Rekomendasi keamanan untuk penyimpanan Blob

Artikel ini berisi rekomendasi keamanan untuk penyimpanan Blob. Menerapkan rekomendasi ini akan membantu Anda memenuhi kewajiban keamanan Anda seperti yang dijelaskan dalam model tanggung jawab bersama kami. Untuk informasi selengkapnya tentang bagaimana Microsoft memenuhi tanggung jawab penyedia layanan, lihat Tanggung jawab bersama di awan.

Beberapa rekomendasi yang disertakan dalam artikel ini dapat secara otomatis dipantau oleh Pertahanan Microsoft untuk Cloud, yang merupakan garis pertahanan pertama dalam melindungi sumber daya Anda di Azure. Untuk mempelajari Pertahanan Microsoft untuk Cloud selengkapnya, lihat Apa itu Pertahanan Microsoft untuk Cloud?

Pertahanan Microsoft untuk Cloud secara berkala menganalisis keadaan keamanan sumber daya Azure Anda untuk mengidentifikasi potensi kerentanan keamanan. Ini kemudian memberi Anda rekomendasi tentang cara mengatasinya. Untuk informasi selengkapnya tentang rekomendasi Microsoft Defender untuk Cloud, lihat Meninjau rekomendasi keamanan.

Perlindungan data

Rekomendasi Komentar Defender for Cloud
Gunakan model penyebaran Resource Manager Buat akun penyimpanan baru menggunakan model penyebaran Azure Resource Manager untuk peningkatan keamanan penting, termasuk kontrol akses berbasis peran Azure yang unggul (Azure RBAC) dan audit, penerapan serta tata kelola berbasis Resource Manager, akses ke identitas terkelola, akses ke Azure Key Vault untuk rahasia, dan autentikasi serta otorisasi berbasis Azure AD untuk akses ke data dan sumber daya Azure Storage. Jika memungkinkan, migrasikan akun penyimpanan yang ada yang menggunakan model penyebaran klasik untuk menggunakan Azure Resource Manager. Untuk informasi selengkapnya tentang Azure Resource Manager, lihat Gambaran umum Azure Resource Manager. -
Aktifkan Pertahanan Microsoft untuk semua akun penyimpanan Anda Pertahanan Microsoft untuk Penyimpanan menyediakan lapisan tambahan inteligensi keamanan yang mendeteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi akun penyimpanan. Peringatan keamanan dipicu di Pertahanan Microsoft untuk Cloud ketika anomali dalam aktivitas terjadi dan juga dikirim melalui email ke administrator langganan, dengan detail aktivitas yang mencurigakan serta rekomendasi tentang cara menyelidiki dan memulihkan ancaman. Untuk informasi selengkapnya, lihat Mengonfigurasi Pertahanan Microsoft untuk Penyimpanan. Ya
Nyalakan penghapusan sementara untuk blob Penghapusan sementara untuk blob memungkinkan Anda memulihkan data blob setelah dihapus. Untuk informasi selengkapnya tentang penghapusan blob sementara, lihat Penghapusan sementara untuk blob Azure Storage. -
Nyalakan penghapusan sementara untuk kontainer Penghapusan sementara untuk kontainer memungkinkan Anda memulihkan kontainer setelah dihapus. Untuk informasi selengkapnya tentang penghapusan sementara kontainer, lihat Penghapusan sementara untuk kontainer. -
Kunci akun penyimpanan untuk mencegah penghapusan atau perubahan konfigurasi yang tidak disengaja atau berbahaya Terapkan kunci Azure Resource Manager ke akun penyimpanan Anda untuk melindungi akun dari penghapusan atau perubahan konfigurasi yang tidak disengaja atau berbahaya. Mengunci akun penyimpanan tidak mencegah data dalam akun tersebut dihapus. Ini hanya mencegah akun itu sendiri dihapus. Untuk informasi selengkapnya, lihat Terapkan kunci Azure Resource Manager ke akun penyimpanan.
Simpan data bisnis kritis dalam blob imutabel Konfigurasikan penahanan legal dan kebijakan retensi berbasis waktu untuk menyimpan data blob dalam status WORM (Tulis Sekali, Baca Banyak). Selama durasi interval retensi, blob yang disimpan secara imutabel dapat dibaca, tetapi tidak dapat dimodifikasi atau dihapus. Untuk informasi selengkapnya, lihat Menyimpan data blob bisnis kritis dengan penyimpanan imutabel. -
Memerlukan transfer aman (HTTPS) ke akun penyimpanan Ketika Anda memerlukan transfer aman untuk akun penyimpanan, semua permintaan ke akun penyimpanan harus dilakukan melalui HTTPS. Setiap permintaan yang dibuat melalui HTTP ditolak. Microsoft menyarankan agar Anda selalu memerlukan transfer aman untuk semua akun penyimpanan Anda. Untuk informasi selengkapnya, lihat Memerlukan transfer aman untuk memastikan koneksi aman. -
Batasi token tanda tangan akses bersama (SAS) hanya untuk koneksi HTTPS Mengharuskan HTTPS ketika klien menggunakan token SAS untuk mengakses data antrean membantu meminimalkan risiko eavesdropping. Untuk informasi selengkapnya, lihat Berikan akses terbatas ke sumber daya Azure Storage menggunakan tanda tangan akses bersama (SAS). -

Pengelolaan identitas dan akses

Rekomendasi Komentar Defender for Cloud
Gunakan Azure Active Directory (Azure AD) untuk mengotorisasi akses ke data blob Azure AD menyediakan keamanan yang unggul dan kemudahan penggunaan melalui Shared Key untuk mengotorisasi permintaan ke penyimpanan Blob. Untuk informasi selengkapnya, lihat Mengotorisasi akses ke data di Azure Storage. -
Perlu diingat prinsip hak istimewa paling sedikit saat menetapkan izin ke prinsip keamanan Azure AD melalui Azure RBAC Saat menetapkan peran kepada pengguna, grup, atau aplikasi, berikan prinsip keamanan izin saja yang diperlukan bagi mereka untuk melakukan tugas mereka. Membatasi akses ke sumber daya membantu mencegah penyalahgunaan data Anda yang secara tidak disengaja dan berbahaya. -
Gunakan delegasi pengguna SAS untuk memberikan akses terbatas ke data blob kepada klien Delegasi pengguna SAS diamankan dengan kredensial Azure Active Directory (Azure AD) dan juga oleh izin yang ditentukan untuk SAS. Delegasi pengguna SAS dianalogikan dengan layanan SAS dalam hal ruang lingkup dan fungsinya, tetapi menawarkan manfaat keamanan atas layanan SAS. Untuk informasi selengkapnya, lihat Berikan akses terbatas ke sumber daya Azure Storage menggunakan tanda tangan akses bersama (SAS). -
Amankan kunci akses akun Anda dengan Azure Key Vault Microsoft merekomendasikan penggunaan Azure AD untuk mengotorisasi permintaan ke Azure Storage. Namun, jika Anda harus menggunakan otorisasi Shared Key, maka amankan kunci akun Anda dengan Azure Key Vault. Anda dapat mengambil kunci dari brankas kunci pada waktu proses, alih-alih menyimpannya dengan aplikasi Anda. Untuk informasi gambaran umum tentang Azure Key Vault, lihat Gambaran umum Azure Key Vault. -
Regenerasikan kunci akun Anda secara berkala Merotasi kunci akun secara berkala mengurangi risiko mengekspos data Anda ke aktor jahat. -
Larang otorisasi Kunci Bersama Saat Anda melarang otorisasi Kunci Bersama untuk akun penyimpanan, Azure Storage menolak semua permintaan berikutnya ke akun tersebut yang diotorisasi dengan kunci akses akun. Hanya permintaan aman yang diotorisasi dengan Azure AD yang akan berhasil. Untuk informasi selengkapnya, lihat Mencegah otorisasi Kunci Bersama untuk akun Azure Storage. -
Perlu diingat prinsip hak istimewa paling sedikit saat menetapkan izin ke SAS Saat membuat SAS, tentukan hanya izin yang diperlukan oleh klien untuk menjalankan fungsinya. Membatasi akses ke sumber daya membantu mencegah penyalahgunaan data Anda yang secara tidak disengaja dan berbahaya. -
Memiliki rencana pencabutan yang siap digunakan untuk SAS apa pun yang Anda berikan kepada klien Jika SAS terkompromi, Anda harus mencabut SAS itu sesegera mungkin. Untuk mencabut delegasi pengguna SAS, cabut kunci delegasi pengguna untuk membatalkan semua tanda tangan yang terkait dengan kunci tersebut dengan cepat. Untuk mencabut SAS layanan yang terkait dengan kebijakan akses tersimpan, Anda dapat menghapus kebijakan akses yang tersimpan, mengganti nama kebijakan, atau mengubah waktu kedaluwarsanya menjadi waktu yang ada di masa lalu. Untuk informasi selengkapnya, lihat Berikan akses terbatas ke sumber daya Azure Storage menggunakan tanda tangan akses bersama (SAS). -
Jika layanan SAS tidak terkait dengan kebijakan akses yang disimpan, atur waktu kedaluwarsa menjadi satu jam atau kurang Layanan SAS yang tidak terkait dengan kebijakan akses tersimpan tidak dapat dicabut. Untuk alasan ini, membatasi waktu kedaluwarsa sehingga SAS berlaku selama satu jam atau kurang dianjurkan. -
Nonaktifkan akses baca publik anonim ke kontainer dan blob Akses baca publik anonim ke kontainer dan blobnya memberikan klien mana pun akses baca-saja ke sumber daya tersebut. Hindari mengaktifkan akses baca publik kecuali skenario Anda memerlukannya. Untuk mempelajari cara menonaktifkan akses publik anonim untuk akun penyimpanan, lihat Gambaran Umum: Memulihkan akses baca publik anonim untuk data blob. -

Jaringan

Rekomendasi Komentar Defender for Cloud
Konfigurasikan versi minimum Transport Layer Security (TLS) yang diperlukan untuk akun penyimpanan. Wajibkan klien menggunakan versi TLS yang lebih aman untuk membuat permintaan terhadap akun Azure Storage dengan mengonfigurasi versi minimum TLS untuk akun tersebut. Untuk informasi selengkapnya, lihat Konfigurasikan versi minimum Transport Layer Security (TLS) yang diperlukan untuk akun penyimpanan -
Aktifkan opsi Wajib transfer aman di semua akun penyimpanan Anda Saat Anda mengaktifkan opsi Wajib transfer aman, semua permintaan yang dibuat terhadap akun penyimpanan harus dilakukan melalui koneksi yang aman. Permintaan apa pun yang dibuat melalui HTTP akan gagal. Untuk informasi selengkapnya, lihat Memerlukan transfer aman di Azure Storage. Ya
Aktifkan aturan firewall Konfigurasikan aturan firewall untuk membatasi akses ke akun penyimpanan Anda untuk permintaan yang berasal dari alamat atau rentang IP tertentu, atau dari daftar subnet di Azure Virtual Network (VNet). Untuk informasi selengkapnya tentang mengonfigurasi aturan firewall, lihat Konfigurasikan firewall Azure Storage dan jaringan virtual. -
Izinkan layanan Microsoft tepercaya untuk mengakses akun penyimpanan ini Mengaktifkan aturan firewall untuk akun penyimpanan Anda memblokir permintaan masuk untuk data secara default, kecuali permintaan berasal dari layanan yang beroperasi di dalam Azure Virtual Network (VNet) atau dari alamat IP publik yang diizinkan. Permintaan yang diblokir termasuk yang berasal dari layanan Azure lainnya, dari portal Azure, dari layanan pembuatan log dan metrik, dan sebagainya. Anda dapat mengizinkan permintaan dari layanan Azure lainnya dengan menambah pengecualian untuk memungkinkan layanan Microsoft tepercaya mengakses akun penyimpanan. Untuk informasi selengkapnya tentang menambah pengecualian untuk layanan Microsoft tepercaya, lihat Konfigurasikan firewall Azure Storage dan jaringan virtual. -
Gunakan titik akhir privat Titik akhir privat menetapkan alamat IP pribadi dari Azure Virtual Network (VNet) Anda ke akun penyimpanan. Ini mengamankan semua lalu lintas antara VNet Anda dan akun penyimpanan melalui tautan privat. Untuk informasi selengkapnya tentang titik akhir privat, lihat Koneksikan secara privat ke akun penyimpanan menggunakan Azure Private Endpoint. -
Gunakan tag layanan VNet Tag layanan mewakili sekelompok awalan alamat IP dari layanan Azure tertentu. Microsoft mengelola awalan alamat yang dicakup oleh tag layanan dan secara otomatis memperbarui tag layanan saat alamat berubah. Untuk informasi selengkapnya tentang tag layanan yang didukung oleh Azure Storage, lihat Gambaran umum tag layanan Azure. Untuk tutorial yang memperlihatkan cara menggunakan tag layanan untuk membuat aturan jaringan keluar, lihat Batasi akses ke sumber daya PaaS. -
Batasi akses jaringan ke jaringan tertentu Membatasi akses jaringan ke jaringan yang menghosting klien yang memerlukan akses mengurangi paparan sumber daya Anda terhadap serangan jaringan. Ya
Konfigurasikan preferensi perutean jaringan Anda dapat mengonfigurasi preferensi perutean jaringan akun penyimpanan Azure Anda untuk menentukan bagaimana lalu lintas jaringan dirutekan ke akun Anda dari klien melalui Internet menggunakan jaringan global Microsoft atau perutean Internet. Untuk informasi selengkapnya, lihat Konfigurasikan preferensi perutean jaringan untuk Azure Storage. -

Pengelogan/Pemantauan

Rekomendasi Komentar Defender for Cloud
Lacak bagaimana permintaan diotorisasi Aktifkan pengelogan Azure Storage untuk melacak bagaimana setiap permintaan yang dibuat terhadap Azure Storage diotorisasi. Log menunjukkan apakah permintaan dibuat secara anonim, menggunakan token OAuth 2.0, menggunakan Kunci Bersama, atau menggunakan tanda tangan akses bersama (SAS). Untuk informasi selengkapnya, lihat Memantau Azure Blob Storage dengan Azure Monitor atau pengelogan analitik Azure Storage dengan Pemantauan Klasik. -
Atur peringatan di Azure Monitor Konfigurasikan peringatan log untuk mengevaluasi log sumber daya pada frekuensi yang ditetapkan dan memberi peringatan berdasarkan hasilnya. Untuk informasi lebih lengkap, lihat Peringatan log dalam Azure Monitor. -

Langkah berikutnya