Przegląd strategii zabezpieczeń usługi Azure Storage
Administracja istratorzy używają różnych strategii w celu zapewnienia bezpieczeństwa ich danych. Typowe podejścia obejmują szyfrowanie, uwierzytelnianie, autoryzację i kontrolę dostępu użytkowników przy użyciu poświadczeń, uprawnień do plików i podpisów prywatnych. Usługa Azure Storage oferuje zestaw funkcji zabezpieczeń opartych na typowych strategiach, które ułatwiają zabezpieczanie danych.
Informacje o strategiach zabezpieczeń usługi Azure Storage
Przyjrzyjmy się niektórym cechom zabezpieczeń usługi Azure Storage.
Szyfrowanie. Wszystkie dane zapisane w usłudze Azure Storage są automatycznie szyfrowane przy użyciu szyfrowania usługi Azure Storage.
Uwierzytelnianie. Usługa Microsoft Entra ID i kontrola dostępu oparta na rolach (RBAC) są obsługiwane w usłudze Azure Storage zarówno w przypadku operacji zarządzania zasobami, jak i operacji na danych.
- Przypisz role RBAC w zakresie do konta usługi Azure Storage do podmiotów zabezpieczeń i użyj identyfikatora Entra firmy Microsoft, aby autoryzować operacje zarządzania zasobami, takie jak zarządzanie kluczami.
- Integracja z firmą Microsoft Entra jest obsługiwana w przypadku operacji na danych w usłudze Azure Blob Storage i usłudze Azure Queue Storage.
Dane przesyłane. Dane mogą być zabezpieczone podczas przesyłania między aplikacją a platformą Azure przy użyciu szyfrowania po stronie klienta, protokołu HTTPS lub protokołu SMB 3.0.
Szyfrowanie dysków. Dyski systemu operacyjnego i dyski danych używane przez usługę Azure Virtual Machines mogą być szyfrowane przy użyciu usługi Azure Disk Encryption.
Sygnatury dostępu współdzielonego. Delegowany dostęp do obiektów danych w usłudze Azure Storage można udzielić przy użyciu sygnatury dostępu współdzielonego (SAS).
Autoryzacja. Każde żądanie dotyczące zabezpieczonego zasobu w usłudze Blob Storage, Azure Files, Queue Storage lub Azure Cosmos DB (Azure Table Storage) musi być autoryzowane. Autoryzacja zapewnia, że zasoby na koncie magazynu są dostępne tylko wtedy, gdy mają być, i tylko dla tych użytkowników lub aplikacji, którym udzielasz dostępu.
Kwestie, które należy wziąć pod uwagę podczas korzystania z zabezpieczeń autoryzacji
Zapoznaj się z poniższymi strategiami autoryzacji żądań do usługi Azure Storage. Zastanów się, jakie strategie zabezpieczeń będą działać w usłudze Azure Storage.
| Strategia autoryzacji | opis |
|---|---|
| Tożsamość Microsoft Entra | Microsoft Entra ID to oparta na chmurze usługa zarządzania tożsamościami i dostępem firmy Microsoft. Za pomocą identyfikatora Entra firmy Microsoft można przypisać precyzyjny dostęp do użytkowników, grup lub aplikacji przy użyciu kontroli dostępu opartej na rolach. |
| Klucz wspólny | Autoryzacja klucza współdzielonego opiera się na kluczach dostępu do konta usługi Azure Storage i innych parametrach w celu utworzenia zaszyfrowanego ciągu podpisu. Ciąg jest przekazywany do żądania w nagłówku Autoryzacja. |
| Sygnatury dostępu współdzielonego | Sygnatura dostępu współdzielonego deleguje dostęp do określonego zasobu na koncie usługi Azure Storage z określonymi uprawnieniami i określonym interwałem czasu. |
| Anonimowy dostęp do kontenerów i obiektów blob | Opcjonalnie możesz udostępnić zasoby obiektów blob na poziomie kontenera lub obiektu blob. Publiczny kontener lub obiekt blob jest dostępny dla dowolnego użytkownika w celu uzyskania anonimowego dostępu do odczytu. Żądania odczytu do kontenerów publicznych i obiektów blob nie wymagają autoryzacji. |