet a felhasználókhoz. A tárfiók-közreműködőt például olyan felhőszolgáltatókhoz használhatja, amelyeknek a tárfiókokat és a klasszikus tárfiók-közreműködői szerepkört kell kezelniük a klasszikus tárfiókok kezeléséhez. Azon felhőszolgáltatók esetében, amelyeknek virtuális gépeket kell kezelniük, de nem azt a virtuális hálózatot vagy tárfiókot, amelyhez csatlakoznak, felveheti őket a virtuálisgép-közreműködői szerepkörbe.

Azok a szervezetek, amelyek nem kényszerítik ki az adathozzáférés-vezérlést olyan képességekkel, mint az Azure RBAC, a szükségesnél több jogosultságot adhatnak a felhasználók számára. A szükségesnél több jogosultság adatsértéshez vezethet azáltal, hogy bizonyos felhasználók hozzáférhetnek azokhoz az adatokhoz, amelyekkel nem kellene rendelkezniük.

További információ az Azure RBAC-ről:

• Azure-szerepkörök hozzárendelése az Azure Portalon
• Beépített Azure-szerepkörök
• Biztonsági javaslatok a Blob Storage-hoz

Ügyféloldali titkosítás használata nagy értékű adatokhoz

Az ügyféloldali titkosítással programozott módon titkosíthatja az átvitt adatokat, mielőtt feltöltené az Azure Storage-ba, és programozott módon visszafejtené az adatokat az adatok lekérésekor. Az ügyféloldali titkosítás biztosítja az átvitel alatt álló adatok titkosítását, de az inaktív adatok titkosítását is biztosítja. Az ügyféloldali titkosítás a legbiztonságosabb módszer az adatok titkosítására, de ehhez programozott módosításokat kell végeznie az alkalmazáson, és be kell állítania a kulcskezelési folyamatokat.

Az ügyféloldali titkosítás lehetővé teszi a titkosítási kulcsok kizárólagos vezérlését is. Saját titkosítási kulcsokat hozhat létre és kezelhet. Egy borítékos technikát használ, amelyben az Azure Storage ügyfélkódtár létrehoz egy tartalomtitkosítási kulcsot (CEK), amelyet aztán a kulcstitkosítási kulccsal (KEK) burkolunk (titkosított). A KEK-t kulcsazonosító azonosítja, és aszimmetrikus kulcspár vagy szimmetrikus kulcs lehet, és helyileg felügyelhető, vagy tárolható az Azure Key Vaultban.

Az ügyféloldali titkosítás a Java és a .NET storage ügyfélkódtárakba van beépítve. Az ügyféloldali titkosításról és a Microsoft Azure Storage-hoz készült Azure Key Vaultról az ügyfélalkalmazásokon belüli adatok titkosításával, valamint a saját titkosítási kulcsok létrehozásával és kezelésével kapcsolatos információkért tekintse meg.

Tárolószolgáltatás titkosításának engedélyezése inaktív adatokhoz

Ha engedélyezve van a fájltárolás tárolási szolgáltatásának titkosítása , a rendszer automatikusan titkosítja az adatokat az AES-256 titkosítással. A Microsoft kezeli az összes titkosítást, visszafejtést és kulcskezelést. Ez a funkció LRS- és GRS-redundanciatípusokhoz érhető el.

Következő lépések

Ez a cikk bemutatja az Azure Storage biztonsági ajánlott eljárásainak gyűjteményét a PaaS-web- és mobilalkalmazások biztonságossá tételéhez. A PaaS-üzemelő példányok biztonságossá tételével kapcsolatos további információkért lásd:

• PaaS-környezetek védelme
• PaaS-web- és mobilalkalmazások biztonságossá tétele Azure-alkalmazás Services használatával
• PaaS-adatbázisok védelme az Azure-ban