Artikel ini berisi rekomendasi keamanan untuk penyimpanan Blob. Menerapkan rekomendasi ini akan membantu Anda memenuhi kewajiban keamanan Anda seperti yang dijelaskan dalam model tanggung jawab bersama kami. Untuk informasi selengkapnya tentang bagaimana Microsoft memenuhi tanggung jawab penyedia layanan, lihat Tanggung jawab bersama di awan.
Beberapa rekomendasi yang disertakan dalam artikel ini dapat secara otomatis dipantau oleh Pertahanan Microsoft untuk Cloud, yang merupakan garis pertahanan pertama dalam melindungi sumber daya Anda di Azure. Untuk mempelajari Pertahanan Microsoft untuk Cloud selengkapnya, lihat Apa itu Pertahanan Microsoft untuk Cloud?
Pertahanan Microsoft untuk Cloud secara berkala menganalisis keadaan keamanan sumber daya Azure Anda untuk mengidentifikasi potensi kerentanan keamanan. Ini kemudian memberi Anda rekomendasi tentang cara mengatasinya. Untuk informasi selengkapnya tentang rekomendasi Microsoft Defender untuk Cloud, lihat Meninjau rekomendasi keamanan.
Perlindungan data
Rekomendasi
Komentar
Defender for Cloud
Gunakan model penyebaran Resource Manager
Buat akun penyimpanan baru menggunakan model penyebaran Azure Resource Manager untuk peningkatan keamanan penting, termasuk kontrol akses berbasis peran Azure yang unggul (Azure RBAC) dan audit, penyebaran dan tata kelola berbasis Resource Manager, akses ke identitas terkelola, akses ke Azure Key Vault untuk rahasia, dan autentikasi dan otorisasi Microsoft Entra untuk akses ke data dan sumber daya Azure Storage. Jika memungkinkan, migrasikan akun penyimpanan yang ada yang menggunakan model penyebaran klasik untuk menggunakan Azure Resource Manager. Untuk informasi selengkapnya tentang Azure Resource Manager, lihat Gambaran umum Azure Resource Manager.
-
Aktifkan Pertahanan Microsoft untuk semua akun penyimpanan Anda
Pertahanan Microsoft untuk Penyimpanan menyediakan lapisan tambahan inteligensi keamanan yang mendeteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi akun penyimpanan. Peringatan keamanan dipicu di Pertahanan Microsoft untuk Cloud ketika anomali dalam aktivitas terjadi dan juga dikirim melalui email ke administrator langganan, dengan detail aktivitas yang mencurigakan serta rekomendasi tentang cara menyelidiki dan memulihkan ancaman. Untuk informasi selengkapnya, lihat Mengonfigurasi Pertahanan Microsoft untuk Penyimpanan.
Penghapusan sementara untuk blob memungkinkan Anda memulihkan data blob setelah dihapus. Untuk informasi selengkapnya tentang penghapusan blob sementara, lihat Penghapusan sementara untuk blob Azure Storage.
-
Nyalakan penghapusan sementara untuk kontainer
Penghapusan sementara untuk kontainer memungkinkan Anda memulihkan kontainer setelah dihapus. Untuk informasi selengkapnya tentang penghapusan sementara kontainer, lihat Penghapusan sementara untuk kontainer.
-
Kunci akun penyimpanan untuk mencegah penghapusan atau perubahan konfigurasi yang tidak disengaja atau berbahaya
Terapkan kunci Azure Resource Manager ke akun penyimpanan Anda untuk melindungi akun dari penghapusan atau perubahan konfigurasi yang tidak disengaja atau berbahaya. Mengunci akun penyimpanan tidak mencegah data dalam akun tersebut dihapus. Ini hanya mencegah akun itu sendiri dihapus. Untuk informasi selengkapnya, lihat Terapkan kunci Azure Resource Manager ke akun penyimpanan.
Simpan data bisnis kritis dalam blob imutabel
Konfigurasikan penahanan legal dan kebijakan retensi berbasis waktu untuk menyimpan data blob dalam status WORM (Tulis Sekali, Baca Banyak). Selama durasi interval retensi, blob yang disimpan secara imutabel dapat dibaca, tetapi tidak dapat dimodifikasi atau dihapus. Untuk informasi selengkapnya, lihat Menyimpan data blob bisnis kritis dengan penyimpanan imutabel.
-
Memerlukan transfer aman (HTTPS) ke akun penyimpanan
Ketika Anda memerlukan transfer aman untuk akun penyimpanan, semua permintaan ke akun penyimpanan harus dilakukan melalui HTTPS. Setiap permintaan yang dibuat melalui HTTP ditolak. Microsoft menyarankan agar Anda selalu memerlukan transfer aman untuk semua akun penyimpanan Anda. Untuk informasi selengkapnya, lihat Memerlukan transfer aman untuk memastikan koneksi aman.
-
Batasi token tanda tangan akses bersama (SAS) hanya untuk koneksi HTTPS
Secara default, pengguna yang berwenang diizinkan untuk mengonfigurasi kebijakan replikasi objek di mana akun sumber berada dalam satu penyewa Microsoft Entra dan akun tujuan berada di penyewa yang berbeda. Larang replikasi objek lintas penyewa untuk mengharuskan akun sumber dan tujuan yang berpartisipasi dalam kebijakan replikasi objek berada di penyewa yang sama. Untuk informasi selengkapnya, lihat Mencegah replikasi objek di seluruh penyewa Microsoft Entra.
-
Pengelolaan identitas dan akses
Rekomendasi
Komentar
Defender for Cloud
Menggunakan ID Microsoft Entra untuk mengotorisasi akses ke data blob
MICROSOFT Entra ID menyediakan keamanan yang unggul dan kemudahan penggunaan melalui Kunci Bersama untuk mengotorisasi permintaan ke penyimpanan Blob. Untuk informasi selengkapnya, lihat Mengotorisasi akses ke data di Azure Storage.
-
Perlu diingat prinsip hak istimewa paling sedikit saat menetapkan izin ke prinsip keamanan Microsoft Entra melalui Azure RBAC
Saat menetapkan peran kepada pengguna, grup, atau aplikasi, berikan prinsip keamanan izin saja yang diperlukan bagi mereka untuk melakukan tugas mereka. Membatasi akses ke sumber daya membantu mencegah penyalahgunaan data Anda yang secara tidak disengaja dan berbahaya.
-
Gunakan delegasi pengguna SAS untuk memberikan akses terbatas ke data blob kepada klien
SAS delegasi pengguna diamankan dengan kredensial Microsoft Entra dan juga oleh izin yang ditentukan untuk SAS. Delegasi pengguna SAS dianalogikan dengan layanan SAS dalam hal ruang lingkup dan fungsinya, tetapi menawarkan manfaat keamanan atas layanan SAS. Untuk informasi selengkapnya, lihat Berikan akses terbatas ke sumber daya Azure Storage menggunakan tanda tangan akses bersama (SAS).
-
Amankan kunci akses akun Anda dengan Azure Key Vault
Microsoft merekomendasikan penggunaan ID Microsoft Entra untuk mengotorisasi permintaan ke Azure Storage. Namun, jika Anda harus menggunakan otorisasi Shared Key, maka amankan kunci akun Anda dengan Azure Key Vault. Anda dapat mengambil kunci dari brankas kunci pada waktu proses, alih-alih menyimpannya dengan aplikasi Anda. Untuk informasi gambaran umum tentang Azure Key Vault, lihat Gambaran umum Azure Key Vault.
-
Regenerasikan kunci akun Anda secara berkala
Merotasi kunci akun secara berkala mengurangi risiko mengekspos data Anda ke aktor jahat.
-
Larang otorisasi Kunci Bersama
Saat Anda melarang otorisasi Kunci Bersama untuk akun penyimpanan, Azure Storage menolak semua permintaan berikutnya ke akun tersebut yang diotorisasi dengan kunci akses akun. Hanya permintaan aman yang diotorisasi dengan ID Microsoft Entra yang akan berhasil. Untuk informasi selengkapnya, lihat Mencegah otorisasi Kunci Bersama untuk akun Azure Storage.
-
Perlu diingat prinsip hak istimewa paling sedikit saat menetapkan izin ke SAS
Saat membuat SAS, tentukan hanya izin yang diperlukan oleh klien untuk menjalankan fungsinya. Membatasi akses ke sumber daya membantu mencegah penyalahgunaan data Anda yang secara tidak disengaja dan berbahaya.
-
Memiliki rencana pencabutan yang siap digunakan untuk SAS apa pun yang Anda berikan kepada klien
Jika SAS terkompromi, Anda harus mencabut SAS itu sesegera mungkin. Untuk mencabut delegasi pengguna SAS, cabut kunci delegasi pengguna untuk membatalkan semua tanda tangan yang terkait dengan kunci tersebut dengan cepat. Untuk mencabut SAS layanan yang terkait dengan kebijakan akses tersimpan, Anda dapat menghapus kebijakan akses yang tersimpan, mengganti nama kebijakan, atau mengubah waktu kedaluwarsanya menjadi waktu yang ada di masa lalu. Untuk informasi selengkapnya, lihat Berikan akses terbatas ke sumber daya Azure Storage menggunakan tanda tangan akses bersama (SAS).
-
Jika layanan SAS tidak terkait dengan kebijakan akses yang disimpan, atur waktu kedaluwarsa menjadi satu jam atau kurang
Layanan SAS yang tidak terkait dengan kebijakan akses tersimpan tidak dapat dicabut. Untuk alasan ini, membatasi waktu kedaluwarsa sehingga SAS berlaku selama satu jam atau kurang dianjurkan.
-
Menonaktifkan akses baca anonim ke kontainer dan blob
akses baca anonim ke kontainer dan blobnya memberikan akses baca-saja ke sumber daya tersebut ke klien mana pun. Hindari mengaktifkan akses baca anonim kecuali skenario Anda memerlukannya. Untuk mempelajari cara menonaktifkan akses anonim untuk akun penyimpanan, lihat Gambaran Umum: Memulihkan akses baca anonim untuk data blob.
-
Jaringan
Rekomendasi
Komentar
Defender for Cloud
Konfigurasikan versi minimum Transport Layer Security (TLS) yang diperlukan untuk akun penyimpanan.
Aktifkan opsi Wajib transfer aman di semua akun penyimpanan Anda
Saat Anda mengaktifkan opsi Wajib transfer aman, semua permintaan yang dibuat terhadap akun penyimpanan harus dilakukan melalui koneksi yang aman. Permintaan apa pun yang dibuat melalui HTTP akan gagal. Untuk informasi selengkapnya, lihat Memerlukan transfer aman di Azure Storage.
Konfigurasikan aturan firewall untuk membatasi akses ke akun penyimpanan Anda untuk permintaan yang berasal dari alamat atau rentang IP tertentu, atau dari daftar subnet di Azure Virtual Network (VNet). Untuk informasi selengkapnya tentang mengonfigurasi aturan firewall, lihat Konfigurasikan firewall Azure Storage dan jaringan virtual.
-
Izinkan layanan Microsoft tepercaya untuk mengakses akun penyimpanan ini
Mengaktifkan aturan firewall untuk akun penyimpanan Anda memblokir permintaan data yang masuk secara default, kecuali permintaan berasal dari layanan yang beroperasi dalam Azure Virtual Network (VNet) atau dari alamat IP publik yang diizinkan. Permintaan yang diblokir termasuk yang berasal dari layanan Azure lainnya, dari portal Microsoft Azure, dari layanan pembuatan log dan metrik, dan sebagainya. Anda dapat mengizinkan permintaan dari layanan Azure lainnya dengan menambah pengecualian untuk memungkinkan layanan Microsoft tepercaya mengakses akun penyimpanan. Untuk informasi selengkapnya tentang menambah pengecualian untuk layanan Microsoft tepercaya, lihat Konfigurasikan firewall Azure Storage dan jaringan virtual.
-
Menggunakan titik akhir privat
Titik akhir privat menetapkan alamat IP pribadi dari Azure Virtual Network (VNet) Anda ke akun penyimpanan. Ini mengamankan semua lalu lintas antara VNet Anda dan akun penyimpanan melalui tautan privat. Untuk informasi selengkapnya tentang titik akhir privat, lihat Koneksikan secara privat ke akun penyimpanan menggunakan Azure Private Endpoint.
-
Gunakan tag layanan VNet
Tag layanan mewakili sekelompok awalan alamat IP dari layanan Azure tertentu. Microsoft mengelola awalan alamat yang dicakup oleh tag layanan dan secara otomatis memperbarui tag layanan saat alamat berubah. Untuk informasi selengkapnya tentang tag layanan yang didukung oleh Azure Storage, lihat Gambaran umum tag layanan Azure. Untuk tutorial yang memperlihatkan cara menggunakan tag layanan untuk membuat aturan jaringan keluar, lihat Batasi akses ke sumber daya PaaS.
-
Batasi akses jaringan ke jaringan tertentu
Membatasi akses jaringan ke jaringan yang menghosting klien yang memerlukan akses mengurangi paparan sumber daya Anda terhadap serangan jaringan.
Anda dapat mengonfigurasi preferensi perutean jaringan akun penyimpanan Azure Anda untuk menentukan bagaimana lalu lintas jaringan dirutekan ke akun Anda dari klien melalui Internet menggunakan jaringan global Microsoft atau perutean Internet. Untuk informasi selengkapnya, lihat Konfigurasikan preferensi perutean jaringan untuk Azure Storage.
Konfigurasikan peringatan log untuk mengevaluasi log sumber daya pada frekuensi yang ditetapkan dan memberi peringatan berdasarkan hasilnya. Untuk informasi lebih lengkap, lihat Peringatan log dalam Azure Monitor.