Bagikan melalui


Garis besar keamanan Azure untuk Penyimpanan

Garis besar keamanan ini menerapkan panduan dari tolok ukur keamanan cloud Microsoft versi 1.0 ke Penyimpanan. Tolok ukur keamanan cloud Microsoft memberikan rekomendasi tentang bagaimana Anda dapat mengamankan solusi cloud Anda di Azure. Konten dikelompokkan menurut kontrol keamanan yang ditentukan oleh tolok ukur keamanan cloud Microsoft dan panduan terkait yang berlaku untuk Penyimpanan.

Anda dapat memantau garis besar keamanan ini dan rekomendasinya menggunakan Microsoft Defender untuk Cloud. definisi Azure Policy akan tercantum di bagian Kepatuhan Terhadap Peraturan di halaman portal Microsoft Defender untuk Cloud.

Ketika fitur memiliki Definisi Azure Policy yang relevan, fitur tersebut tercantum dalam garis besar ini untuk membantu Anda mengukur kepatuhan dengan kontrol dan rekomendasi tolok ukur keamanan cloud Microsoft. Beberapa rekomendasi mungkin memerlukan paket Microsoft Defender berbayar untuk mengaktifkan skenario keamanan tertentu.

Catatan

Fitur yang tidak berlaku untuk Penyimpanan telah dikecualikan. Untuk melihat bagaimana Storage memetakan sepenuhnya ke tolok ukur keamanan cloud Microsoft, lihat file pemetaan garis besar keamanan Penyimpanan lengkap.

Profil keamanan

Profil keamanan merangkum perilaku Penyimpanan berdampak tinggi, yang dapat mengakibatkan peningkatan pertimbangan keamanan.

Atribut Perilaku Layanan Nilai
Kategori Produk Penyimpanan
Pelanggan dapat mengakses HOST / OS Tidak Ada Akses
Layanan dapat disebarkan ke jaringan virtual pelanggan True
Menyimpan konten pelanggan saat tidak aktif True

Keamanan jaringan

Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Keamanan jaringan.

NS-1: Membangun batas segmentasi jaringan

Fitur

Integrasi Jaringan Virtual

Deskripsi: Layanan mendukung penyebaran ke Virtual Network privat pelanggan (VNet). Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
FALSE Tidak berlaku Tidak berlaku

Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.

NS-2: Mengamankan layanan cloud dengan kontrol jaringan

Fitur

Deskripsi: Kemampuan pemfilteran IP asli layanan untuk memfilter lalu lintas jaringan (tidak bingung dengan NSG atau Azure Firewall). Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True FALSE Pelanggan

Panduan Konfigurasi: Sebarkan titik akhir privat untuk Azure Storage guna membuat titik akses privat untuk sumber daya.

Referensi: Menggunakan titik akhir privat untuk Azure Storage

Menonaktifkan Akses Jaringan Publik

Deskripsi: Layanan mendukung penonaktifan akses jaringan publik baik melalui menggunakan aturan pemfilteran IP ACL tingkat layanan (bukan NSG atau Azure Firewall) atau menggunakan sakelar pengalih 'Nonaktifkan Akses Jaringan Publik'. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True FALSE Pelanggan

Panduan Konfigurasi: Nonaktifkan akses jaringan publik dengan menggunakan pemfilteran IP ACL tingkat layanan Azure Storage atau sakelar pengalih untuk akses jaringan publik.

Referensi: Mengubah aturan akses jaringan default

Manajemen identitas

Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Manajemen identitas.

IM-1: Menggunakan identitas dan sistem autentikasi terpusat

Fitur

Autentikasi Azure AD Diperlukan untuk Akses Sarana Data

Deskripsi: Layanan mendukung penggunaan autentikasi Azure AD untuk akses sarana data. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True True Microsoft

Catatan fitur: Penyimpanan menawarkan beberapa cara untuk mengotorisasi ke bidang data. Azure menyediakan kontrol akses berbasis peran Azure (Azure RBAC) untuk kontrol penuh atas akses klien ke sumber daya dalam akun penyimpanan. Gunakan kredensial Microsoft Azure Active Directory jika memungkinkan sebagai praktik terbaik keamanan, daripada menggunakan kunci akun, yang dapat lebih mudah disusupi. Saat desain aplikasi Anda memerlukan tanda tangan akses bersama untuk akses ke penyimpanan Blob, gunakan kredensial Azure AD untuk membuat tanda tangan akses bersama delegasi pengguna (SAS) jika memungkinkan untuk keamanan yang unggul.

Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.

Referensi: Mengotorisasi akses ke data di Azure Storage

Metode Autentikasi Lokal untuk Akses Data Plane

Deskripsi: Metode autentikasi lokal yang didukung untuk akses sarana data, seperti nama pengguna dan kata sandi lokal. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True FALSE Pelanggan

Catatan fitur: Hindari penggunaan metode atau akun autentikasi lokal, ini harus dinonaktifkan sedapat mungkin. Sebagai gantinya, gunakan Azure AD untuk mengautentikasi jika memungkinkan.

Panduan Konfigurasi: Batasi penggunaan metode autentikasi lokal untuk akses sarana data. Sebagai gantinya, gunakan Azure Active Directory (Azure AD) sebagai metode autentikasi default untuk mengontrol akses sarana data Anda.

Referensi: Model izin SFTP

IM-3: Mengelola identitas aplikasi dengan aman dan otomatis

Fitur

Identitas Terkelola

Deskripsi: Tindakan bidang data mendukung autentikasi menggunakan identitas terkelola. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True FALSE Pelanggan

Panduan Konfigurasi: Gunakan identitas terkelola Azure alih-alih perwakilan layanan jika memungkinkan, yang dapat mengautentikasi ke layanan dan sumber daya Azure yang mendukung autentikasi Azure Active Directory (Azure AD). Info masuk identitas terkelola sepenuhnya dikelola, diputar, dan dilindungi oleh platform, menghindari info masuk yang dikodekan secara permanen dalam kode sumber atau file konfigurasi.

Referensi: Mengotorisasi akses ke data blob dengan identitas terkelola untuk sumber daya Azure

Perwakilan Layanan

Deskripsi: Bidang data mendukung autentikasi menggunakan perwakilan layanan. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True FALSE Pelanggan

Panduan Tambahan: Dengan Azure AD, Anda dapat menggunakan kontrol akses berbasis peran Azure (Azure RBAC) untuk memberikan izin kepada prinsip keamanan, yang mungkin merupakan pengguna, grup, atau perwakilan layanan aplikasi. Prinsipal keamanan diautentikasi oleh Azure Active Directory untuk mengembalikan token OAuth 2.0. Token kemudian dapat digunakan untuk mengotorisasi permintaan terhadap Blob service.

Referensi: Mengotorisasi akses ke blob menggunakan Azure Active Directory

IM-7: Membatasi akses sumber daya berdasarkan kondisi

Fitur

Akses Bersyarah untuk Data Plane

Deskripsi: Akses sarana data dapat dikontrol menggunakan Kebijakan Akses Bersyarah Azure AD. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True FALSE Pelanggan

Panduan Konfigurasi: Tentukan kondisi dan kriteria yang berlaku untuk akses bersyarah Azure Active Directory (Azure AD) dalam beban kerja. Pertimbangkan kasus penggunaan umum seperti memblokir atau memberikan akses dari lokasi tertentu, memblokir perilaku masuk berisiko, atau mengharuskan perangkat yang dikelola organisasi untuk aplikasi tertentu.

Referensi: Melarang otorisasi Kunci Bersama untuk menggunakan Akses Bersyarat Azure AD

IM-8: Membatasi pemaparan info masuk dan rahasia

Fitur

Kredensial Layanan dan Rahasia Mendukung Integrasi dan Penyimpanan di Azure Key Vault

Deskripsi: Bidang data mendukung penggunaan asli Azure Key Vault untuk penyimpanan kredensial dan rahasia. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True FALSE Pelanggan

Panduan Konfigurasi: Pastikan bahwa rahasia dan kredensial disimpan di lokasi yang aman seperti Azure Key Vault, alih-alih menyematkannya ke dalam file kode atau konfigurasi.

Referensi: Mengelola kunci akun penyimpanan dengan Key Vault dan Azure CLI

Akses dengan hak istimewa

Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Akses istimewa.

PA-1: Memisahkan dan membatasi pengguna dengan hak istimewa tinggi/administratif

Fitur

Akun Admin Lokal

Deskripsi: Layanan memiliki konsep akun administratif lokal. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
FALSE Tidak berlaku Tidak berlaku

Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.

PA-7: Mengikuti prinsip administrasi yang cukup (prinsip hak istimewa paling rendah)

Fitur

Azure RBAC untuk Data Plane

Deskripsi: Azure Role-Based Access Control (Azure RBAC) dapat digunakan untuk mengelola akses ke tindakan sarana data layanan. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True FALSE Pelanggan

Panduan Konfigurasi: Azure Storage mendukung penggunaan Azure Active Directory (Azure AD) untuk mengotorisasi permintaan ke data blob. Dengan Azure AD, Anda dapat menggunakan kontrol akses berbasis peran Azure (Azure RBAC) untuk memberikan izin kepada keamanan utama, yang mungkin merupakan pengguna, grup, atau perwakilan layanan aplikasi.

Mengotorisasi permintaan terhadap Azure Storage dengan Azure AD yang menyediakan keamanan unggul dan kemudahan penggunaan melalui otorisasi Kunci Bersama. Microsoft menyarankan penggunaan otorisasi Azure AD dengan aplikasi blob Anda jika memungkinkan untuk memastikan akses dengan hak istimewa minimum yang diperlukan.

Referensi: Mengotorisasi akses ke blob menggunakan Azure Active Directory

PA-8: Menentukan proses akses untuk dukungan penyedia cloud

Fitur

Customer Lockbox

Deskripsi: Customer Lockbox dapat digunakan untuk akses dukungan Microsoft. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True FALSE Pelanggan

Panduan Konfigurasi: Dalam skenario dukungan di mana Microsoft perlu mengakses data Anda, gunakan Customer Lockbox untuk meninjau, lalu menyetujui atau menolak setiap permintaan akses data Microsoft.

Referensi: Customer Lockbox

Perlindungan data

Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Perlindungan data.

DP-1: Menemukan, mengklasifikasikan, dan memberi label data sensitif

Fitur

Penemuan dan Klasifikasi Data Sensitif

Deskripsi: Alat (seperti Azure Purview atau Azure Information Protection) dapat digunakan untuk penemuan dan klasifikasi data dalam layanan. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True FALSE Pelanggan

Catatan fitur: Integrasi penyimpanan dengan Azure purview saat ini dalam pratinjau privat.

Panduan Konfigurasi: Gunakan Azure Purview untuk memindai, mengklasifikasikan, dan memberi label data sensitif apa pun yang berada di Azure Storage.

Referensi: Menyambungkan ke penyimpanan Azure Blob di Microsoft Purview

DP-2: Memantau anomali dan ancaman yang menargetkan data sensitif

Fitur

Pencegahan Kebocoran/Kehilangan Data

Deskripsi: Layanan mendukung solusi DLP untuk memantau pergerakan data sensitif (dalam konten pelanggan). Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True FALSE Pelanggan

Panduan Konfigurasi: Defender for Storage terus menganalisis aliran telemetri yang dihasilkan oleh layanan Azure Blob Storage dan Azure Files. Peringatan keamanan akan timbul ketika aktivitas yang berpotensi berbahaya terdeteksi. Peringatan ini ditampilkan di Microsoft Defender untuk Cloud, bersama dengan detail aktivitas mencurigakan yang disertai dengan langkah investigasi yang relevan, tindakan remediasi, dan rekomendasi keamanan.

Pertahanan Microsoft untuk Penyimpanan dibuat di dalam Pertahanan Microsoft untuk Cloud. Saat Anda mengaktifkan fitur keamanan Pertahanan Microsoft untuk Cloud yang disempurnakan di langganan Anda, Pertahanan Microsoft untuk Penyimpanan diaktifkan secara otomatis untuk semua akun penyimpanan Anda. Anda dapat mengaktifkan atau menonaktifkan Defender for Storage untuk akun penyimpanan individual di bawah langganan tertentu.

Referensi: Mengonfigurasi Microsoft Defender untuk Penyimpanan

DP-3: Mengenkripsi data sensitif saat transit

Fitur

Data dalam Enkripsi Transit

Deskripsi: Layanan mendukung enkripsi dalam transit data untuk bidang data. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True True Microsoft

Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.

Referensi: Terapkan versi minimum Keamanan Lapisan Transportasi (TLS) yang diperlukan untuk permintaan ke akun penyimpanan

DP-4: Mengaktifkan enkripsi data tidak aktif secara default

Fitur

Enkripsi Data tidak Aktif Menggunakan Kunci Platform

Deskripsi: Enkripsi data tidak aktif menggunakan kunci platform didukung, konten pelanggan apa pun saat tidak aktif dienkripsi dengan kunci yang dikelola Microsoft ini. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True True Microsoft

Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.

Referensi: Enkripsi Azure Storage untuk data tidak aktif

DP-5: Menggunakan opsi kunci yang dikelola pelanggan dalam enkripsi data tidak aktif saat diperlukan

Fitur

Enkripsi Data tidak Aktif Menggunakan CMK

Deskripsi: Enkripsi data saat tidak aktif menggunakan kunci yang dikelola pelanggan didukung untuk konten pelanggan yang disimpan oleh layanan. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True FALSE Pelanggan

Panduan Konfigurasi: Jika diperlukan untuk kepatuhan terhadap peraturan, tentukan kasus penggunaan dan cakupan layanan di mana enkripsi menggunakan kunci yang dikelola pelanggan diperlukan. Mengaktifkan dan menerapkan enkripsi data tidak aktif untuk data dalam cakupan menggunakan kunci yang dikelola pelanggan untuk Azure Storage

Referensi: Kunci yang dikelola pelanggan untuk enkripsi Azure Storage

DP-6: Menggunakan proses manajemen kunci yang aman

Fitur

Manajemen Kunci di Azure Key Vault

Deskripsi: Layanan ini mendukung integrasi Azure Key Vault untuk kunci, rahasia, atau sertifikat pelanggan apa pun. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True FALSE Pelanggan

Panduan Konfigurasi: Gunakan Azure Key Vault untuk membuat dan mengontrol siklus hidup kunci enkripsi Anda, termasuk pembuatan kunci, distribusi, dan penyimpanan. Putar dan cabut kunci Anda di Azure Key Vault dan layanan Anda berdasarkan jadwal yang ditentukan atau ketika ada penghentian atau penyusupan kunci. Ketika ada kebutuhan untuk menggunakan kunci yang dikelola pelanggan (CMK) dalam beban kerja, layanan, atau tingkat aplikasi, pastikan Anda mengikuti praktik terbaik untuk manajemen kunci: Gunakan hierarki kunci untuk menghasilkan kunci enkripsi data (DEK) terpisah dengan kunci enkripsi kunci (KEK) Anda di brankas kunci Anda. Pastikan kunci terdaftar di Azure Key Vault dan direferensikan melalui ID kunci dari layanan atau aplikasi. Jika Anda perlu membawa kunci Anda sendiri (BYOK) ke layanan (seperti mengimpor kunci yang dilindungi HSM dari HSM lokal Anda ke Azure Key Vault), ikuti panduan yang direkomendasikan untuk melakukan pembuatan kunci awal dan transfer kunci.

Referensi: Mengelola kunci akun penyimpanan dengan Key Vault dan Azure CLI

Manajemen Aset

Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Manajemen aset.

AM-2: Hanya menggunakan layanan yang disetujui

Fitur

Dukungan Azure Policy

Deskripsi: Konfigurasi layanan dapat dipantau dan diberlakukan melalui Azure Policy. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True FALSE Pelanggan

Panduan Konfigurasi: Tentukan dan terapkan konfigurasi keamanan standar untuk sumber daya jaringan yang terkait dengan Akun Azure Storage Anda dengan Azure Policy. Gunakan alias Kebijakan Azure di ruang nama "Microsoft.Storage" dan "Microsoft.Network" untuk membuat kebijakan kustom guna mengaudit atau menerapkan konfigurasi jaringan sumber daya akun Penyimpanan Anda.

Anda juga dapat menggunakan definisi kebijakan bawaan yang terkait dengan akun Penyimpanan, seperti: Akun Penyimpanan harus menggunakan titik akhir layanan jaringan virtual

Referensi: Azure Policy definisi bawaan untuk Azure Storage

Pengelogan dan Deteksi Ancaman

Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Pengelogan dan deteksi ancaman.

LT-1: Mengaktifkan kemampuan deteksi ancaman

Fitur

Microsoft Defender untuk Penawaran Layanan / Produk

Deskripsi: Layanan memiliki solusi Microsoft Defender khusus penawaran untuk memantau dan memperingatkan masalah keamanan. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True FALSE Pelanggan

Panduan Konfigurasi: Gunakan Microsoft Defender untuk Storage untuk menyediakan lapisan kecerdasan keamanan tambahan yang mendeteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi akun penyimpanan. Ini menggunakan kemampuan deteksi ancaman tingkat lanjut dan data Inteligensi Ancaman Microsoft untuk memberikan peringatan keamanan kontekstual. Peringatan tersebut juga mencakup langkah-langkah untuk mengurangi ancaman yang terdeteksi dan mencegah serangan di masa mendatang.

Referensi: Pengantar Microsoft Defender untuk Penyimpanan

LT-4: Mengaktifkan pengelogan untuk penyelidikan keamanan

Fitur

Log Sumber Daya Azure

Deskripsi: Layanan menghasilkan log sumber daya yang dapat menyediakan metrik dan pengelogan khusus layanan yang ditingkatkan. Pelanggan dapat mengonfigurasi log sumber daya ini dan mengirimnya ke sink data mereka sendiri seperti akun penyimpanan atau ruang kerja analitik log. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True FALSE Pelanggan

Panduan Konfigurasi: Menyerap log melalui Azure Monitor untuk mengagregasi data keamanan yang dihasilkan oleh perangkat titik akhir, sumber daya jaringan, dan sistem keamanan lainnya. Dalam Azure Monitor, gunakan Ruang Kerja Analitik Log untuk mengkueri dan melakukan analitik, dan menggunakan Akun Penyimpanan Azure untuk penyimpanan jangka panjang/arsip, secara opsional dengan fitur keamanan seperti penyimpanan yang tidak dapat diubah dan penahanan retensi yang diberlakukan.

Referensi: Azure Blob Storage pemantauan

Pencadangan dan Pemulihan

Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Pencadangan dan pemulihan.

BR-1: Pastikan pencadangan otomatis secara rutin

Fitur

Pencadangan Azure

Deskripsi: Layanan dapat dicadangkan oleh layanan Azure Backup. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True FALSE Pelanggan

Catatan fitur: Azure Backup saat ini hanya didukung untuk penyimpanan Azure Blob. Data antrean dan tabel dapat dicadangkan dengan menggunakan alat baris perintah AzCopy.

Panduan Konfigurasi: Aktifkan Azure Backup dan konfigurasikan sumber cadangan pada frekuensi yang diinginkan dan dengan periode retensi yang diinginkan. Azure Backup memungkinkan Anda dengan mudah mengonfigurasi cadangan operasional untuk melindungi blob blok di akun penyimpanan Anda. Cadangan blob dikonfigurasi pada tingkat akun penyimpanan. Jadi, semua blob di akun penyimpanan dilindungi melalui pencadangan operasional.

Anda dapat mengonfigurasi pencadangan untuk beberapa akun penyimpanan menggunakan Pusat Pencadangan. Anda juga dapat mengonfigurasi pencadangan untuk akun penyimpanan menggunakan properti Perlindungan Data dari akun penyimpanan.

Referensi: Gambaran umum pencadangan operasional untuk Azure Blobs

Kemampuan Pencadangan Asli Layanan

Deskripsi: Layanan mendukung kemampuan pencadangan aslinya sendiri (jika tidak menggunakan Azure Backup). Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True FALSE Pelanggan

Panduan Tambahan: Pencadangan operasional blob adalah solusi pencadangan lokal. Jadi data cadangan tidak ditransfer ke vault Backup, tetapi disimpan di akun penyimpanan sumber itu sendiri. Namun, vault Backup masih berfungsi sebagai unit pengelolaan cadangan. Selain itu, ini adalah solusi cadangan berkelanjutan, yang berarti bahwa Anda tidak perlu menjadwalkan pencadangan apa pun dan semua perubahan akan dipertahankan dan dapat dikembalikan dari kondisi pada point in time yang dipilih.

Referensi: Gambaran umum pencadangan operasional untuk Azure Blobs

Langkah berikutnya