Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Met Microsoft Azure Storage Explorer kunt u eenvoudig veilig en veilig met Azure Storage-gegevens werken in Windows, macOS en Linux. Door deze richtlijnen te volgen, kunt u ervoor zorgen dat uw gegevens beveiligd blijven.
Algemeen
- Gebruik altijd de nieuwste versie van Storage Explorer. Storage Explorer-releases kunnen beveiligingsupdates bevatten. Als u up-to-date blijft, zorgt u voor algemene beveiliging.
- Maak alleen verbinding met resources die u vertrouwt. Gegevens die u downloadt van niet-vertrouwde bronnen, kunnen schadelijk zijn en het uploaden van gegevens naar een niet-vertrouwde bron kan leiden tot verloren of gestolen gegevens.
- Gebruik WAAR mogelijk HTTPS. Storage Explorer maakt standaard gebruik van HTTPS. In sommige scenario's kunt u HTTP gebruiken, maar HTTP moet alleen worden gebruikt als laatste redmiddel.
- Zorg ervoor dat alleen de benodigde machtigingen worden verleend aan de personen die ze nodig hebben. Vermijd te veel machtigingen wanneer u iemand toegang verleent tot uw resources.
- Wees voorzichtig bij het uitvoeren van kritieke bewerkingen. Bepaalde bewerkingen, zoals verwijderen en overschrijven, kunnen onherstelbaar zijn en kunnen gegevensverlies veroorzaken. Zorg ervoor dat u met de juiste resources werkt voordat u deze bewerkingen uitvoert.
De juiste verificatiemethode kiezen
Storage Explorer biedt verschillende manieren om toegang te krijgen tot uw Azure Storage-resources. Welke methode u ook kiest, hier volgen onze aanbevelingen.
Microsoft Entra-verificatie
De eenvoudigste en veiligste manier om toegang te krijgen tot uw Azure Storage-resources is door u aan te melden met uw Azure-account. Aanmelden maakt gebruik van Microsoft Entra-verificatie, waarmee u het volgende kunt doen:
- Geef toegang tot specifieke gebruikers en groepen.
- De toegang tot specifieke gebruikers en groepen op elk gewenst moment intrekken.
- Toegangsvoorwaarden afdwingen, zoals meervoudige verificatie vereisen.
We raden u aan waar mogelijk Microsoft Entra-verificatie te gebruiken.
In deze sectie worden de twee op Microsoft Entra ID gebaseerde technologieën beschreven die kunnen worden gebruikt om uw opslagbronnen te beveiligen:
- op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC)
- ACL’s (toegangsbeheerlijsten)
Op rollen gebaseerd toegangsbeheer van Azure
Azure RBAC biedt gedetailleerde toegangsbeheer voor uw Azure-resources. Azure-rollen en -machtigingen kunnen worden beheerd vanuit Azure Portal.
Meer informatie over Azure RBAC; zie op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC).
Storage Explorer biedt ondersteuning voor Azure RBAC-toegang tot opslagaccounts, blobs, wachtrijen en tabellen. Als u toegang nodig hebt tot bestandsshares, moet u Azure-rollen toewijzen die machtigingen verlenen voor het weergeven van opslagaccountsleutels.
Toegangsbeheerlijsten
Met toegangsbeheerlijsten (ACL's) kunt u toegang op bestand- en mapniveau beheren in ADLS-blobcontainers. U kunt uw ACL's beheren met Storage Explorer.
Shared Access Signatures (SAS)
Als u Microsoft Entra-verificatie niet kunt gebruiken, raden we u aan handtekeningen voor gedeelde toegang te gebruiken. Met handtekeningen voor gedeelde toegang kunt u het volgende doen:
- Anonieme beperkte toegang bieden tot beveiligde resources.
- Een SAS onmiddellijk intrekken als deze wordt gegenereerd op basis van een beleid voor gedeelde toegang (SAP).
Met handtekeningen voor gedeelde toegang kunt u echter niet:
- Beperken wie een SAS kan gebruiken. Iedereen die een geldige SAS heeft, kan deze gebruiken.
- Een SAS intrekken als deze niet wordt gegenereerd op basis van een beleid voor gedeelde toegang (SAP).
Wanneer u SAS gebruikt in Storage Explorer, raden we de volgende richtlijnen aan:
- Beperk de distributie van SAS-tokens en URI's. Distribueer alleen SAS-tokens en URI's naar vertrouwde personen. Het beperken van sas-distributie vermindert de kans dat een SAS kan worden misbruikt.
- Gebruik alleen SAS-tokens en URI's van entiteiten die u vertrouwt.
- Gebruik indien mogelijk beleid voor gedeelde toegang (SAP) bij het genereren van SAS-tokens en URI's. Een SAS op basis van een beleid voor gedeelde toegang is veiliger dan een lege SAS, omdat de SAS kan worden ingetrokken door sap te verwijderen.
- Tokens genereren met minimale toegang tot resources en machtigingen. Minimale machtigingen beperken de mogelijke schade die kan worden veroorzaakt als een SAS wordt misbruikt.
- Genereer tokens die alleen geldig zijn zolang dit nodig is. Een korte levensduur is vooral belangrijk voor bare SAS, omdat er geen manier is om ze in te trekken nadat ze zijn gegenereerd.
Belangrijk
Bij het delen van SAS-tokens en URI's voor probleemoplossingsdoeleinden, zoals in serviceaanvragen of foutrapporten, moet u altijd ten minste het handtekeninggedeelte van de SAS redacen.
Opslagaccountsleutels
Opslagaccountsleutels verlenen onbeperkte toegang tot de services en resources binnen een opslagaccount. Daarom raden we u aan het gebruik van sleutels te beperken tot toegang tot resources in Storage Explorer. Gebruik azure RBAC-functies of SAS om in plaats daarvan toegang te bieden.
Sommige Azure-rollen verlenen toestemming om opslagaccountsleutels op te halen. Personen met deze rollen kunnen machtigingen die zijn verleend of geweigerd door Azure RBAC effectief omzeilen. U wordt aangeraden deze machtiging niet te verlenen, tenzij dit nodig is.
Opslagverkenner probeert sleutels voor opslagaccounts te gebruiken, indien beschikbaar, om aanvragen te verifiëren. U kunt deze functie uitschakelen in Instellingen (Services > Storage Accounts > Disable Usage of Keys). Sommige functies bieden geen ondersteuning voor Azure RBAC, zoals het werken met klassieke opslagaccounts. Deze instelling heeft geen invloed op functies waarvoor nog steeds sleutels zijn vereist.
Als u sleutels moet gebruiken om toegang te krijgen tot uw opslagbronnen, raden we de volgende richtlijnen aan:
- Deel uw accountsleutels niet met iemand.
- Behandel uw opslagaccountsleutels als wachtwoorden. Als u uw sleutels toegankelijk moet maken, gebruikt u beveiligde opslagoplossingen zoals Azure Key Vault.
Notitie
Als u denkt dat een opslagaccountsleutel per ongeluk is gedeeld of gedistribueerd, kunt u nieuwe sleutels genereren voor uw opslagaccount vanuit Azure Portal.
Anonieme toegang tot blobcontainers
Met Storage Explorer kunt u het toegangsniveau van uw Azure Blob Storage-containers wijzigen. Niet-gemachtigde blobcontainers bieden iedereen anonieme leestoegang tot gegevens in deze containers.
Bij het inschakelen van anonieme toegang voor een blobcontainer raden we de volgende richtlijnen aan:
- Schakel geen anonieme toegang in tot een blobcontainer die mogelijk gevoelige gegevens bevat. Zorg ervoor dat uw blobcontainer vrij is van alle persoonlijke gegevens.
- Upload geen mogelijk gevoelige gegevens naar een blobcontainer met blob- of containertoegang.