Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Podsumowanie: Aby zastosować zasady Zero Trust do usługi Azure Storage, należy chronić dane (magazynowane, przesyłane i używane), weryfikować użytkowników i kontrolować dostęp, oddzielać lub segregować krytyczne dane za pomocą mechanizmów kontroli sieci oraz używać usługi Defender for Storage do automatycznego wykrywania zagrożeń i ochrony.
Ten artykuł zawiera kroki stosowania zasad zerowego zaufania do usługi Azure Storage:
| Zasada zerowego zaufania | Definicja | Spotkane przez |
|---|---|---|
| Zweryfikować jawnie | Zawsze uwierzytelniaj się i autoryzuj na podstawie wszystkich dostępnych punktów danych. | Zweryfikuj poświadczenia użytkownika i dostęp. |
| Używanie dostępu z jak najmniejszą liczbą uprawnień | Ogranicz dostęp użytkowników za pomocą zasad just in time i Just-Enough-Access (JIT/JEA), zasad adaptacyjnych opartych na ryzyku i ochrony danych. | Kontrola dostępu do danych magazynu z minimalnymi uprawnieniami. |
| Zakładanie naruszeń zabezpieczeń | Zminimalizuj promień wybuchu i segmentuj dostęp. Zweryfikuj kompleksowe szyfrowanie i korzystaj z analizy, aby uzyskać widoczność, zwiększyć wykrywanie zagrożeń i poprawić ochronę. | Chroń dane w stanie spoczynku, dane w tranzycie i dane w użyciu. Oddzielaj dane krytyczne za pomocą kontrolek sieci. Użyj usługi Defender for Storage do automatycznego wykrywania zagrożeń i ochrony. |
Ten artykuł jest częścią serii artykułów, które pokazują, jak zastosować zasady zerowego zaufania w środowisku platformy Azure, które obejmuje usługi Azure Storage do obsługi obciążenia IaaS. Aby zapoznać się z omówieniem, zobacz Stosowanie zasad zero trustu do infrastruktury platformy Azure.
Architektura magazynu na platformie Azure
Stosujesz zasady zerowego zaufania dla usługi Azure Storage w całej architekturze, począwszy od poziomu dzierżawy i katalogu, aż do kontenera magazynu na warstwie danych.
Na poniższym diagramie przedstawiono składniki architektury logicznej.
Na schemacie:
- Konto magazynu dla architektury referencyjnej znajduje się w dedykowanej grupie zasobów. Każde konto magazynu można odizolować w innej grupie zasobów, aby uzyskać bardziej szczegółowe mechanizmy kontroli dostępu opartej na rolach (RBAC). Uprawnienia RBAC można przypisać do zarządzania kontem magazynu na poziomie grupy zasobów lub poziomie konta magazynu i przeprowadzić inspekcję za pomocą rejestrowania Microsoft Entra ID oraz narzędzi takich jak Privileged Identity Management (PIM). Jeśli używasz wielu aplikacji lub obciążeń z wieloma odpowiednimi kontami magazynu w jednej subskrypcji platformy Azure, ważne jest, aby ograniczyć uprawnienia RBAC poszczególnych kont magazynu do odpowiednich właścicieli, opiekunów danych, kontrolerów itp.
- Usługi magazynowania platformy Azure dla tego diagramu znajdują się na dedykowanym koncie przechowywania. Możesz mieć jedno konto magazynu dla każdego typu obciążenia magazynu.
- Aby uzyskać szerszy przegląd architektury referencyjnej, zobacz Omówienie zasad Apply Zero Trust to Azure IaaS (Stosowanie zasad zero trustu do usługi Azure IaaS).
Diagram nie zawiera kolejek platformy Azure i tabel platformy Azure. Skorzystaj z tych samych wskazówek w tym artykule, aby zabezpieczyć te zasoby.
Co znajduje się w tym artykule?
W tym artykule przedstawiono procedurę stosowania zasad zero trust w architekturze referencyjnej.
| Krok | Zadanie | Stosowane zasady zerowego zaufania |
|---|---|---|
| 1 | Chroń dane we wszystkich trzech trybach: dane magazynowane, dane przesyłane, używane dane. | Zakładanie naruszeń zabezpieczeń |
| 2 | Zweryfikuj użytkowników i kontroluj dostęp do danych przechowywanych przy zachowaniu minimalnych uprawnień. | Zweryfikuj jawnie Używanie dostępu z jak najmniejszą liczbą uprawnień |
| 3 | Logiczne oddzielenie lub segregowanie krytycznych danych za pomocą kontrolek sieci. | Zakładanie naruszeń zabezpieczeń |
| 4 | Użyj usługi Defender for Storage do automatycznego wykrywania zagrożeń i ochrony. | Zakładanie naruszeń zabezpieczeń |
Krok 1. Ochrona danych we wszystkich trzech trybach: dane magazynowane, dane przesyłane, używane dane
Podczas tworzenia konta magazynu konfigurujesz większość ustawień ochrony danych magazynowanych, przesyłanych i używanych. Skorzystaj z poniższych zaleceń, aby upewnić się, że te zabezpieczenia zostały skonfigurowane. Rozważ również włączenie Microsoft Defender dla Chmury automatycznego oceniania kont magazynu względem testu porównawczego zabezpieczeń w chmurze firmy Microsoft, który przedstawia punkt odniesienia zabezpieczeń dla każdej usługi platformy Azure.
Aby uzyskać więcej informacji na temat tych mechanizmów kontroli zabezpieczeń magazynu, zobacz tutaj.
Używanie szyfrowania podczas przesyłania
Bezpieczeństwo danych można zapewnić, włączając zabezpieczenia na poziomie transportu między platformą Azure a klientem. Zawsze używaj protokołu HTTPS do zabezpieczania komunikacji przez publiczny Internet. Podczas wywoływania interfejsów API REST w celu uzyskania dostępu do obiektów na kontach magazynu można wymusić użycie protokołu HTTPS, wymagając bezpiecznego transferu wymaganego dla konta magazynu. Wszelkie żądania pochodzące z niezabezpieczonego połączenia są odrzucane.
Ta konfiguracja jest domyślnie włączona podczas wdrażania nowego konta usługi Azure Storage (domyślnie bezpieczne).
Rozważ zastosowanie zasad w celu odmowy wdrożenia niezabezpieczonych połączeń dla usługi Azure Storage (Secure by Design).
Ta konfiguracja wymaga również protokołu SMB 3.0 z szyfrowaniem.
Zapobieganie anonimowemu publicznemu dostępowi do odczytu
Domyślnie dostęp publiczny do obiektów blob jest zabroniony, lecz użytkownik z odpowiednimi uprawnieniami może skonfigurować dostęp do zasobu. Aby zapobiec naruszeniom zabezpieczeń danych z dostępu anonimowego, należy określić, kto ma dostęp do danych. Zablokowanie tego dostępu na poziomie konta magazynowego uniemożliwia użytkownikom włączanie tego dostępu na poziomie kontenera lub obiektu BLOB.
Aby uzyskać więcej informacji, zobacz Zapobieganie anonimowemu publicznemu dostępowi do odczytu do kontenerów i obiektów blob.
Zapobieganie autoryzacji klucza współużytkowanego
Ta konfiguracja wymusza odrzucenie wszystkich żądań do konta magazynu składanych za pomocą współdzielonego klucza i zamiast tego wymaga autoryzacji Microsoft Entra. Microsoft Entra ID to bezpieczniejszy wybór, ponieważ można użyć mechanizmów dostępu opartych na ryzyku w celu zabezpieczenia dostępu do warstw danych. Aby uzyskać więcej informacji, zobacz Zapobieganie autoryzacji klucza współdzielonego dla konta usługi Azure Storage.
Ochronę danych można skonfigurować dla wszystkich trzech trybów z ustawień konfiguracji konta magazynowego, jak pokazano poniżej.
Tych ustawień nie można zmienić po utworzeniu konta przechowywania.
Wymuszanie minimalnej wymaganej wersji zabezpieczeń warstwy transportu (TLS)
Obecnie obsługiwana jest najwyższa wersja usługi Azure Storage to TLS 1.2. Wymuszanie minimalnej wersji protokołu TLS odrzuca żądania od klientów przy użyciu starszych wersji. Aby uzyskać więcej informacji, zobacz artykuł Wymuszanie minimalnej wymaganej wersji protokołu TLS dla żądań do konta magazynowania.
Definiowanie zakresu operacji kopiowania
Zdefiniuj zakres operacji kopiowania, aby ograniczyć operacje kopiowania tylko do tych z kont magazynu źródłowego, które znajdują się w tej samej dzierżawie firmy Microsoft Entra lub które mają łącze prywatne do tej samej sieci wirtualnej (VNet) co docelowe konto magazynu.
Ograniczenie operacji kopiowania do źródłowych kont magazynu z prywatnymi punktami końcowymi jest najbardziej restrykcyjną opcją i wymaga, aby źródłowe konto magazynu miało włączone prywatne punkty końcowe.
Zakres operacji kopiowania można skonfigurować z ustawień konfiguracji konta magazynowego, jak pokazano na poniższym przykładzie.
Zrozumienie, jak działa szyfrowanie danych w spoczynku
Wszystkie dane zapisywane w usłudze Azure Storage są automatycznie szyfrowane za pomocą szyfrowania usługi Storage (SSE) przy użyciu 256-bitowego szyfru Advanced Encryption Standard (AES). Funkcja SSE automatycznie szyfruje dane zapisywane w usłudze Azure Storage. Podczas odczytywania danych z usługi Azure Storage usługa ta odszyfrowuje dane przed ich zwróceniem. Ten proces nie powoduje naliczania żadnych dodatkowych opłat i nie obniża wydajności. Korzystanie z kluczy zarządzanych przez klienta (CMK) zapewnia dodatkowe możliwości kontrolowania rotacji klucza szyfrowania klucza lub kryptograficznie wymazywania danych.
Klucz CMK można włączyć w panelu Szyfrowanie podczas tworzenia konta przechowywania, jak pokazano tutaj.
Można również włączyć szyfrowanie infrastruktury, które zapewnia podwójne szyfrowanie zarówno na poziomie usługi, jak i infrastruktury. Tego ustawienia nie można zmienić po utworzeniu konta magazynowego.
Uwaga
Aby wykorzystać klucz zarządzany przez klienta do szyfrowania konta magazynu, należy włączyć tę funkcję podczas tworzenia konta oraz wcześniej mieć skonfigurowaną usługę Key Vault z odpowiednim kluczem i tożsamością zarządzaną, a także zapewnionymi właściwymi uprawnieniami. Opcjonalnie można również włączyć 256-bitowe szyfrowanie AES na poziomie infrastruktury usługi Azure Storage.
Krok 2: Weryfikowanie użytkowników i kontrolowanie dostępu do danych przechowywania z najmniejszymi możliwymi uprawnieniami
Najpierw użyj Microsoft Entra ID, aby zarządzać dostępem do kont magazynowych. Korzystanie z kontroli dostępu opartej na rolach w kontach magazynowania umożliwia precyzyjne określenie dostępu według funkcji zawodowej przy użyciu protokołu OAuth 2.0. Możesz dostosować szczegółowy dostęp do zasad dostępu warunkowego.
Należy pamiętać, że role dla kont magazynu muszą być przypisane na poziomie zarządzania lub danych. W związku z tym, jeśli używasz identyfikatora Entra firmy Microsoft jako metody uwierzytelniania i autoryzacji, użytkownik powinien mieć przypisaną odpowiednią kombinację ról, aby nadać im najmniejszą ilość uprawnień niezbędnych do ukończenia funkcji zadania.
Aby uzyskać listę ról konta magazynu na potrzeby szczegółowego dostępu, zobacz Role wbudowane platformy Azure dla usługi Storage. Przypisania kontroli dostępu opartej na rolach są wykonywane za pośrednictwem opcji Kontrola dostępu na koncie przechowywania i można je przypisać na różnych poziomach.
Możesz skonfigurować kontrolę dostępu z ustawień kontroli dostępu (IAM) konta przechowywania, jak pokazano tutaj.
Możesz sprawdzić poziomy dostępu użytkowników, grup, jednostek usługi lub tożsamości zarządzanych i dodać przypisanie roli.
Innym sposobem zapewnienia uprawnień, które są powiązane czasowo, jest za pomocą sygnatur dostępu współdzielonego (SAS). Najlepsze praktyki dotyczące korzystania z SAS na poziomie ogólnym są następujące:
- Zawsze używaj protokołu HTTPS. Jeśli wdrożono sugerowane zasady platformy Azure dla stref docelowych platformy Azure, bezpieczny transfer za pośrednictwem protokołu HTTPS zostanie poddany inspekcji.
- Miej plan cofnięcia.
- Konfiguracja polityk wygaśnięcia podpisów dostępu współdzielonego.
- Zweryfikuj uprawnienia.
- Gdzie to możliwe, używaj user delegation SAS. Ta sygnatura dostępu współdzielonego (SAS) jest podpisana przy użyciu poświadczeń Microsoft Entra ID.
Krok 3. Logiczne oddzielenie lub segregowanie krytycznych danych za pomocą kontrolek sieci
W tym kroku użyjesz zalecanych środków kontroli, aby chronić połączenia sieciowe do i z usług Azure Storage.
Na poniższym diagramie przedstawiono połączenia sieciowe z usługami Azure Storage w architekturze referencyjnej.
| Zadanie | Opis |
|---|---|
| Zapobieganie dostępowi publicznemu, tworzenie segmentacji sieci za pomocą prywatnego punktu końcowego i usługi Private Link. | Prywatny punkt końcowy umożliwia łączenie się z usługami przy użyciu jednego prywatnego adresu IP w sieci wirtualnej przy użyciu usługi Azure Private Link. |
| Korzystanie z usługi Azure Private Link | Użyj usługi Azure Private Link, aby uzyskać dostęp do usługi Azure Storage za pośrednictwem prywatnego punktu końcowego w sieci wirtualnej. Użyj przepływu pracy zatwierdzającej, aby automatycznie zatwierdzać lub, w razie potrzeby, żądać ręcznie. |
| Zapobieganie publicznemu dostępowi do źródeł danych przy użyciu punktów końcowych usługi | Segmentację sieci można wykonywać przy użyciu punktów końcowych usługi, włączając prywatne adresy IP w sieci wirtualnej, aby uzyskać dostęp do punktu końcowego bez używania publicznych adresów IP. |
Prywatne punkty końcowe konfiguruje się w ustawieniach Sieci konta przechowywania, jak pokazano tutaj.
Krok 4. Używanie usługi Defender for Storage do automatycznego wykrywania zagrożeń i ochrony
Usługa Microsoft Defender for Storage zapewnia dodatkowy poziom analizy, który wykrywa nietypowe i potencjalnie szkodliwe próby wykorzystania usług magazynu. Usługa Microsoft Defender for Storage jest wbudowana w Microsoft Defender dla Chmury.
Usługa Defender for Storage wykrywa nietypowe alerty dotyczące wzorca dostępu, takie jak:
- Dostęp z nietypowych lokalizacji
- Anomalia aplikacji
- Dostęp anonimowy
- Nietypowe alerty dotyczące wyodrębniania/przekazywania danych
- Eksfiltracja danych
- Nieoczekiwane usunięcie
- Przekazywanie pakietu usługi Azure Cloud Service
- Powiadomienia o podejrzanych aktywnościach przechowywania
- Zmiana uprawnień dostępu
- Inspekcja dostępu
- Eksploracja danych
Aby uzyskać więcej informacji na temat ochrony przed zagrożeniami w architekturze referencyjnej, zobacz Omówienie zasad Apply Zero Trust to Azure IaaS (Stosowanie zasad zero trustu do usługi Azure IaaS).
Po włączeniu usługa Defender for Storage powiadamia o alertach zabezpieczeń i zaleceniach dotyczących poprawy stanu zabezpieczeń kont usługi Azure Storage.
Oto przykładowy alert zabezpieczeń dla konta magazynowego z opisem alertu oraz wyróżnionymi środkami zapobiegawczymi.
Ilustracje techniczne
Te ilustracje są replikami ilustracji referencyjnych w tych artykułach. Pobierz i dostosuj je dla własnej organizacji i klientów. Zastąp logo firmy Contoso własnym.
| Produkt | Opis |
|---|---|
Pobieranie programu Visio Zaktualizowano październik 2024 r. |
Stosowanie zasad zero trust do usługi IaaS platformy Azure Użyj tych ilustracji z następującymi artykułami: - Omówienie - Przechowywanie Azure - Maszyny wirtualne - Sieci wirtualne typu 'spoke' platformy Azure - Wirtualne sieci koncentratora Azure |
Pobieranie programu Visio Zaktualizowano październik 2024 r. |
Stosowanie zasad Zero Trust do usługi Azure IaaS — plakat jednostronicowy Jednostronicowy przegląd procesu stosowania zasad zero trust do środowisk IaaS platformy Azure. |
Aby uzyskać dodatkowe ilustracje techniczne, zobacz Ilustracje Zero Trust dla architektów IT i implementatorów.
Zalecane szkolenie
Konfigurowanie zabezpieczeń magazynu
| Szkolenia | Konfigurowanie zabezpieczeń magazynu |
|---|---|
|
Dowiedz się, jak skonfigurować typowe funkcje zabezpieczeń usługi Azure Storage, takie jak sygnatury dostępu do magazynu. Z tego modułu dowiesz się, jak wykonywać następujące czynności: |
Aby uzyskać więcej szkoleń dotyczących zabezpieczeń na platformie Azure, zobacz następujące zasoby w katalogu firmy Microsoft:
Zabezpieczenia na platformie Azure | Microsoft Learn
Następne kroki
Zapoznaj się z następującymi dodatkowymi artykułami dotyczącymi stosowania zasad zero trust do platformy Azure:
- Omówienie usługi IaaS platformy Azure
- Azure Virtual Desktop
- Wirtualna sieć WAN platformy Azure
- Aplikacje IaaS w usługach Amazon Web Services
- Microsoft Sentinel i Microsoft Defender XDR
Bibliografia
Skorzystaj z poniższych linków, aby dowiedzieć się więcej o różnych usługach i technologiach wymienionych w tym artykule.
- Bezpieczny transfer dla kont usługi Azure Storage
- Zapobieganie anonimowemu publicznemu dostępowi do odczytu do kontenerów i obiektów blob
- Zapobieganie autoryzacji klucza współużytkowanego dla konta usługi Azure Storage
- Bezpieczeństwo sieciowe dla kont Storage
- Prywatne punkty końcowe i połączenie prywatne dla kont magazynowych
- Szyfrowanie usługi Storage (SSE)
- Kontrola dostępu oparta na rolach dla kont magazynu
- Kopia zapasowa obiektów blob platformy Azure
- Najlepsze praktyki dotyczące korzystania z SAS
- Przegląd prywatnych punktów końcowych
- Przegląd punktów końcowych usługi
- Microsoft Defender for Storage