Samenvatting

  • 3 minuten

In deze module hebt u geleerd hoe u beveiligingsmaatregelen kunt plannen en implementeren voor Azure Storage die zijn afgestemd op Zero Trust-principes en diepgaande verdedigingsstrategieën.

Belangrijke concepten die worden behandeld

Verificatie en autorisatie: u hebt moderne verificatiemethoden voor Azure Storage verkend, met nadruk op Microsoft Entra ID als voorkeursbenadering voor gedeelde toegangssleutels. U hebt geleerd hoe u Azure RBAC implementeert voor blob-, wachtrij- en tabelopslag, om inzicht te krijgen in wanneer beheerde identiteiten moeten worden gebruikt voor toepassingen en andere verificatiemethoden. U hebt ook het juiste beheer van toegangssleutels voor opslagaccounts geleerd, waaronder beveiligde opslag in Azure Key Vault en rotatiestrategieën om beveiligingsrisico's te minimaliseren.

Service-Specific Beveiliging: U hebt autorisatiemethoden onderzocht die zijn afgestemd op elke Azure Storage-service:

  • Azure Files: verificatie op basis van identiteit configureren met Microsoft Entra Domain Services of Active Directory Domain Services, en machtigingen op share- en bestandsniveau implementeren
  • Blob Storage: Gebruikmaken van Microsoft Entra ID voor beveiligde toegang met de juiste ingebouwde en aangepaste RBAC-rollen
  • Table Storage: Autorisatie van Microsoft Entra-id's implementeren met de juiste roltoewijzingen
  • Queue Storage: Toegang autoriseren via Azure Portal en programmatisch met behulp van Microsoft Entra ID-referenties

Gegevensbescherming en herstel: u hebt uitgebreide strategieën voor gegevensbescherming geleerd, waaronder voorlopig verwijderen voor containers en blobs, blobversiebeheer voor het bijhouden van wijzigingen, herstelmogelijkheden voor een bepaald tijdstip en onveranderbaar opslagbeleid voor nalevingsvereisten. Deze beveiligingsmechanismen bieden diepgaande verdediging tegen onbedoelde verwijdering, schadelijke aanpassingen en ransomware-aanvallen.

Geavanceerde versleutelingsopties: u hebt geavanceerde versleutelingsmogelijkheden verkend voor gereguleerde en beveiligingsomgevingen:

  • Bring Your Own Key (BYOK): de controle over de levenscyclus van de versleutelingssleutel behouden door veilig sleutels van on-premises HSM's te importeren in Azure Key Vault
  • Infrastructuurversleuteling: dubbele versleuteling inschakelen op service- en infrastructuurniveau voor organisaties met strenge nalevingsvereisten

Beveiligingsprincipes benadrukt

In deze module zijn verschillende kritieke beveiligingsprincipes versterkt:

  • Zero Trust-benadering: Nooit vertrouwen, altijd verifiëren: voorkeur geven aan verificatie op basis van identiteiten via toegangssleutels en tokens
  • Diepgaande verdediging: Meerdere beveiligingslagen implementeren, waaronder verificatie, autorisatie, versleuteling en gegevensbeveiliging
  • Toegang tot minimale bevoegdheden: alleen de minimale machtigingen verlenen die nodig zijn voor gebruikers en toepassingen om hun vereiste taken uit te voeren
  • Scheiding van taken: gebruik verschillende sleutels en mechanismen op verschillende versleutelingslagen om het risico op inbreuk te minimaliseren
  • Gereedheid voor naleving: gebruik ingebouwde mogelijkheden zoals onveranderbaarheidsbeleid, BYOK en infrastructuurversleuteling om te voldoen aan wettelijke vereisten

Door deze concepten en aanbevolen procedures toe te passen, kunt u robuuste beveiligingsarchitecturen ontwerpen en implementeren voor Azure Storage die uw gegevens gedurende de gehele levenscyclus beschermen, terwijl operationele efficiëntie behouden blijft en aan nalevingsverplichtingen voldoet.