Azure-tárfiók biztonsági alapkonfigurációjának létrehozása

  • 5 perc

Az Azure Storage-fiókok egyedi névteret biztosítanak, ahol tárolhatja és elérheti az Azure Storage-adatobjektumokat.

Az Azure Storage-fiók biztonsági ajánlásai

A következő szakaszok a CIS Microsoft Azure Foundations Biztonsági Benchmark 1.3.0-s verzióban található Azure Storage-javaslatokat ismertetik. Az egyes javaslatok az Azure Portalon elvégezhető alapvető lépések. Ezeket a lépéseket saját előfizetéséhez és saját erőforrásaival kell elvégeznie az egyes biztonsági javaslatok érvényesítéséhez. Tartsa szem előtt, hogy a 2. szintű beállítások bizonyos funkciókat vagy tevékenységeket korlátozhatnak, ezért gondosan kell mérlegelnie, hogy melyik biztonsági beállításokat követeli meg.

Fokozott biztonságú átvitel megkövetelése – 1. szint

Az Azure Storage-adatok biztonságának biztosítása érdekében meg kell tenni egy lépést az adatok titkosítása az ügyfél és az Azure Storage között. Az első javaslat a HTTPS protokoll használata. A HTTPS használata biztosítja a nyilvános interneten keresztüli biztonságos kommunikációt. A HTTPS használatának kényszerítéséhez, amikor REST API-kat hív meg a tárfiókok objektumainak eléréséhez, kapcsolja be a tárfiók biztonságos átvitelre vonatkozó kötelező beállítását. A vezérlő bekapcsolása után a RENDSZER elutasítja a HTTP-t használó kapcsolatokat. Végezze el a következő lépéseket az előfizetésben lévő összes tárfiókhoz.

  1. Jelentkezzen be az Azure Portalra. Tárfiókok keresése és kiválasztása.

  2. A Tárfiókok panelen válasszon ki egy tárfiókot.

  3. A bal oldali menü Beállítások szakaszában válassza a Konfiguráció lehetőséget.

  4. A Konfiguráció panelen győződjön meg arról, hogy a biztonságos átvitel szükséges engedélyezve van.

  5. Ha módosítja a beállításokat, a menüsávon válassza a Mentés lehetőséget.

Screenshot that shows the secure transfer storage setting in the Azure portal.

Nagy bináris objektum (blob) titkosításának engedélyezése – 1. szint

Az Azure Blob Storage a microsoftos objektumtárolási megoldás a felhőben. A Blob Storage nagy mennyiségű strukturálatlan adat tárolására van optimalizálva. A strukturálatlan adatok olyan adatok, amelyek nem igazodnak egy adott adatmodellhez vagy definícióhoz. Strukturálatlan adatok például szöveges és bináris adatok. Az inaktív adatokat a társzolgáltatás titkosítása védi. Az Azure Storage titkosítja az adatokat, ahogy azok az adatközpontokban meg van írva, és automatikusan visszafejti azokat az Ön számára, amikor ön hozzáfér hozzá.

  1. Jelentkezzen be az Azure Portalra. Tárfiókok keresése és kiválasztása.

  2. A Tárfiókok panelen válasszon ki egy tárfiókot.

  3. A Bal oldali menü Biztonság + hálózatkezelés területén válassza a Titkosítás lehetőséget.

  4. A Titkosítás panelen ellenőrizze, hogy az Azure Storage-titkosítás engedélyezve van-e az összes új és meglévő tárfiók esetében, és hogy az nem tiltható le.

Screenshot that shows secure storage encryption is automatically enabled.

Hozzáférési kulcsok rendszeres újragenerálása – 1. szint

Amikor tárfiókot hoz létre az Azure-ban, az Azure két 512 bites tárelérési kulcsot hoz létre. Ezek a kulcsok a tárfiók elérésekor használatosak a hitelesítéshez. A kulcsok rendszeres elforgatása biztosítja, hogy ezekhez a kulcsokhoz való véletlen hozzáférés vagy expozíció időkorlátja korlátozott legyen. Végezze el a következő lépéseket az Azure-előfizetésben lévő egyes tárfiókok esetében.

  1. Jelentkezzen be az Azure Portalra. Tárfiókok keresése és kiválasztása.

  2. A Tárfiókok panelen válasszon ki egy tárfiókot.

  3. A bal oldali menüben válassza a Tevékenységnapló lehetőséget.

  4. A Tevékenységnapló időbélyeg legördülő listájában válassza az Egyéni lehetőséget. A Kezdési idő és a Befejezési idő lehetőséget választva 90 napos vagy annál rövidebb tartományt hozhat létre.

  5. Válassza az Alkalmazás lehetőséget.

    Screenshot that shows the storage account timespan setting.

    Ha nem az Azure Key Vaultot használja kulcsváltással, a tárelérési kulcsok egy adott tárfiókhoz való újragenerálásához futtassa az alábbi parancsot az előfizetés adatainak használatával:

    POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{accountName}/regenerateKey?api-version=2019-04-01

  6. Ha módosítja a beállításokat, a menüsávon válassza a Mentés lehetőséget.

Közös hozzáférésű jogosultságkód-jogkivonatok egy órán belüli lejáratának megkövetelése – 1. szint

A közös hozzáférésű jogosultságkód egy URI, amely korlátozott hozzáférési jogosultságokat biztosít az Azure Storage-erőforrásokhoz. Olyan ügyfelek számára is megadhat közös hozzáférésű jogosultságkódokat, amelyek nem megbízhatók a tárfiók kulcsával, de amelyeket bizonyos tárfiók-erőforrásokhoz szeretne delegálni. A közös hozzáférésű jogosultságkód ilyen kliensek közötti terjesztésével hozzáférést adhat nekik egy meghatározott időszakra, a meghatározott engedélyekkel.

Megjegyzés:

A CIS Microsoft Azure Foundations Security Benchmark 1.3.0-s verzióra vonatkozó ajánlásaihoz a közös hozzáférésű jogosultságkódok lejárati ideje nem ellenőrizhető automatikusan. A javaslat manuális ellenőrzést igényel.

Közös hozzáférésű jogosultságkód-jogkivonatok csak HTTPS-en keresztül történő megosztásának megkövetelése – 1. szint

A közös hozzáférésű jogosultságkód-jogkivonatokat csak HTTPS protokollon keresztül szabad engedélyezni. Végezze el a következő lépéseket az Azure-előfizetésben lévő egyes tárfiókok esetében.

  1. Jelentkezzen be az Azure Portalra. Tárfiókok keresése és kiválasztása.

  2. A Tárfiókok panelen válasszon ki egy tárfiókot.

  3. A Biztonság + hálózatkezelés menüben válassza a Közös hozzáférésű jogosultságkód lehetőséget.

  4. A Közös hozzáférésű jogosultságkód panel Kezdő és lejárati dátuma/ideje területén adja meg a kezdési és befejezési dátumokat és időpontokat.

  5. Az Engedélyezett protokollok területen válassza a CSAK HTTPS lehetőséget.

  6. Ha módosítja a beállításokat, a menüsávon válassza az SAS létrehozása és a kapcsolati sztring lehetőséget.

Screenshot of a shared access signature in a storage account settings and H T T P S only protocol allowed.

A következő szakaszokban konfigurálhatja a közös hozzáférésű jogosultságkód funkcióit.

Az Azure Files titkosításának engedélyezése – 1. szint

Az Azure Disk Encryption titkosítja az operációs rendszert és az adatlemezeket az IaaS virtuális gépeken. Az ügyféloldali titkosítás és a kiszolgálóoldali titkosítás (S Standard kiadás) egyaránt az Azure Storage-adatok titkosítására szolgál. Végezze el a következő lépéseket az Azure-előfizetésben lévő egyes tárfiókok esetében.

  1. Jelentkezzen be az Azure Portalra. Tárfiókok keresése és kiválasztása.

  2. A Tárfiókok panelen válasszon ki egy tárfiókot.

  3. A Bal oldali menü Biztonság + hálózatkezelés területén válassza a Titkosítás lehetőséget.

  4. A Titkosítás panelen ellenőrizze, hogy az Azure Storage-titkosítás engedélyezve van-e az összes új és meglévő blobtárolóhoz és fájltárolóhoz, és hogy nem tiltható le.

Screenshot that shows encryption is automatically enabled for all blobs and files in storage accounts.

Privát hozzáférés megkövetelése blobtárolókhoz – 1. szint

Névtelen, nyilvános olvasási hozzáférést engedélyezhet egy tárolóhoz és annak blobjaihoz az Azure Blob Storage-ban. A névtelen, nyilvános olvasási hozzáférés bekapcsolásával írásvédett hozzáférést biztosíthat ezekhez az erőforrásokhoz a fiókkulcs megosztása és közös hozzáférésű jogosultságkód megkövetelése nélkül. Alapértelmezés szerint a tárolót és a benne lévő blobokat csak a megfelelő engedélyekkel rendelkező felhasználók érhetik el. Ha névtelen felhasználók számára olvasási hozzáférést szeretne biztosítani egy tárolóhoz és annak blobjaihoz, beállíthatja a tároló hozzáférési szintjét nyilvánosra.

Ha azonban nyilvános hozzáférést ad egy tárolóhoz, a névtelen felhasználók a kérés engedélyezése nélkül is olvashatnak blobokat egy nyilvánosan elérhető tárolóban. Biztonsági javaslat, hogy ehelyett privátra állítsa a tárolókhoz való hozzáférést. Végezze el a következő lépéseket az Azure-előfizetésben lévő egyes tárfiókok esetében.

  1. Jelentkezzen be az Azure Portalra. Tárfiókok keresése és kiválasztása.

  2. A Tárfiókok panelen válasszon ki egy tárfiókot.

  3. Az Adattárolás bal oldali menüjében válassza a Tárolók lehetőséget.

  4. A Tárolók panelen győződjön meg arról, hogy a nyilvános hozzáférési szint privátra van állítva.

  5. Ha módosítja a beállításokat, a menüsávon válassza a Mentés lehetőséget.

Screenshot that shows a storage container with access level set to private.