Akun Penyimpanan dan keamanan
Akun Microsoft Azure Storage ideal untuk beban kerja yang memerlukan waktu respons yang cepat dan konsisten dan/atau memiliki jumlah operasi masuk ke luar per detik (IOP) yang tinggi. Akun penyimpanan berisi semua objek data Azure Storage Anda, yang meliputi:
- Blobs
- Berbagi file
- Antrean
- Tabel
- Disk
Akun penyimpanan menyediakan kumpulan nama XML unik data Anda yang dapat diakses di mana saja di atas HTTP atau HTTPS.
Untuk informasi selengkapnya tentang berbagai jenis akun penyimpanan yang mendukung berbagai fitur, referensikan Jenis akun penyimpanan.
Untuk memahami bagaimana akun penyimpanan Azure meningkatkan keamanan untuk beban kerja aplikasi Anda, rujuk artikel berikut:
- Dasar keamanan Azure untuk Penyimpanan Azure
- Enkripsi Azure Storage untuk data tidak aktif
- Cara mengonfigurasi titik akhir privat untuk Microsoft Azure Storage
Bagian berikut mencakup pertimbangan desain, daftar periksa konfigurasi, dan opsi konfigurasi yang direkomendasikan khusus untuk akun penyimpanan dan keamanan Azure.
Mempertimbangkan rancangan
Akun penyimpanan Azure menyertakan pertimbangan desain berikut:
- Nama akun penyimpanan harus antara tiga dan 24 karakter dan mungkin berisi angka, dan huruf kecil saja.
- Untuk spesifikasi SLA saat ini, referensikan SLA untuk Akun Penyimpanan.
- Buka Redundansi Azure Storage untuk menentukan opsi redundansi yang terbaik untuk skenario tertentu.
- Nama akun penyimpanan harus unik di Azure. Tidak ada dua akun penyimpanan yang dapat memiliki nama yang sama.
Daftar periksa
Sudahkah Anda mengonfigurasi Akun Azure Storage Anda dengan mempertimbangkan keamanan?
- Aktifkan Azure Defender untuk semua akun penyimpanan Anda.
- Nyalakan penghapusan lunak untuk data blob.
- Gunakan ID Microsoft Entra untuk mengotorisasi akses ke data blob.
- Pertimbangkan prinsip hak istimewa paling sedikit saat Anda menetapkan izin ke prinsip keamanan Microsoft Entra melalui Azure RBAC.
- Gunakan identitas terkelola untuk mengakses data blob dan antrean.
- Gunakan versi blob atau blob yang tidak dapat diubah untuk menyimpan data penting bisnis.
- Batasi akses internet default untuk akun penyimpanan.
- Aktifkan aturan firewall.
- Batasi akses jaringan ke jaringan tertentu.
- Izinkan layanan Microsoft tepercaya untuk mengakses akun penyimpanan.
- Aktifkan opsi Diperlukan transfer aman di semua akun penyimpanan Anda.
- Batasi token tanda tangan akses bersama (SAS) hanya untuk
HTTPSkoneksi. - Hindari dan cegah penggunaan otorisasi Kunci Bersama untuk mengakses akun penyimpanan.
- Regenerasi kunci akun Anda secara berkala.
- Buat rencana pencabutan dan siapkan untuk setiap SAS yang Anda keluarkan kepada klien.
- Gunakan waktu kedaluwarsa jangka pendek pada SAS dadakan, SAS layanan, atau SAS akun.
Rekomendasi konfigurasi
Pertimbangkan rekomendasi berikut untuk mengoptimalkan keamanan saat mengonfigurasi Akun Azure Storage Anda:
| Rekomendasi | Deskripsi |
|---|---|
| Aktifkan Azure Defender untuk semua akun penyimpanan Anda. | Azure Defender untuk Azure Storage menyediakan lapisan tambahan intelijen keamanan yang mendeteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi akun penyimpanan. Peringatan keamanan dipicu di Azure Security Center saat anomali pada aktivitas terjadi. Peringatan juga dikirim melalui email ke administrator langganan, dengan rincian aktivitas mencurigakan dan rekomendasi tentang cara menyelidiki, dan memulihkan ancaman. Untuk informasi selengkapnya, referensikan Konfigurasikan Azure Defender untuk Azure Storage. |
| Nyalakan penghapusan lunak untuk data blob. | Penghapusan sementara untuk blob Azure Storage memungkinkan Anda memulihkan data blob setelah dihapus. |
| Gunakan ID Microsoft Entra untuk mengotorisasi akses ke data blob. | Microsoft Entra ID memberikan keamanan yang unggul dan kemudahan penggunaan melalui Kunci Bersama untuk mengotorisasi permintaan ke penyimpanan blob. Disarankan untuk menggunakan otorisasi Microsoft Entra dengan aplikasi blob dan antrean Anda jika memungkinkan untuk meminimalkan potensi kerentanan keamanan yang melekat pada Kunci Bersama. Untuk informasi selengkapnya, referensi Otorisasi akses ke blob dan antrean Azure menggunakan ID Microsoft Entra. |
| Pertimbangkan prinsip hak istimewa paling sedikit saat Anda menetapkan izin ke prinsip keamanan Microsoft Entra melalui Azure RBAC. | Saat menetapkan peran kepada pengguna, grup, atau aplikasi, berikan prinsipal keamanan tersebut hanya izin yang diperlukan bagi mereka untuk menyelesaikan tugas mereka. Membatasi akses ke sumber daya membantu mencegah penyalahgunaan data Anda yang secara tidak disengaja dan berbahaya. |
| Gunakan identitas terkelola untuk mengakses data blob dan antrean. | Penyimpanan Azure Blob dan Antrean mendukung autentikasi Microsoft Entra dengan identitas terkelola untuk sumber daya Azure. Identitas terkelola untuk sumber daya Azure dapat mengotorisasi akses ke data blob dan antrean menggunakan kredensial Microsoft Entra dari aplikasi yang berjalan di komputer virtual (VM) Azure, aplikasi fungsi, set skala komputer virtual, dan layanan lainnya. Dengan menggunakan identitas terkelola untuk sumber daya Azure bersama dengan autentikasi Microsoft Entra, Anda dapat menghindari penyimpanan kredensial dengan aplikasi Anda yang berjalan di cloud dan masalah dengan perwakilan layanan yang kedaluwarsa. Lihat Otorisasi akses ke data blob dan antrean dengan identitas terkelola untuk sumber daya Azure untuk mengetahui informasi selengkapnya. |
| Gunakan versi blob atau blob yang tidak dapat diubah untuk menyimpan data penting bisnis. | Pertimbangkan untuk menggunakan Penerapan versi blob untuk mempertahankan versi objek sebelumnya atau penggunaan penahanan hukum dan kebijakan retensi berbasis waktu untuk menyimpan data blob dalam status WORM (Write Once, Read Many). Blob yang tidak dapat diubah dapat dibaca, tatpi tidak dapat dimodifikasi atau dihapus selama interval retensi. Untuk informasi selengkapnya, referensikan Menyimpan data blob bisnis kritis dengan penyimpanan tetap. |
| Batasi akses internet default untuk akun penyimpanan. | Secara default, akses jaringan ke Akun Penyimpanan tidak dibatasi dan terbuka untuk semua lalu lintas yang berasal dari internet. Akses ke akun penyimpanan akan diberikan ke Azure Virtual Networks tertentu hanya jika memungkinkan atau menggunakan titik akhir privat untuk memungkinkan klien di jaringan virtual (VNet) mengakses data dengan aman melalui Private Link. Untuk mendapatkan informasi selengkapnya, referensikan Menggunakan titik akhir privat untuk Azure Storage. Pengecualian dapat dibuat untuk Akun Penyimpanan yang perlu diakses melalui internet. |
| Aktifkan aturan firewall. | Konfigurasikan aturan firewall untuk membatasi akses ke akun penyimpanan Anda untuk permintaan yang berasal dari alamat atau rentang IP tertentu, atau dari daftar subnet di Azure Virtual Network (VNet). Untuk informasi selengkapnya tentang mengonfigurasi aturan firewall, referensikan Konfigurasikan firewall Azure Storage dan jaringan virtual. |
| Batasi akses jaringan ke jaringan tertentu. | Membatasi akses jaringan ke jaringan yang menghosting klien yang membutuhkan akses mengurangi paparan sumber daya Anda terhadap serangan jaringan baik dengan menggunakan fungsi Firewall dan jaringan virtual bawaan atau dengan menggunakan titik akhir privat. |
| Izinkan layanan Microsoft tepercaya untuk mengakses akun penyimpanan. | Mengaktifkan aturan firewall untuk akun penyimpanan akan memblokir permintaan data yang masuk secara default, kecuali permintaan tersebut berasal dari layanan yang beroperasi dalam Azure Virtual Network (VNet) atau dari alamat IP publik yang diizinkan. Permintaan yang diblokir termasuk permintaan dari layanan Azure lainnya, dari portal Microsoft Azure, dari layanan pengelogan dan metrik, dan sebagainya. Anda dapat mengizinkan permintaan dari layanan Azure lainnya dengan menambah pengecualian untuk memungkinkan layanan Microsoft tepercaya mengakses akun penyimpanan. Untuk informasi selengkapnya tentang menambah pengecualian untuk layanan Microsoft tepercaya, referensikan Konfigurasikan firewall Azure Storage dan jaringan virtual. |
| Aktifkan opsi Diperlukan transfer aman di semua akun penyimpanan Anda. | Saat Anda mengaktifkan opsi Wajib transfer aman, semua permintaan yang dibuat terhadap akun penyimpanan harus dilakukan melalui koneksi yang aman. Permintaan apa pun yang dibuat melalui HTTP akan gagal. Untuk informasi selengkapnya, referensikan Memerlukan transfer aman di Azure Storage. |
Batasi token tanda tangan akses bersama (SAS) hanya untuk HTTPS koneksi. |
Mengharuskan HTTPS ketika klien menggunakan token SAS untuk mengakses data blob membantu meminimalkan risiko penyadapan. Untuk informasi selengkapnya, referensikan Berikan akses terbatas ke sumber daya Azure Storage menggunakan tanda tangan akses bersama (SAS). |
| Hindari dan cegah penggunaan otorisasi Kunci Bersama untuk mengakses akun penyimpanan. | Disarankan untuk menggunakan ID Microsoft Entra untuk mengotorisasi permintaan ke Azure Storage dan untuk mencegah Otorisasi Kunci Bersama. Untuk skenario yang memerlukan otorisasi Kunci Bersama, selalu pilih token SAS alih-alih mendistribusikan Kunci Bersama. |
| Regenerasi kunci akun Anda secara berkala. | Merotasi kunci akun secara berkala mengurangi risiko mengekspos data Anda ke aktor jahat. |
| Buat rencana pencabutan dan siapkan untuk setiap SAS yang Anda keluarkan kepada klien. | Jika SAS disusupi, Anda harus segera mencabut SAS itu. Untuk mencabut delegasi pengguna SAS, cabut kunci delegasi pengguna untuk membatalkan semua tanda tangan yang terkait dengan kunci tersebut dengan cepat. Untuk mencabut SAS layanan yang terkait dengan kebijakan akses tersimpan, Anda dapat menghapus kebijakan akses tersimpan, mengganti nama kebijakan, atau mengubah waktu kedaluwarsanya ke waktu yang sudah berlalu. |
| Gunakan waktu kedaluwarsa jangka pendek pada SAS dadakan, SAS layanan, atau SAS akun. | Jika SAS disusupi, itu hanya berlaku untuk waktu yang singkat. Praktik ini sangat penting jika Anda tidak dapat merujuk kebijakan akses yang disimpan. Waktu kedaluwarsa jangka pendek juga membatasi jumlah data yang dapat ditulis ke blob dengan membatasi waktu yang tersedia untuk mengunggahnya. Klien harus memperbarui SAS jauh sebelum kedaluwarsa agar memiliki waktu untuk mencoba kembali jika layanan yang menyediakan SAS tidak tersedia. |
Langkah selanjutnya
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk