Biztonsági javaslatok a Blob Storage-hoz
Ez a cikk a Blob Storage biztonsági javaslatait tartalmazza. Ezeknek a javaslatoknak a megvalósítása segít teljesíteni a biztonsági kötelezettségeket a megosztott felelősségi modellben leírtak szerint. További információ arról, hogy a Microsoft hogyan teljesíti a szolgáltatói feladatokat: Megosztott felelősség a felhőben.
A cikkben szereplő javaslatok némelyikét automatikusan figyelheti a Microsoft Defender for Cloud, amely az azure-beli erőforrások védelmének első védelmi vonala. A felhőhöz készült Microsoft Defender kapcsolatos információkért lásd: Mi a Microsoft Defender a felhőhöz?
Microsoft Defender for Cloud rendszeres időközönként elemzi az Azure-erőforrások biztonsági állapotát a lehetséges biztonsági rések azonosítása érdekében. Ezután javaslatot tesz a megoldásukra. A Microsoft Defender felhőre vonatkozó javaslatokkal kapcsolatos további információkért lásd: Biztonsági javaslatok áttekintése.
Adatvédelem
| Ajánlás | Megjegyzések | Felhőhöz készült Defender |
|---|---|---|
| Az Azure Resource Manager üzembehelyezési modell használata | Hozzon létre új tárfiókokat az Azure Resource Manager üzembehelyezési modellel a fontos biztonsági fejlesztésekhez, beleértve a kiváló Azure szerepköralapú hozzáférés-vezérlést (Azure RBAC) és naplózást, Resource Manager-alapú üzembe helyezést és irányítást, a felügyelt identitásokhoz való hozzáférést, az Azure Key Vault titkos kulcsokhoz való hozzáférését és Azure AD -alapú hitelesítés és engedélyezés az Azure Storage-adatokhoz és -erőforrásokhoz való hozzáféréshez. Ha lehetséges, migráljon olyan meglévő tárfiókokat, amelyek a klasszikus üzemi modellt használják az Azure Resource Manager használatához. Az Azure Resource Manager kapcsolatos további információkért lásd: Az Azure Resource Manager áttekintése. | - |
| Microsoft Defender engedélyezése az összes tárfiókhoz | Microsoft Defender a Storage-hoz egy további biztonságiintelligencia-réteget biztosít, amely észleli a tárfiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérleteket. A biztonsági riasztások a Microsoft Defender for Cloudban aktiválódnak, amikor a tevékenység rendellenességei jelentkeznek, és e-mailben is elküldik őket az előfizetés rendszergazdáinak, a gyanús tevékenységek részleteivel és a fenyegetések kivizsgálásával és elhárításával kapcsolatos javaslatokkal. További információ: Microsoft Defender konfigurálása a Tároláshoz. | Igen |
| Áltörlés bekapcsolása a blobokhoz | A blobok helyreállítható törlése lehetővé teszi a blobadatok helyreállítását azok törlése után. További információ a blobok helyreállítható törléséről: Helyreállítható törlés az Azure Storage-blobokhoz. | - |
| Tárolók helyreállítható törlésének bekapcsolása | A tárolók helyreállítható törlése lehetővé teszi egy tároló helyreállítását a törlés után. További információ a tárolók helyreállítható törléséről: Helyreállítható törlés tárolókhoz. | - |
| Tárfiók zárolása a véletlen vagy rosszindulatú törlés vagy konfigurációs módosítások megelőzése érdekében | Azure-Resource Manager-zárolás alkalmazása a tárfiókra, hogy megvédje a fiókot a véletlen vagy rosszindulatú törléstől vagy konfigurációmódosítástól. A tárfiók zárolása nem akadályozza meg a fiókon belüli adatok törlését. Ez csak azt akadályozza meg, hogy magát a fiókot töröljék. További információ: Azure-Resource Manager-zárolás alkalmazása tárfiókra. | |
| Üzletileg kritikus adatok tárolása nem módosítható blobokban | Konfiguráljon jogi célú visszatartási és időalapú adatmegőrzési szabályzatokat a blobadatok WORM (Egyszer írható, több olvasási) állapotban való tárolásához. A nem módosítható módon tárolt blobok olvashatók, de nem módosíthatók vagy törölhetők a megőrzési időtartam időtartamára. További információ: Üzletileg kritikus blobadatok tárolása nem módosítható tárolóval. | - |
| Biztonságos átvitel (HTTPS) megkövetelése a tárfiókba | Ha biztonságos átvitelre van szükség egy tárfiókhoz, a tárfiókra irányuló összes kérést HTTPS-en keresztül kell intézni. A HTTP-en keresztül küldött kérelmeket a rendszer elutasítja. A Microsoft azt javasolja, hogy minden tárfiókhoz mindig biztonságos átvitelre van szükség. További információ: Biztonságos átvitel megkövetelése a biztonságos kapcsolatok biztosításához. | - |
| A közös hozzáférésű jogosultságkódok (SAS)-jogkivonatok korlátozása csak HTTPS-kapcsolatokra | A HTTPS megkövetelése, ha egy ügyfél SAS-jogkivonattal fér hozzá a blobadatokhoz, segít minimalizálni a lehallgatás kockázatát. További információ: Korlátozott hozzáférés biztosítása az Azure Storage-erőforrásokhoz közös hozzáférésű jogosultságkódok (SAS) használatával. | - |
Identitás- és hozzáférés-kezelés
| Ajánlás | Megjegyzések | Felhőhöz készült Defender |
|---|---|---|
| Blobadatokhoz való hozzáférés engedélyezése az Azure Active Directory (Azure AD) használatával | Azure AD kiváló biztonságot és egyszerű használatot biztosít a megosztott kulcson keresztül a Blob Storage-kérelmek engedélyezéséhez. További információ: Adatokhoz való hozzáférés engedélyezése az Azure Storage-ban. | - |
| Tartsa szem előtt a minimális jogosultság elvét, amikor engedélyeket rendel egy Azure AD rendszerbiztonsági taghoz az Azure RBAC-vel | Amikor szerepkört rendel egy felhasználóhoz, csoporthoz vagy alkalmazáshoz, csak azokat az engedélyeket adja meg a rendszerbiztonsági tagnak, amelyek a feladataik elvégzéséhez szükségesek. Az erőforrásokhoz való hozzáférés korlátozása segít megelőzni az adatok véletlen és rosszindulatú visszaélését. | - |
| Felhasználói delegálási SAS használata a blobadatokhoz való korlátozott hozzáférés biztosításához az ügyfelek számára | A felhasználódelegálási SAS-t az Azure Active Directory (Azure AD) hitelesítő adatai, valamint az SAS-hez megadott engedélyek védik. A felhasználódelegálási SAS a hatóköre és működése szempontjából hasonló a szolgáltatási SAS-hez, de biztonsági előnyöket nyújt a szolgáltatás SAS-ével szemben. További információ: Korlátozott hozzáférés biztosítása az Azure Storage-erőforrásokhoz közös hozzáférésű jogosultságkódok (SAS) használatával. | - |
| Fiókelérési kulcsok védelme az Azure Key Vault | A Microsoft a Azure AD használatát javasolja az Azure Storage felé irányuló kérelmek engedélyezéséhez. Ha azonban megosztott kulcsos hitelesítést kell használnia, akkor a fiókkulcsokat az Azure Key Vault. Futtatáskor lekérheti a kulcsokat a kulcstartóból, és nem mentheti őket az alkalmazással. Az Azure Key Vault kapcsolatos további információkért lásd: Az Azure Key Vault áttekintése. | - |
| Fiókkulcsok rendszeres újragenerálása | A fiókkulcsok rendszeres rotálása csökkenti az adatok rosszindulatú szereplőknek való felfedésének kockázatát. | - |
| Megosztott kulcs engedélyezésének letiltása | Ha letiltja a megosztott kulcs engedélyezését egy tárfiókhoz, az Azure Storage elutasítja az adott fiókra irányuló összes, a fiók hozzáférési kulcsaival engedélyezett kérést. Csak a Azure AD engedélyezett biztonságos kérések lesznek sikeresek. További információ: Az Azure Storage-fiók megosztott kulcsos hitelesítésének megakadályozása. | - |
| Tartsa szem előtt a minimális jogosultság elvét, amikor engedélyeket rendel egy SAS-hez | SAS létrehozásakor csak azokat az engedélyeket adja meg, amelyekre az ügyfélnek szüksége van a függvény végrehajtásához. Az erőforrásokhoz való hozzáférés korlátozása segít megelőzni az adatok véletlen és rosszindulatú visszaélését. | - |
| Visszavonási tervvel rendelkezik az ügyfeleknek kibocsátott SAS-hez | Ha egy SAS biztonsága sérül, a lehető leghamarabb vissza kell vonnia az SAS-t. A felhasználódelegálási SAS visszavonásához vonja vissza a felhasználódelegálási kulcsot a kulcshoz társított összes aláírás gyors érvénytelenítéséhez. Ha vissza szeretne vonni egy tárolt hozzáférési szabályzattal társított szolgáltatás SAS-t, törölheti a tárolt hozzáférési szabályzatot, átnevezheti a szabályzatot, vagy a lejárati idejét egy korábbi időpontra módosíthatja. További információ: Korlátozott hozzáférés biztosítása az Azure Storage-erőforrásokhoz közös hozzáférésű jogosultságkódok (SAS) használatával. | - |
| Ha egy szolgáltatási SAS nincs társítva tárolt hozzáférési szabályzattal, állítsa a lejárati időt egy órára vagy kevesebbre | A tárolt hozzáférési szabályzathoz nem társított szolgáltatás SAS-t nem lehet visszavonni. Ezért ajánlott korlátozni a lejárati időt, hogy az SAS legalább egy óráig érvényes legyen. | - |
| Tárolókhoz és blobokhoz való névtelen nyilvános olvasási hozzáférés letiltása | A tárolókhoz és blobjaihoz való névtelen nyilvános olvasási hozzáférés bármely ügyfél számára csak olvasási hozzáférést biztosít ezekhez az erőforrásokhoz. Kerülje a nyilvános olvasási hozzáférés engedélyezését, kivéve, ha a forgatókönyv megköveteli. A tárfiókok névtelen nyilvános hozzáférésének letiltásáról az Áttekintés: A blobadatok névtelen nyilvános olvasási hozzáférésének szervizelése című témakörben olvashat. | - |
Hálózatkezelés
| Ajánlás | Megjegyzések | Felhőhöz készült Defender |
|---|---|---|
| Konfigurálja a Transport Layer Security (TLS) minimálisan szükséges verzióját egy tárfiókhoz. | Megkövetelheti, hogy az ügyfelek a TLS biztonságosabb verzióját használják az Azure Storage-fiókra irányuló kérések intézéséhez az adott fiókhoz tartozó TLS minimális verziójának konfigurálásával. További információ: A Transport Layer Security (TLS) minimálisan szükséges verziójának konfigurálása tárfiókhoz | - |
| Engedélyezze a Biztonságos átvitel szükséges beállítást az összes tárfiókon | Ha engedélyezi a Biztonságos átvitelre van szükség beállítást, a tárfiókra irányuló összes kérésnek biztonságos kapcsolatokon keresztül kell végbevinnie. A HTTP-en keresztül küldött kérések sikertelenek lesznek. További információ: Biztonságos átvitel megkövetelése az Azure Storage-ban. | Igen |
| Tűzfalszabályok engedélyezése | Konfigurálja a tűzfalszabályokat a tárfiókhoz való hozzáférés korlátozásához a megadott IP-címekről vagy tartományokból vagy egy Azure-Virtual Network (VNet) található alhálózatok listájából érkező kérelmekre. További információ a tűzfalszabályok konfigurálásáról: Azure Storage-tűzfalak és virtuális hálózatok konfigurálása. | - |
| A megbízható Microsoft-szolgáltatások hozzáférésének engedélyezése a tárfiókhoz | A tárfiók tűzfalszabályainak bekapcsolása alapértelmezés szerint blokkolja a bejövő adatkéréseket, kivéve, ha a kérések egy Azure Virtual Network (VNet) szolgáltatásból vagy engedélyezett nyilvános IP-címekről származnak. A letiltott kérések közé tartoznak a többi Azure-szolgáltatásból, a Azure Portal, a naplózási és metrikaszolgáltatásokból stb. származó kérések. Más Azure-szolgáltatásoktól érkező kérelmek engedélyezéséhez adjon hozzá egy kivételt, amely lehetővé teszi, hogy a megbízható Microsoft-szolgáltatások hozzáférjenek a tárfiókhoz. További információ a megbízható Microsoft-szolgáltatások kivételeinek hozzáadásáról: Azure Storage-tűzfalak és virtuális hálózatok konfigurálása. | - |
| Privát végpontok használata | A privát végpont privát IP-címet rendel az Azure-Virtual Network (VNet) a tárfiókhoz. Privát kapcsolaton keresztül biztosítja a virtuális hálózat és a tárfiók közötti összes forgalmat. A privát végpontokkal kapcsolatos további információkért lásd: Privát csatlakozás tárfiókhoz az Azure Privát végpont használatával. | - |
| VNet-szolgáltatáscímkék használata | A szolgáltatáscímke egy adott Azure-szolgáltatás IP-címelőtagjainak egy csoportját jelöli. A Microsoft kezeli a szolgáltatáscímke által magában foglalt címelőtagokat, és automatikusan frissíti a szolgáltatáscímkét a címek változásakor. Az Azure Storage által támogatott szolgáltatáscímkékről további információt az Azure-szolgáltatáscímkék áttekintése című témakörben talál. A szolgáltatáscímkék kimenő hálózati szabályok létrehozásához való használatát bemutató oktatóanyagért lásd: PaaS-erőforrásokhoz való hozzáférés korlátozása. | - |
| Adott hálózatok hálózati hozzáférésének korlátozása | A hozzáférést igénylő ügyfeleket üzemeltető hálózatok hálózati hozzáférésének korlátozása csökkenti az erőforrások hálózati támadásoknak való kitettségét. | Igen |
| Hálózati útválasztási beállítás konfigurálása | Az Azure Storage-fiók hálózati útválasztási beállításának konfigurálásával megadhatja, hogy a microsoftos globális hálózattal vagy internetes útválasztással hogyan irányja át a hálózati forgalmat a fiókba az ügyfelektől az interneten keresztül. További információ: Az Azure Storage hálózati útválasztási beállításának konfigurálása. | - |
Naplózás/monitorozás
| Ajánlás | Megjegyzések | Felhőhöz készült Defender |
|---|---|---|
| A kérések engedélyezésének nyomon követése | Engedélyezze az Azure Storage naplózását az Azure Storage-ra irányuló egyes kérések engedélyezésének nyomon követéséhez. A naplók azt jelzik, hogy a kérés névtelenül történt-e, OAuth 2.0-jogkivonat, megosztott kulcs vagy közös hozzáférésű jogosultságkód (SAS) használatával. További információ: Monitorozási Azure Blob Storage az Azure Monitorral vagy az Azure Storage-elemzések naplózása klasszikus monitorozással. | - |
| Riasztások beállítása az Azure Monitorban | Naplóriasztásokat konfigurálhat az erőforrásnaplók meghatározott gyakoriságú kiértékeléséhez, és riasztást aktiválhat az eredmények alapján. További információ: Naplóriasztások az Azure Monitorban. | - |