Streszczenie

  • 3 minut

W tym module przedstawiono sposób planowania i implementowania środków zabezpieczeń dla usługi Azure Storage zgodnie z zasadami zerowego zaufania i strategiami ochrony w głębi systemu.

Kluczowe pojęcia, które zostały omówione

Uwierzytelnianie i autoryzacja: znasz nowoczesne metody uwierzytelniania dla usługi Azure Storage, z naciskiem na microsoft Entra ID jako preferowane podejście do kluczy dostępu współdzielonego. Nauczyłeś się, jak zaimplementować kontrolę dostępu opartą na rolach w usłudze Azure dla magazynu obiektów blob, kolejek i tabel, zrozumieć, kiedy stosować zarządzane tożsamości dla aplikacji w porównaniu z innymi metodami uwierzytelniania. Nauczyłeś się również, jak właściwie zarządzać kluczami dostępu do konta magazynu, obejmując bezpieczne przechowywanie w Azure Key Vault oraz strategie rotacji kluczy w celu zminimalizowania zagrożeń bezpieczeństwa.

Zabezpieczenia Specyficzne dla Usługi: Zbadano metody autoryzacji dostosowane do każdej usługi Azure Storage:

  • Azure Files: konfigurowanie uwierzytelniania opartego na tożsamościach przy użyciu usług Microsoft Entra Domain Services lub Active Directory Domain Services oraz implementowanie uprawnień na poziomie udziału i na poziomie plików
  • Blob Storage: Wykorzystanie Microsoft Entra ID dla zapewnienia bezpiecznego dostępu z odpowiednimi wbudowanymi i niestandardowymi rolami RBAC
  • Table Storage: Implementowanie autoryzacji za pomocą Microsoft Entra ID przy użyciu właściwego przypisania ról
  • Queue Storage: autoryzowanie dostępu za pośrednictwem witryny Azure Portal i programowe używanie poświadczeń identyfikatora Entra firmy Microsoft

Ochrona danych i odzyskiwanie: Przedstawiono kompleksowe strategie ochrony danych, w szczególności miękkie usuwanie dla kontenerów i obiektów blob, wersjonowanie obiektów blob dla śledzenia zmian, przywracanie do określonego punktu w czasie i niezmienne zasady magazynowania dla wymagań zgodności. Te mechanizmy ochrony zapewniają szczegółową ochronę przed przypadkowym usunięciem, złośliwymi modyfikacjami i atakami wymuszającym okup.

Opcje szyfrowania zaawansowanego: poznaliśmy zaawansowane możliwości szyfrowania dla środowisk regulowanych i zabezpieczeń o wysokim poziomie:

  • Bring Your Own Key (BYOK): Utrzymywanie kontroli nad cyklem życia klucza szyfrowania przez bezpieczne importowanie kluczy z lokalnych modułów HSM do usługi Azure Key Vault
  • Szyfrowanie infrastruktury: włączanie podwójnego szyfrowania zarówno na poziomie usługi, jak i infrastruktury dla organizacji z rygorystycznymi wymaganiami dotyczącymi zgodności

Podkreślone zasady zabezpieczeń

W tym module wzmocniono kilka krytycznych zasad zabezpieczeń:

  • Podejście zerowe zaufania: Nigdy nie ufaj, zawsze weryfikuj — preferuj uwierzytelnianie oparte na tożsamościach za pośrednictwem kluczy dostępu i tokenów
  • Ochrona w głębi systemu: Implementowanie wielu warstw mechanizmów kontroli zabezpieczeń, w tym uwierzytelniania, autoryzacji, szyfrowania i ochrony danych
  • Dostęp z najmniejszymi uprawnieniami: przyznaj użytkownikom i aplikacjom tylko minimalne uprawnienia niezbędne do wykonywania wymaganych zadań
  • Rozdzielenie obowiązków: używanie różnych kluczy i mechanizmów w różnych warstwach szyfrowania w celu zminimalizowania ryzyka naruszenia zabezpieczeń
  • Gotowość do zgodności: korzystaj z wbudowanych funkcji, takich jak zasady niezmienności, szyfrowanie BYOK i szyfrowanie infrastruktury, aby spełnić wymagania prawne

Stosując te pojęcia i najlepsze rozwiązania, można projektować i implementować niezawodne architektury zabezpieczeń dla usługi Azure Storage, które chronią dane w całym cyklu życia, zachowując wydajność operacyjną i spełniając zobowiązania dotyczące zgodności.