Zalecenia dotyczące zabezpieczeń dla usługi Blob Storage

Ten artykuł zawiera zalecenia dotyczące zabezpieczeń usługi Blob Storage. Wdrożenie tych zaleceń pomoże Ci spełnić twoje obowiązki związane z zabezpieczeniami zgodnie z opisem w naszym modelu wspólnej odpowiedzialności. Aby uzyskać więcej informacji na temat sposobu, w jaki firma Microsoft spełnia obowiązki dostawcy usług, zobacz Wspólna odpowiedzialność w chmurze.

Niektóre zalecenia zawarte w tym artykule mogą być automatycznie monitorowane przez Microsoft Defender dla Chmury, co jest pierwszą linią obrony w ochronie zasobów na platformie Azure. Aby uzyskać informacje na temat Microsoft Defender dla Chmury, zobacz Co to jest Microsoft Defender dla Chmury?

Microsoft Defender dla Chmury okresowo analizuje stan zabezpieczeń zasobów platformy Azure, aby zidentyfikować potencjalne luki w zabezpieczeniach. Następnie zawiera zalecenia dotyczące sposobu ich rozwiązywania. Aby uzyskać więcej informacji na temat zaleceń dotyczących Microsoft Defender dla Chmury, zobacz Przeglądanie zaleceń dotyczących zabezpieczeń.

Ochrona danych

Zalecenie Komentarze Defender dla Chmury
Korzystanie z modelu wdrażania usługi Azure Resource Manager Tworzenie nowych kont magazynu przy użyciu modelu wdrażania usługi Azure Resource Manager w celu uzyskania ważnych ulepszeń zabezpieczeń, w tym najwyższej kontroli dostępu opartej na rolach platformy Azure (RBAC) i inspekcji, wdrażania i zarządzania opartego na Resource Manager opartego na Resource Manager, dostępu do tożsamości zarządzanych, dostępu do usługi Azure Key Vault w przypadku wpisów tajnych i Azure AD Uwierzytelnianie i autoryzacja na podstawie dostępu do danych i zasobów platformy Azure Storage. Jeśli to możliwe, zmigruj istniejące konta magazynu, które używają klasycznego modelu wdrażania do korzystania z usługi Azure Resource Manager. Aby uzyskać więcej informacji na temat usługi Azure Resource Manager, zobacz Omówienie usługi Azure Resource Manager. -
Włączanie usługi Microsoft Defender dla wszystkich kont magazynu Usługa Microsoft Defender dla Storage zapewnia dodatkową warstwę analizy zabezpieczeń, która wykrywa nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do kont magazynu lub wykorzystania ich. Alerty zabezpieczeń są wyzwalane w Microsoft Defender dla Chmury po wystąpieniu anomalii w działaniu i są również wysyłane za pośrednictwem poczty e-mail do administratorów subskrypcji, ze szczegółowymi informacjami o podejrzanych działaniach i zaleceniach dotyczących sposobu badania i korygowania zagrożeń. Aby uzyskać więcej informacji, zobacz Konfigurowanie usługi Microsoft Defender dla Storage. Tak
Włącz opcję usuwania nietrwałego dla obiektów blob Usuwanie nietrwałe dla obiektów blob umożliwia odzyskiwanie danych obiektów blob po jego usunięciu. Aby uzyskać więcej informacji na temat usuwania nietrwałego dla obiektów blob, zobacz Usuwanie nietrwałe dla obiektów blob platformy Azure Storage. -
Włączanie usuwania nietrwałego dla kontenerów Usuwanie nietrwałe dla kontenerów umożliwia odzyskanie kontenera po jego usunięciu. Aby uzyskać więcej informacji na temat usuwania nietrwałego dla kontenerów, zobacz Usuwanie nietrwałe dla kontenerów. -
Zablokuj konto magazynu, aby zapobiec przypadkowemu lub złośliwemu usunięciu lub zmianom konfiguracji Zastosuj blokadę usługi Azure Resource Manager na koncie magazynu, aby chronić konto przed przypadkowym lub złośliwym usunięciem lub zmianą konfiguracji. Zablokowanie konta magazynu nie uniemożliwia usunięcia danych w ramach tego konta. Uniemożliwia to usunięcie samego konta. Aby uzyskać więcej informacji, zobacz Stosowanie blokady usługi Azure Resource Manager do konta magazynu.
Przechowywanie danych krytycznych dla działania firmy w niezmiennych obiektach blob Skonfiguruj zasady przechowywania legalnego i oparte na czasie, aby przechowywać dane obiektów blob w stanie WORM (zapis raz, odczyt wielu). Obiekty blob przechowywane niezmiennie mogą być odczytywane, ale nie można ich modyfikować ani usuwać przez czas trwania interwału przechowywania. Aby uzyskać więcej informacji, zobacz Przechowywanie danych obiektów blob krytycznych dla działania firmy z niezmiennym magazynem. -
Wymagaj bezpiecznego transferu (HTTPS) do konta magazynu Jeśli wymagane jest bezpieczne przeniesienie konta magazynu, wszystkie żądania do konta magazynu muszą zostać wykonane za pośrednictwem protokołu HTTPS. Wszystkie żądania wysyłane za pośrednictwem protokołu HTTP są odrzucane. Firma Microsoft zaleca, aby zawsze wymagać bezpiecznego transferu dla wszystkich kont magazynu. Aby uzyskać więcej informacji, zobacz Wymagaj bezpiecznego transferu, aby zapewnić bezpieczne połączenia. -
Ograniczanie tokenów sygnatury dostępu współdzielonego (SAS) tylko do połączeń HTTPS Wymaganie protokołu HTTPS, gdy klient używa tokenu SYGNATURy dostępu współdzielonego do uzyskiwania dostępu do danych obiektów blob, pomaga zminimalizować ryzyko podsłuchania. Aby uzyskać więcej informacji, zobacz Udzielanie ograniczonego dostępu do zasobów platformy Azure Storage przy użyciu sygnatur dostępu współdzielonego (SAS). -

Zarządzanie tożsamościami i dostępem

Zalecenie Komentarze Defender dla Chmury
Autoryzowanie dostępu do danych obiektów blob za pomocą Azure Active Directory (Azure AD) Azure AD zapewnia doskonałe zabezpieczenia i łatwość użycia za pośrednictwem klucza współdzielonego w celu autoryzowania żądań do usługi Blob Storage. Aby uzyskać więcej informacji, zobacz Autoryzowanie dostępu do danych w usłudze Azure Storage. -
Podczas przypisywania uprawnień do podmiotu zabezpieczeń Azure AD za pośrednictwem kontroli dostępu opartej na rolach platformy Azure należy pamiętać o podmiotu zabezpieczeń o uprawnieniach najniższych uprawnień Podczas przypisywania roli do użytkownika, grupy lub aplikacji przyznaj tej jednostce zabezpieczeń tylko te uprawnienia, które są niezbędne do wykonywania swoich zadań. Ograniczenie dostępu do zasobów pomaga zapobiec przypadkowemu i złośliwemu niewłaściwemu użyciu danych. -
Używanie sygnatury dostępu współdzielonego delegowania użytkownika w celu udzielenia ograniczonego dostępu do danych obiektów blob klientom Sygnatura dostępu współdzielonego delegowania użytkownika jest zabezpieczona przy użyciu poświadczeń Azure Active Directory (Azure AD), a także przez uprawnienia określone dla sygnatury dostępu współdzielonego. Sygnatura dostępu współdzielonego delegowania użytkownika jest analogiczna do sygnatury dostępu współdzielonego usługi pod względem jej zakresu i funkcji, ale oferuje korzyści zabezpieczeń dotyczące sygnatury dostępu współdzielonego usługi. Aby uzyskać więcej informacji, zobacz Udzielanie ograniczonego dostępu do zasobów platformy Azure Storage przy użyciu sygnatur dostępu współdzielonego (SAS). -
Zabezpieczanie kluczy dostępu do konta za pomocą usługi Azure Key Vault Firma Microsoft zaleca używanie Azure AD do autoryzowania żądań do usługi Azure Storage. Jeśli jednak musisz użyć autoryzacji klucza współdzielonego, należy zabezpieczyć klucze konta za pomocą usługi Azure Key Vault. Klucze można pobrać ze magazynu kluczy w czasie wykonywania, zamiast zapisywać je w aplikacji. Aby uzyskać więcej informacji na temat usługi Azure Key Vault, zobacz Omówienie usługi Azure Key Vault. -
Okresowe ponowne generowanie kluczy konta Okresowe obracanie kluczy kont zmniejsza ryzyko ujawnienia danych złośliwym podmiotom. -
Nie zezwalaj na autoryzację klucza współdzielonego Gdy nie zezwalasz na autoryzację klucza współdzielonego dla konta magazynu, usługa Azure Storage odrzuca wszystkie kolejne żądania do tego konta, które są autoryzowane przy użyciu kluczy dostępu do konta. Pomyślnie powiedzie się tylko zabezpieczone żądania autoryzowane za pomocą Azure AD. Aby uzyskać więcej informacji, zobacz Zapobieganie autoryzacji klucza współdzielonego dla konta usługi Azure Storage. -
Pamiętaj, że podmiot zabezpieczeń najniższych uprawnień podczas przypisywania uprawnień do sygnatury dostępu współdzielonego Podczas tworzenia sygnatury dostępu współdzielonego określ tylko te uprawnienia, które są wymagane przez klienta do wykonania jego funkcji. Ograniczenie dostępu do zasobów pomaga zapobiec przypadkowemu i złośliwemu niewłaściwemu użyciu danych. -
Masz plan odwołania dla dowolnego sygnatury dostępu współdzielonego, który jest wystawiany klientom W przypadku naruszenia zabezpieczeń sygnatury dostępu współdzielonego należy odwołać tę sygnaturę dostępu współdzielonego tak szybko, jak to możliwe. Aby odwołać sygnaturę dostępu współdzielonego delegowania użytkownika, odwołaj klucz delegowania użytkownika, aby szybko unieważnić wszystkie sygnatury skojarzone z tym kluczem. Aby odwołać sygnaturę dostępu współdzielonego usługi skojarzona z przechowywanymi zasadami dostępu, możesz usunąć przechowywane zasady dostępu, zmienić nazwę zasad lub zmienić czas wygaśnięcia na czas, który znajduje się w przeszłości. Aby uzyskać więcej informacji, zobacz Udzielanie ograniczonego dostępu do zasobów platformy Azure Storage przy użyciu sygnatur dostępu współdzielonego (SAS). -
Jeśli sygnatura dostępu współdzielonego usługi nie jest skojarzona z przechowywanymi zasadami dostępu, ustaw czas wygaśnięcia na godzinę lub mniej Nie można odwołać sygnatury dostępu współdzielonego usługi, która nie jest skojarzona z zapisanymi zasadami dostępu. Z tego powodu zaleca się ograniczenie czasu wygaśnięcia w taki sposób, aby sygnatura dostępu współdzielonego jest ważna przez jedną godzinę lub mniej. -
Wyłączanie anonimowego publicznego dostępu do odczytu do kontenerów i obiektów blob Anonimowy publiczny dostęp do odczytu do kontenera, a jego obiekty blob umożliwiają dostęp tylko do odczytu do tych zasobów każdemu klientowi. Unikaj włączania publicznego dostępu do odczytu, chyba że twój scenariusz go wymaga. Aby dowiedzieć się, jak wyłączyć anonimowy dostęp publiczny dla konta magazynu, zobacz Konfigurowanie anonimowego publicznego dostępu do odczytu dla kontenerów i obiektów blob. -

Sieć

Zalecenie Komentarze Defender dla Chmury
Skonfiguruj minimalną wymaganą wersję protokołu Transport Layer Security (TLS) dla konta magazynu. Wymagaj, aby klienci używali bezpieczniejszej wersji protokołu TLS, aby wysyłać żądania względem konta usługi Azure Storage, konfigurując minimalną wersję protokołu TLS dla tego konta. Aby uzyskać więcej informacji, zobacz Konfigurowanie minimalnej wymaganej wersji protokołu Transport Layer Security (TLS) dla konta magazynu -
Włącz opcję Wymagany bezpieczny transfer na wszystkich kontach magazynu Po włączeniu opcji Wymagany bezpieczny transfer wszystkie żądania wysyłane na konto magazynu muszą odbywać się za pośrednictwem bezpiecznych połączeń. Wszystkie żądania wysyłane przez protokół HTTP kończą się niepowodzeniem. Aby uzyskać więcej informacji, zobacz Wymaganie bezpiecznego transferu na platformie Azure Storage. Tak
Włączanie reguł zapory Skonfiguruj reguły zapory, aby ograniczyć dostęp do konta magazynu do żądań pochodzących z określonych adresów IP lub zakresów albo z listy podsieci w usłudze Azure Virtual Network (VNet). Aby uzyskać więcej informacji na temat konfigurowania reguł zapory, zobacz Konfigurowanie zapór i sieci wirtualnych platformy Azure Storage. -
Zezwalaj zaufanym usługi firmy Microsoft na dostęp do konta magazynu Włączenie reguł zapory dla konta magazynu domyślnie blokuje żądania przychodzące dla danych, chyba że żądania pochodzą z usługi działającej w ramach sieci wirtualnej platformy Azure lub z dozwolonych publicznych adresów IP. Żądania, które są zablokowane, obejmują te z innych usług platformy Azure, z Azure Portal, z usług rejestrowania i metryk itd. Możesz zezwolić na żądania z innych usług platformy Azure, dodając wyjątek umożliwiający zaufanym usługi firmy Microsoft uzyskiwanie dostępu do konta magazynu. Aby uzyskać więcej informacji na temat dodawania wyjątku dla zaufanych usługi firmy Microsoft, zobacz Konfigurowanie zapór i sieci wirtualnych platformy Azure Storage. -
Używanie prywatnych punktów końcowych Prywatny punkt końcowy przypisuje prywatny adres IP z sieci wirtualnej platformy Azure do konta magazynu. Zabezpiecza cały ruch między siecią wirtualną a kontem magazynu za pośrednictwem łącza prywatnego. Aby uzyskać więcej informacji na temat prywatnych punktów końcowych, zobacz Połączenie prywatnie do konta magazynu przy użyciu prywatnego punktu końcowego platformy Azure. -
Używanie tagów usługi sieci wirtualnej Tag usługi reprezentuje grupę prefiksów adresów IP z danej usługi platformy Azure. Firma Microsoft zarządza prefiksami adresów uwzględnionych przez tag usługi i automatycznie aktualizuje tag usługi w miarę zmiany adresów. Aby uzyskać więcej informacji na temat tagów usług obsługiwanych przez usługę Azure Storage, zobacz Omówienie tagów usługi platformy Azure. Aby zapoznać się z samouczkiem pokazującym, jak używać tagów usługi do tworzenia reguł sieci wychodzących, zobacz Ograniczanie dostępu do zasobów PaaS. -
Ograniczanie dostępu sieciowego do określonych sieci Ograniczenie dostępu sieciowego do sieci hostujących klientów wymagających dostępu zmniejsza narażenie zasobów na ataki sieciowe. Tak
Konfigurowanie preferencji routingu sieciowego Możesz skonfigurować preferencję routingu sieciowego dla konta usługi Azure Storage, aby określić sposób kierowania ruchu sieciowego do konta z klientów przez Internet przy użyciu globalnej sieci firmy Microsoft lub routingu internetowego. Aby uzyskać więcej informacji, zobacz Konfigurowanie preferencji routingu sieciowego dla usługi Azure Storage. -

Rejestrowanie/monitorowanie

Zalecenie Komentarze Defender dla Chmury
Śledzenie autoryzacji żądań Włącz rejestrowanie usługi Azure Storage, aby śledzić sposób autoryzacji każdego żądania względem usługi Azure Storage. Dzienniki wskazują, czy żądanie zostało wykonane anonimowo przy użyciu tokenu OAuth 2.0 przy użyciu klucza współdzielonego, czy przy użyciu sygnatury dostępu współdzielonego (SAS). Aby uzyskać więcej informacji, zobacz Monitorowanie Azure Blob Storage za pomocą usługi Azure Monitor lub rejestrowania analizy usługi Azure Storage za pomocą monitorowania klasycznego. -
Konfigurowanie alertów w usłudze Azure Monitor Skonfiguruj alerty dzienników w celu oceny dzienników zasobów z ustawioną częstotliwością i wyzwolą alert na podstawie wyników. Aby uzyskać więcej informacji, zobacz Rejestrowanie alertów w usłudze Azure Monitor. -

Następne kroki