Az Azure Storage biztonsági stratégiáinak áttekintése
Rendszergazda istratorok különböző stratégiákkal biztosítják adataik biztonságát. A gyakori módszerek közé tartozik a titkosítás, a hitelesítés, az engedélyezés és a felhasználói hozzáférés-vezérlés hitelesítő adatokkal, fájlengedélyekkel és privát aláírásokkal. Az Azure Storage olyan biztonsági képességeket kínál, amelyek általános stratégiákon alapulnak az adatok biztonságossá tételéhez.
Tudnivalók az Azure Storage biztonsági stratégiáiról
Vizsgáljuk meg az Azure Storage biztonságának néhány jellemzőjét.
Titkosítás. Az Azure Storage-ba írt összes adat automatikusan titkosítva lesz az Azure Storage titkosításával.
Hitelesítés. A Microsoft Entra ID és a szerepköralapú hozzáférés-vezérlés (RBAC) az Azure Storage-ban mind az erőforrás-kezelési műveletek, mind az adatműveletek esetében támogatott.
- Rendeljen RBAC-szerepköröket egy Azure Storage-fiókhoz a biztonsági tagokhoz, és a Microsoft Entra ID használatával engedélyezze az erőforrás-kezelési műveleteket, például a kulcskezelést.
- A Microsoft Entra-integráció az Azure Blob Storage-on és az Azure Queue Storage-on végzett adatműveletek esetében támogatott.
Átvitt adatok. Az adatok ügyféloldali titkosítás, HTTPS vagy SMB 3.0 használatával védhetők az alkalmazások és az Azure közötti átvitel során.
Lemeztitkosítás. Az Azure Virtual Machines által használt operációsrendszer-lemezek és adatlemezek az Azure Disk Encryption használatával titkosíthatók.
Közös hozzáférésű jogosultságkódok. Az Azure Storage-beli adatobjektumokhoz delegált hozzáférés közös hozzáférésű jogosultságkód (SAS) használatával adható meg.
Engedélyezés. A Blob Storage, az Azure Files, a Queue Storage vagy az Azure Cosmos DB (Azure Table Storage) biztonságos erőforrással kapcsolatos minden kérését engedélyezni kell. Az engedélyezés biztosítja, hogy a tárfiókban lévő erőforrások csak akkor legyenek elérhetők, ha ön azt szeretné, és csak azoknak a felhasználóknak vagy alkalmazásoknak, akiknek hozzáférést ad.
Megfontolandó szempontok az engedélyezési biztonság használatakor
Tekintse át a következő stratégiákat az Azure Storage-kérelmek engedélyezéséhez. Gondolja át, milyen biztonsági stratégiák működnének az Azure Storage-ban.
| Engedélyezési stratégia | Leírás |
|---|---|
| Microsoft Entra ID | A Microsoft Entra ID a Microsoft felhőalapú identitás- és hozzáférés-kezelési szolgáltatása. A Microsoft Entra-azonosítóval részletes hozzáférést rendelhet felhasználókhoz, csoportokhoz vagy alkalmazásokhoz szerepköralapú hozzáférés-vezérléssel. |
| Megosztott kulcs | A megosztott kulcs engedélyezése az Azure Storage-fiók hozzáférési kulcsaira és egyéb paramétereire támaszkodik egy titkosított aláírási sztring létrehozásához. A sztring továbbítása a kérelemre az Engedélyezés fejlécben történik. |
| Közös hozzáférésű jogosultságkódok | Az SAS megadott engedélyekkel és meghatározott időtartammal delegálja a hozzáférést egy adott erőforráshoz az Azure Storage-fiókjában. |
| Névtelen hozzáférés tárolókhoz és blobokhoz | A bloberőforrásokat opcionálisan nyilvánossá teheti a tároló vagy a blob szintjén. A nyilvános tárolók vagy blobok bármely felhasználó számára elérhetők névtelen olvasási hozzáférés céljából. A nyilvános tárolókra és blobokra irányuló olvasási kérések nem igényelnek engedélyezést. |