Blob Storage のセキュリティに関する推奨事項を検討する
BLOB ストレージを使用する場合は、以下のセキュリティに関する推奨事項を考慮する必要があります。
データ保護
- Azure Resource Manager デプロイ モデルを使用します。
- すべてのストレージ アカウントで Azure Defender を有効にします。
- BLOB の論理的な削除を有効にします。
- コンテナーの論理的な削除を有効にします。
- 不注意または悪意による削除や構成の変更を防ぐため、ストレージ アカウントをロックします。
- ビジネス クリティカルなデータは不変 BLOB に格納します。
- ストレージ アカウントにはセキュリティで保護された転送 (HTTPS) を必要にします。
- Shared Access Signature (SAS) トークンを HTTPS 接続のみに制限します。
ID 管理とアクセス管理
- Microsoft Entra ID を使って BLOB データへのアクセスを認可します。
- Azure RBAC を介してアクセス許可を Microsoft Entra ID セキュリティ プリンシパルに割り当てる際には、最小特権の原則に留意してください。
- ユーザー委任 SAS を使って、BLOB データへの制限されたアクセス権をクライアントに付与します。
- Azure Key Vault でアカウント アクセス キーをセキュリティ保護します。
- アカウント キーを定期的に再生成します。
- 共有キーによる承認を禁止します。
- SAS にアクセス許可を割り当てるときは、最小限の特権の原則に留意します。
- クライアントに発行する SAS に対して失効計画を設けます。
- 格納されるアクセス ポリシーにサービス SAS が関連付けされていない場合は、有効期限を 1 時間以下に設定します。
- コンテナーと BLOB への匿名パブリック読み取りアクセスを無効にします。
ネットワーク
- ストレージ アカウントに必要な最小バージョンのトランスポート層セキュリティ (TLS) を構成します。
- すべてのストレージ アカウントで "安全な転送が必須" オプションを有効にします。
- ファイアウォール規則を有効にします。
- 信頼された Microsoft サービスによるストレージ アカウントへのアクセスを許可します。
- プライベート エンドポイントを使用する。
- 仮想ネットワーク サービス タグを使用します。
- 特定のネットワークにネットワーク アクセスを制限します。
- ネットワーク ルーティングの優先順位を構成します。
ログ記録と監視
- 要求が承認される方法を追跡します。
- Azure Monitor でアラートを設定します。