Recomendações de segurança para o armazenamento de Blobs
Artigo
10 minutos para ler
Este artigo contém recomendações de segurança para o armazenamento de Blobs. A implementação destas recomendações irá ajudá-lo a cumprir as suas obrigações de segurança, conforme descrito no nosso modelo de responsabilidade partilhada. Para obter mais informações sobre como a Microsoft cumpre as responsabilidades do fornecedor de serviços, veja Responsabilidade partilhada na cloud.
Algumas das recomendações incluídas neste artigo podem ser monitorizadas automaticamente pelo Microsoft Defender para a Cloud, que é a primeira linha de defesa na proteção dos seus recursos no Azure. Para obter informações sobre Microsoft Defender para a Cloud, consulte O que é Microsoft Defender para a Cloud?
Microsoft Defender para a Cloud analisa periodicamente o estado de segurança dos seus recursos do Azure para identificar potenciais vulnerabilidades de segurança. Em seguida, fornece-lhe recomendações sobre como resolvê-las. Para obter mais informações sobre Microsoft Defender para recomendações da Cloud, veja Rever as recomendações de segurança.
Proteção de dados
Recomendação
Comentários
Defender para a Cloud
Utilizar o modelo de implementação do Azure Resource Manager
Crie novas contas de armazenamento com o modelo de implementação do Azure Resource Manager para melhorias de segurança importantes, incluindo controlo de acesso baseado em funções (RBAC do Azure) e auditoria, implementação e governação baseadas em Resource Manager, acesso a identidades geridas, acesso ao Azure Key Vault para segredos e Azure AD autenticação e autorização baseadas no acesso aos dados e recursos do Armazenamento do Microsoft Azure. Se possível, migre contas de armazenamento existentes que utilizem o modelo de implementação clássica para utilizar o Azure Resource Manager. Para obter mais informações sobre o Azure Resource Manager, veja Descrição geral do Azure Resource Manager.
-
Ativar Microsoft Defender para todas as suas contas de armazenamento
Microsoft Defender de Armazenamento fornece uma camada adicional de informações de segurança que deteta tentativas invulgares e potencialmente prejudiciais para aceder ou explorar contas de armazenamento. Os alertas de segurança são acionados no Microsoft Defender para a Cloud quando ocorrem anomalias na atividade e também são enviados por e-mail aos administradores da subscrição, com detalhes de atividades suspeitas e recomendações sobre como investigar e remediar ameaças. Para obter mais informações, veja Configurar Microsoft Defender para Armazenamento.
A eliminação recuperável de blobs permite-lhe recuperar dados de blobs depois de terem sido eliminados. Para obter mais informações sobre a eliminação recuperável de blobs, veja Eliminação recuperável para blobs de Armazenamento do Azure.
-
Ativar a eliminação recuperável para contentores
A eliminação recuperável de contentores permite-lhe recuperar um contentor depois de ter sido eliminado. Para obter mais informações sobre a eliminação recuperável de contentores, veja Eliminação recuperável de contentores.
-
Bloquear a conta de armazenamento para evitar alterações de configuração ou eliminação acidental ou maliciosa
Aplique um bloqueio de Resource Manager do Azure à sua conta de armazenamento para proteger a conta contra eliminação acidental ou maliciosa ou alteração de configuração. Bloquear uma conta de armazenamento não impede que os dados nessa conta sejam eliminados. Apenas impede que a própria conta seja eliminada. Para obter mais informações, veja Aplicar um bloqueio de Resource Manager do Azure a uma conta de armazenamento.
Armazenar dados críticos para a empresa em blobs imutáveis
Configure suspensões legais e políticas de retenção baseadas no tempo para armazenar dados de blobs num estado WORM (Escrever Uma Vez, Ler Muitos). Os blobs armazenados imutavelmente podem ser lidos, mas não podem ser modificados ou eliminados durante o intervalo de retenção. Para obter mais informações, veja Armazenar dados de blobs críticos para a empresa com armazenamento imutável.
-
Exigir transferência segura (HTTPS) para a conta de armazenamento
Quando precisa de transferência segura para uma conta de armazenamento, todos os pedidos para a conta de armazenamento têm de ser efetuados através de HTTPS. Todos os pedidos feitos através de HTTP são rejeitados. A Microsoft recomenda que necessite sempre de transferência segura para todas as suas contas de armazenamento. Para obter mais informações, veja Exigir transferência segura para garantir ligações seguras.
-
Limitar tokens de assinatura de acesso partilhado (SAS) apenas a ligações HTTPS
Utilizar o Azure Active Directory (Azure AD) para autorizar o acesso aos dados de blobs
Azure AD fornece segurança superior e facilidade de utilização através da Chave Partilhada para autorizar pedidos para o armazenamento de Blobs. Para obter mais informações, veja Autorizar o acesso aos dados no Armazenamento do Azure.
-
Tenha em atenção o princípio do menor privilégio ao atribuir permissões a um principal de segurança Azure AD através do RBAC do Azure
Ao atribuir uma função a um utilizador, grupo ou aplicação, conceda a esse principal de segurança apenas as permissões necessárias para que efetuem as respetivas tarefas. Limitar o acesso aos recursos ajuda a evitar utilizações indevidas não intencionais e maliciosas dos seus dados.
-
Utilizar uma SAS de delegação de utilizador para conceder acesso limitado aos dados de blobs aos clientes
Proteger as chaves de acesso da conta com o Azure Key Vault
A Microsoft recomenda a utilização de Azure AD para autorizar pedidos para o Armazenamento do Microsoft Azure. No entanto, se tiver de utilizar a autorização de Chave Partilhada, proteja as chaves de conta com o Azure Key Vault. Pode obter as chaves do cofre de chaves no runtime, em vez de as guardar com a sua aplicação. Para obter mais informações sobre o Azure Key Vault, veja Descrição geral do Azure Key Vault.
-
Regenerar as chaves de conta periodicamente
Rodar as chaves de conta reduz periodicamente o risco de expor os seus dados a atores maliciosos.
-
Não permitir autorização da Chave Partilhada
Quando não autoriza a Autorização de Chave Partilhada para uma conta de armazenamento, o Armazenamento do Microsoft Azure rejeita todos os pedidos subsequentes para essa conta que estão autorizados com as chaves de acesso da conta. Apenas os pedidos protegidos autorizados com Azure AD serão bem-sucedidos. Para obter mais informações, veja Impedir a autorização de Chave Partilhada para uma conta de Armazenamento do Azure.
-
Tenha em atenção o princípio do menor privilégio ao atribuir permissões a uma SAS
Ao criar uma SAS, especifique apenas as permissões necessárias pelo cliente para executar a respetiva função. Limitar o acesso aos recursos ajuda a evitar utilizações indevidas não intencionais e maliciosas dos seus dados.
-
Ter um plano de revogação implementado para qualquer SAS que emita aos clientes
Se uma SAS for comprometida, deverá revogar essa SAS o mais rapidamente possível. Para revogar uma SAS de delegação de utilizador, revogue a chave de delegação de utilizador para invalidar rapidamente todas as assinaturas associadas a essa chave. Para revogar uma SAS de serviço associada a uma política de acesso armazenada, pode eliminar a política de acesso armazenada, mudar o nome da política ou alterar o tempo de expiração para uma hora anterior. Para obter mais informações, veja Conceder acesso limitado aos recursos do Armazenamento do Microsoft Azure com assinaturas de acesso partilhado (SAS).
-
Se uma SAS de serviço não estiver associada a uma política de acesso armazenada, defina o tempo de expiração para uma hora ou menos
Não é possível revogar uma SAS de serviço que não esteja associada a uma política de acesso armazenada. Por este motivo, recomenda-se limitar o tempo de expiração para que a SAS seja válida durante uma hora ou menos.
-
Desativar o acesso de leitura público anónimo a contentores e blobs
O acesso de leitura público anónimo a um contentor e respetivos blobs concede acesso só de leitura a esses recursos a qualquer cliente. Evite ativar o acesso de leitura público, a menos que o seu cenário o exija. Para saber como desativar o acesso público anónimo para uma conta de armazenamento, veja Descrição geral: Remediar o acesso de leitura público anónimo para dados de blobs.
-
Rede
Recomendação
Comentários
Defender para a Cloud
Configure a versão mínima necessária do Transport Layer Security (TLS) para uma conta de armazenamento.
Ativar a opção Transferência segura necessária em todas as suas contas de armazenamento
Quando ativa a opção Transferência segura necessária , todos os pedidos feitos na conta de armazenamento têm de ocorrer em ligações seguras. Todos os pedidos efetuados através de HTTP falharão. Para obter mais informações, veja Exigir transferência segura no Armazenamento do Azure.
Configure regras de firewall para limitar o acesso à sua conta de armazenamento a pedidos com origem em intervalos ou endereços IP especificados ou a partir de uma lista de sub-redes numa Rede Virtual do Azure (VNet). Para obter mais informações sobre como configurar regras de firewall, veja Configurar firewalls e redes virtuais do Armazenamento do Azure.
-
Permitir que os serviços Microsoft fidedignos acedam à conta de armazenamento
Ativar as regras de firewall para a sua conta de armazenamento bloqueia os pedidos de dados recebidos por predefinição, a menos que os pedidos tenham origem num serviço que opera num Rede Virtual do Azure (VNet) ou a partir de endereços IP públicos permitidos. Os pedidos bloqueados incluem os de outros serviços do Azure, do portal do Azure, dos serviços de registo e métricas, etc. Pode permitir pedidos de outros serviços do Azure ao adicionar uma exceção para permitir que os serviços Microsoft fidedignos acedam à conta de armazenamento. Para obter mais informações sobre como adicionar uma exceção para serviços Microsoft fidedignos, veja Configurar firewalls e redes virtuais do Armazenamento do Azure.
-
Utilizar pontos finais privados
Um ponto final privado atribui um endereço IP privado do seu Rede Virtual do Azure (VNet) à conta de armazenamento. Protege todo o tráfego entre a VNet e a conta de armazenamento através de uma ligação privada. Para obter mais informações sobre pontos finais privados, veja Ligar em privado a uma conta de armazenamento com o Ponto Final Privado do Azure.
-
Utilizar etiquetas de serviço VNet
Uma etiqueta de serviço representa um grupo de prefixos de endereço IP de um determinado serviço do Azure. A Microsoft gere os prefixos de endereços englobados pela etiqueta de serviço e atualiza automaticamente a etiqueta de serviço à medida que os endereços mudam. Para obter mais informações sobre as etiquetas de serviço suportadas pelo Armazenamento do Azure, veja Descrição geral das etiquetas de serviço do Azure. Para obter um tutorial que mostra como utilizar etiquetas de serviço para criar regras de rede de saída, veja Restringir o acesso aos recursos PaaS.
-
Limitar o acesso de rede a redes específicas
Limitar o acesso à rede a redes que alojam clientes que necessitam de acesso reduz a exposição dos seus recursos a ataques de rede.
Pode configurar a preferência de encaminhamento de rede para a sua conta de armazenamento do Azure para especificar a forma como o tráfego de rede é encaminhado para a sua conta a partir de clientes através da Internet através da rede global da Microsoft ou do encaminhamento da Internet. Para obter mais informações, veja Configurar a preferência de encaminhamento de rede para o Armazenamento do Azure.
Configure alertas de registo para avaliar os registos de recursos com uma frequência definida e acione um alerta com base nos resultados. Para obter mais informações, veja Alertas de registo no Azure Monitor.