Zalecenia dotyczące zabezpieczeń usługi Blob Storage

Ten artykuł zawiera zalecenia dotyczące zabezpieczeń usługi Blob Storage. Zaimplementowanie tych zaleceń pomoże Ci spełnić twoje obowiązki związane z zabezpieczeniami zgodnie z opisem w naszym modelu wspólnej odpowiedzialności. Aby uzyskać więcej informacji na temat sposobu, w jaki firma Microsoft spełnia obowiązki dostawcy usług, zobacz Wspólna odpowiedzialność w chmurze.

Niektóre zalecenia zawarte w tym artykule mogą być automatycznie monitorowane przez Microsoft Defender for Cloud, która jest pierwszą linią obrony w ochronie zasobów na platformie Azure. Aby uzyskać informacje na temat Microsoft Defender for Cloud, zobacz Co to jest Microsoft Defender for Cloud?

Microsoft Defender dla chmury okresowo analizuje stan zabezpieczeń zasobów platformy Azure, aby zidentyfikować potencjalne luki w zabezpieczeniach. Następnie udostępnia zalecenia dotyczące sposobu ich rozwiązywania. Aby uzyskać więcej informacji na temat Microsoft Defender zaleceń dotyczących chmury, zobacz Przeglądanie zaleceń dotyczących zabezpieczeń.

Ochrona danych

Zalecenie Komentarze Defender dla Chmury
Korzystanie z modelu wdrażania usługi Azure Resource Manager Tworzenie nowych kont magazynu przy użyciu modelu wdrażania usługi Azure Resource Manager w celu uzyskania ważnych ulepszeń zabezpieczeń, w tym najwyższej jakości kontroli dostępu opartej na rolach platformy Azure (Azure RBAC) i inspekcji, wdrażania i zarządzania opartego na Resource Manager, dostępu do tożsamości zarządzanych, dostępu do usługi Azure Key Vault dla wpisów tajnych i Azure AD Uwierzytelnianie i autoryzacja na podstawie dostępu do danych i zasobów usługi Azure Storage. Jeśli to możliwe, przeprowadź migrację istniejących kont magazynu, które używają klasycznego modelu wdrażania do korzystania z usługi Azure Resource Manager. Aby uzyskać więcej informacji na temat usługi Azure Resource Manager, zobacz Omówienie usługi Azure Resource Manager. -
Włączanie Microsoft Defender dla wszystkich kont magazynu Microsoft Defender dla usługi Storage zapewnia dodatkową warstwę analizy zabezpieczeń, która wykrywa nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do kont magazynu lub wykorzystania ich. Alerty zabezpieczeń są wyzwalane w Microsoft Defender dla chmury, gdy wystąpią anomalie w działaniu, a także są wysyłane za pośrednictwem poczty e-mail do administratorów subskrypcji ze szczegółami podejrzanych działań i zaleceń dotyczących sposobu badania i korygowania zagrożeń. Aby uzyskać więcej informacji, zobacz Konfigurowanie Microsoft Defender dla magazynu. Tak
Włącz opcję usuwania nietrwałego dla obiektów blob Usuwanie nietrwałe dla obiektów blob umożliwia odzyskiwanie danych obiektów blob po ich usunięciu. Aby uzyskać więcej informacji na temat usuwania nietrwałego dla obiektów blob, zobacz Usuwanie nietrwałe dla obiektów blob usługi Azure Storage. -
Włączanie usuwania nietrwałego dla kontenerów Usuwanie nietrwałe dla kontenerów umożliwia odzyskanie kontenera po jego usunięciu. Aby uzyskać więcej informacji na temat usuwania nietrwałego dla kontenerów, zobacz Usuwanie nietrwałe dla kontenerów. -
Zablokuj konto magazynu, aby zapobiec przypadkowemu lub złośliwemu usunięciu lub zmianom konfiguracji Zastosuj blokadę usługi Azure Resource Manager do konta magazynu, aby chronić konto przed przypadkowym lub złośliwym usunięciem lub zmianą konfiguracji. Zablokowanie konta magazynu nie uniemożliwia usunięcia danych w ramach tego konta. Uniemożliwia tylko usunięcie samego konta. Aby uzyskać więcej informacji, zobacz Stosowanie blokady usługi Azure Resource Manager do konta magazynu.
Przechowywanie danych krytycznych dla działania firmy w niezmiennych obiektach blob Skonfiguruj zasady archiwizacji ze względów prawnych i przechowywania na podstawie czasu, aby przechowywać dane obiektów blob w stanie WORM (zapis raz, odczyt wielu). Obiekty blob przechowywane niezmiennie można odczytywać, ale nie można ich modyfikować ani usuwać przez okres okresu przechowywania. Aby uzyskać więcej informacji, zobacz Przechowywanie danych obiektów blob krytycznych dla działania firmy przy użyciu niezmiennego magazynu. -
Wymagaj bezpiecznego transferu (HTTPS) do konta magazynu Jeśli wymagasz bezpiecznego transferu dla konta magazynu, wszystkie żądania do konta magazynu muszą zostać wykonane za pośrednictwem protokołu HTTPS. Wszystkie żądania wysyłane za pośrednictwem protokołu HTTP są odrzucane. Firma Microsoft zaleca, aby zawsze wymagać bezpiecznego transferu dla wszystkich kont magazynu. Aby uzyskać więcej informacji, zobacz Wymagaj bezpiecznego transferu w celu zapewnienia bezpiecznych połączeń. -
Ogranicz tokeny sygnatury dostępu współdzielonego tylko do połączeń HTTPS Wymaganie protokołu HTTPS, gdy klient używa tokenu SAS do uzyskiwania dostępu do danych obiektów blob, pomaga zminimalizować ryzyko podsłuchiwania. Aby uzyskać więcej informacji, zobacz Udzielanie ograniczonego dostępu do zasobów usługi Azure Storage przy użyciu sygnatur dostępu współdzielonego (SAS). -

Zarządzanie tożsamościami i dostępem

Zalecenie Komentarze Defender dla Chmury
Autoryzowanie dostępu do danych obiektów blob za pomocą usługi Azure Active Directory (Azure AD) Azure AD zapewnia doskonałe zabezpieczenia i łatwość użycia za pośrednictwem klucza wspólnego do autoryzowania żądań do usługi Blob Storage. Aby uzyskać więcej informacji, zobacz Autoryzowanie dostępu do danych w usłudze Azure Storage. -
Należy pamiętać o zasadzie najniższych uprawnień podczas przypisywania uprawnień do podmiotu zabezpieczeń Azure AD za pośrednictwem kontroli dostępu opartej na rolach platformy Azure Podczas przypisywania roli do użytkownika, grupy lub aplikacji przyznaj temu podmiotowi zabezpieczeń tylko te uprawnienia, które są niezbędne do wykonywania zadań. Ograniczenie dostępu do zasobów pomaga zapobiec przypadkowemu i złośliwemu niewłaściwemu użyciu danych. -
Używanie sygnatury dostępu współdzielonego delegowania użytkownika w celu udzielenia ograniczonego dostępu do danych obiektów blob klientom Sygnatura dostępu współdzielonego delegowania użytkownika jest zabezpieczona przy użyciu poświadczeń usługi Azure Active Directory (Azure AD), a także przez uprawnienia określone dla sygnatury dostępu współdzielonego. Sygnatura dostępu współdzielonego delegowania użytkownika jest analogiczna do sygnatury dostępu współdzielonego usługi pod względem zakresu i funkcji, ale oferuje korzyści zabezpieczeń w zakresie sygnatury dostępu współdzielonego usługi. Aby uzyskać więcej informacji, zobacz Udzielanie ograniczonego dostępu do zasobów usługi Azure Storage przy użyciu sygnatur dostępu współdzielonego (SAS). -
Zabezpieczanie kluczy dostępu do konta za pomocą usługi Azure Key Vault Firma Microsoft zaleca używanie Azure AD do autoryzowania żądań do usługi Azure Storage. Jeśli jednak musisz użyć autoryzacji klucza współużytkowanego, należy zabezpieczyć klucze konta za pomocą usługi Azure Key Vault. Klucze można pobrać z magazynu kluczy w czasie wykonywania, zamiast zapisywać je w aplikacji. Aby uzyskać więcej informacji na temat usługi Azure Key Vault, zobacz Omówienie usługi Azure Key Vault. -
Okresowe ponowne generowanie kluczy konta Okresowe obracanie kluczy kont zmniejsza ryzyko ujawnienia danych złośliwym podmiotom. -
Nie zezwalaj na autoryzację klucza wspólnego Gdy nie zezwalasz na autoryzację klucza wspólnego dla konta magazynu, usługa Azure Storage odrzuca wszystkie kolejne żądania do tego konta, które są autoryzowane przy użyciu kluczy dostępu do konta. Pomyślnie zostaną wykonane tylko zabezpieczone żądania autoryzowane za pomocą Azure AD. Aby uzyskać więcej informacji, zobacz Zapobieganie autoryzacji klucza współużytkowanego dla konta usługi Azure Storage. -
Należy pamiętać o zasadzie najniższych uprawnień podczas przypisywania uprawnień do sygnatury dostępu współdzielonego Podczas tworzenia sygnatury dostępu współdzielonego określ tylko te uprawnienia, które są wymagane przez klienta do wykonania jego funkcji. Ograniczenie dostępu do zasobów pomaga zapobiec przypadkowemu i złośliwemu niewłaściwemu użyciu danych. -
Mieć plan odwołania dla każdej sygnatury dostępu współdzielonego, która jest wystawiana klientom W przypadku naruszenia zabezpieczeń sygnatury dostępu współdzielonego należy odwołać tę sygnaturę dostępu współdzielonego tak szybko, jak to możliwe. Aby odwołać sygnaturę dostępu współdzielonego delegowania użytkownika, odwołaj klucz delegowania użytkownika, aby szybko unieważnić wszystkie podpisy skojarzone z tym kluczem. Aby odwołać sygnaturę dostępu współdzielonego usługi skojarzona z zapisanymi zasadami dostępu, możesz usunąć przechowywane zasady dostępu, zmienić nazwę zasad lub zmienić czas wygaśnięcia na czas, który znajduje się w przeszłości. Aby uzyskać więcej informacji, zobacz Udzielanie ograniczonego dostępu do zasobów usługi Azure Storage przy użyciu sygnatur dostępu współdzielonego (SAS). -
Jeśli sygnatura dostępu współdzielonego usługi nie jest skojarzona z zapisanymi zasadami dostępu, ustaw czas wygaśnięcia na godzinę lub mniej Nie można odwołać sygnatury dostępu współdzielonego usługi, która nie jest skojarzona z zapisanymi zasadami dostępu. Z tego powodu zaleca się ograniczenie czasu wygaśnięcia, dzięki czemu sygnatura dostępu współdzielonego jest ważna przez jedną godzinę lub mniej. -
Wyłączanie anonimowego publicznego dostępu do odczytu do kontenerów i obiektów blob Anonimowy publiczny dostęp do odczytu do kontenera, a jego obiekty blob umożliwiają dostęp tylko do odczytu do tych zasobów do dowolnego klienta. Unikaj włączania publicznego dostępu do odczytu, chyba że scenariusz tego wymaga. Aby dowiedzieć się, jak wyłączyć anonimowy dostęp publiczny dla konta magazynu, zobacz Omówienie: korygowanie anonimowego publicznego dostępu do odczytu dla danych obiektów blob. -

Sieć

Zalecenie Komentarze Defender dla Chmury
Skonfiguruj minimalną wymaganą wersję protokołu Transport Layer Security (TLS) dla konta magazynu. Wymagaj, aby klienci używali bezpieczniejszej wersji protokołu TLS do tworzenia żądań względem konta usługi Azure Storage, konfigurując minimalną wersję protokołu TLS dla tego konta. Aby uzyskać więcej informacji, zobacz Konfigurowanie minimalnej wymaganej wersji protokołu Transport Layer Security (TLS) dla konta magazynu -
Włącz opcję Wymagany bezpieczny transfer na wszystkich kontach magazynu Po włączeniu opcji Wymagany bezpieczny transfer wszystkie żądania dotyczące konta magazynu muszą odbywać się za pośrednictwem bezpiecznych połączeń. Wszystkie żądania wysyłane za pośrednictwem protokołu HTTP kończą się niepowodzeniem. Aby uzyskać więcej informacji, zobacz Require secure transfer in Azure Storage (Wymagaj bezpiecznego transferu w usłudze Azure Storage). Tak
Włączanie reguł zapory Skonfiguruj reguły zapory, aby ograniczyć dostęp do konta magazynu do żądań pochodzących z określonych adresów IP lub zakresów albo z listy podsieci w usłudze Azure Virtual Network (VNet). Aby uzyskać więcej informacji na temat konfigurowania reguł zapory, zobacz Konfigurowanie zapór i sieci wirtualnych usługi Azure Storage. -
Zezwalaj zaufanym usługom firmy Microsoft na dostęp do konta magazynu Włączenie reguł zapory dla konta magazynu domyślnie blokuje przychodzące żądania dotyczące danych, chyba że żądania pochodzą z usługi działającej w ramach usługi Azure Virtual Network (VNet) lub z dozwolonych publicznych adresów IP. Żądania, które są zablokowane, obejmują te z innych usług platformy Azure, z Azure Portal, z usług rejestrowania i metryk itd. Możesz zezwolić na żądania z innych usług platformy Azure, dodając wyjątek, aby zezwolić zaufanym usługom firmy Microsoft na dostęp do konta magazynu. Aby uzyskać więcej informacji na temat dodawania wyjątku dla zaufanych usług firmy Microsoft, zobacz Konfigurowanie zapór i sieci wirtualnych usługi Azure Storage. -
Używanie prywatnych punktów końcowych Prywatny punkt końcowy przypisuje prywatny adres IP z usługi Azure Virtual Network (VNet) do konta magazynu. Zabezpiecza cały ruch między siecią wirtualną a kontem magazynu za pośrednictwem łącza prywatnego. Aby uzyskać więcej informacji na temat prywatnych punktów końcowych, zobacz Łączenie prywatnie z kontem magazynu przy użyciu prywatnego punktu końcowego platformy Azure. -
Używanie tagów usługi sieci wirtualnej Tag usługi reprezentuje grupę prefiksów adresów IP z danej usługi platformy Azure. Firma Microsoft zarządza prefiksami adresów uwzględnionych przez tag usługi i automatycznie aktualizuje tag usługi w miarę zmiany adresów. Aby uzyskać więcej informacji na temat tagów usług obsługiwanych przez usługę Azure Storage, zobacz Omówienie tagów usług platformy Azure. Aby zapoznać się z samouczkiem pokazującym, jak używać tagów usługi do tworzenia reguł sieci wychodzących, zobacz Ograniczanie dostępu do zasobów PaaS. -
Ograniczanie dostępu sieciowego do określonych sieci Ograniczenie dostępu sieciowego do sieci hostujących klientów wymagających dostępu zmniejsza narażenie zasobów na ataki sieciowe. Tak
Konfigurowanie preferencji routingu sieciowego Możesz skonfigurować preferencje routingu sieciowego dla konta usługi Azure Storage, aby określić sposób kierowania ruchu sieciowego do konta z klientów przez Internet przy użyciu globalnej sieci firmy Microsoft lub routingu internetowego. Aby uzyskać więcej informacji, zobacz Konfigurowanie preferencji routingu sieciowego dla usługi Azure Storage. -

Rejestrowanie/monitorowanie

Zalecenie Komentarze Defender dla Chmury
Śledzenie autoryzowania żądań Włącz rejestrowanie usługi Azure Storage, aby śledzić, jak każde żądanie skierowane do usługi Azure Storage zostało autoryzowane. Dzienniki wskazują, czy żądanie zostało wykonane anonimowo przy użyciu tokenu OAuth 2.0, przy użyciu klucza współużytkowanego, czy przy użyciu sygnatury dostępu współdzielonego (SAS). Aby uzyskać więcej informacji, zobacz Monitorowanie Azure Blob Storage za pomocą usługi Azure Monitor lub rejestrowania analizy usługi Azure Storage przy użyciu monitorowania klasycznego. -
Konfigurowanie alertów w usłudze Azure Monitor Konfigurowanie alertów dzienników w celu oceny dzienników zasobów z ustawioną częstotliwością i wyzwalania alertu na podstawie wyników. Aby uzyskać więcej informacji, zobacz Rejestrowanie alertów w usłudze Azure Monitor. -

Następne kroki