Examinar as estratégias de segurança de Armazenamento do Azure
Os administradores usam estratégias diferentes para garantir a segurança dos dados. As abordagens comuns incluem criptografia, autenticação, autorização e controle de acesso do usuário com credenciais, permissões de arquivo e assinaturas privadas. O Armazenamento do Azure oferece um conjunto de recursos de segurança com base em estratégias comuns para ajudá-lo a proteger seus dados.
Informações sobre as estratégias de segurança do Armazenamento do Azure
Vamos examinar algumas características da segurança do Armazenamento do Azure.
Criptografia. Todos os dados gravados no Armazenamento do Azure são criptografados automaticamente usando a criptografia do Armazenamento do Azure.
Autenticação. O Microsoft Entra ID e o RBAC (controle de acesso baseado em função) têm suporte para o Armazenamento do Azure para operações de gerenciamento de recursos e operações de dados.
- Atribua funções RBAC com escopo de uma conta de armazenamento do Azure a entidades de segurança e use o Microsoft Entra ID para autorizar operações de gerenciamento de recursos, como o gerenciamento de chaves.
- A integração do Microsoft Entra tem suporte para operações de dados no Armazenamento de Blobs do Azure e no Armazenamento de Filas do Azure.
Dados em trânsito. Os dados podem ser protegidos em trânsito, entre um aplicativo e o Azure usando a Criptografia do cliente, HTTPs ou SMB 3.0.
Criptografia de disco. Os discos do sistema operacional e os discos de dados usados pelas Máquinas Virtuais do Azure podem ser criptografados usando o Azure Disk Encryption.
Assinaturas de acesso compartilhado. O acesso delegado aos objetos de dados no Armazenamento do Azure pode ser permitido usando uma SAS (assinatura de acesso compartilhado).
Autorização. Todas as solicitações feitas em um recurso seguro no Armazenamento de Blobs, Arquivos do Azure, Armazenamento de Filas ou Azure Cosmos DB (Armazenamento de Tabelas do Azure) devem ser autorizadas. A autorização garante que os recursos na conta de armazenamento fiquem acessíveis somente quando você quiser e somente para os usuários ou aplicativos aos quais você conceder acesso.
Coisas a considerar ao usar a segurança de autorização
Examine as estratégias a seguir para autorizar solicitações para o Armazenamento do Azure. Pense em quais estratégias de segurança funcionariam no Armazenamento do Azure.
| Estratégia de autorização | Descrição |
|---|---|
| Microsoft Entra ID | O Microsoft Entra ID é a solução de gerenciamento de identidade e acesso baseada em nuvem da Microsoft. Com o Microsoft Entra ID, é possível atribuir acesso refinado a usuários, grupos ou aplicativos usando o controle de acesso baseado em função. |
| Chave Compartilhada | A autorização com Chave Compartilhada usa as chaves de acesso da conta de armazenamento do Azure e outros parâmetros para produzir uma cadeia de caracteres de assinatura criptografada. A cadeia de caracteres é passada na solicitação no cabeçalho Autorização. |
| Assinaturas de acesso compartilhado | As SAS delegam acesso a um recurso específico de sua conta de armazenamento do Azure, com permissões especificadas e para um intervalo de tempo especificado. |
| Acesso anônimo a contêineres e blobs | Opcionalmente, você pode tornar os recursos de blob públicos no nível do contêiner ou do blob. Qualquer usuário pode ter acesso de leitura anônimo a um contêiner ou blob público. Solicitações de leitura para contêineres e blobs públicos não exigem autorização. |