Recomendações de segurança para armazenamento de Blob
Artigo
Este artigo contém recomendações de segurança para armazenamento de Blob. A implementação destas recomendações ajudá-lo-á a cumprir as suas obrigações de segurança, conforme descrito no nosso modelo de responsabilidade partilhada. Para obter mais informações sobre como a Microsoft cumpre as responsabilidades do provedor de serviços, consulte Responsabilidade compartilhada na nuvem.
Algumas das recomendações incluídas neste artigo podem ser monitoradas automaticamente pelo Microsoft Defender for Cloud, que é a primeira linha de defesa na proteção de seus recursos no Azure. Para obter informações sobre o Microsoft Defender for Cloud, consulte O que é o Microsoft Defender for Cloud?
O Microsoft Defender for Cloud analisa periodicamente o estado de segurança dos seus recursos do Azure para identificar potenciais vulnerabilidades de segurança. Em seguida, fornece recomendações sobre como lidar com eles. Para obter mais informações sobre as recomendações do Microsoft Defender for Cloud, consulte Revisar suas recomendações de segurança.
Proteção de dados
Recomendação
Comentários
Defender para a Cloud
Usar o modelo de implantação do Azure Resource Manager
Crie novas contas de armazenamento usando o modelo de implantação do Azure Resource Manager para aprimoramentos de segurança importantes, incluindo controle de acesso baseado em função superior do Azure (Azure RBAC) e auditoria, implantação e governança baseadas no Gerenciador de Recursos, acesso a identidades gerenciadas, acesso ao Cofre de Chaves do Azure para segredos e autenticação e autorização do Microsoft Entra para acesso a dados e recursos do Armazenamento do Azure. Se possível, migre contas de armazenamento existentes que usam o modelo de implantação clássico para usar o Azure Resource Manager. Para obter mais informações sobre o Azure Resource Manager, consulte Visão geral do Azure Resource Manager.
-
Habilite o Microsoft Defender para todas as suas contas de armazenamento
O Microsoft Defender for Storage fornece uma camada adicional de inteligência de segurança que deteta tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas de armazenamento. Os alertas de segurança são acionados no Microsoft Defender for Cloud quando ocorrem anomalias na atividade e também são enviados por e-mail para administradores de assinatura, com detalhes de atividades suspeitas e recomendações sobre como investigar e remediar ameaças. Para obter mais informações, consulte Configurar o Microsoft Defender para armazenamento.
A exclusão suave para blobs permite que você recupere dados de blob depois que eles forem excluídos. Para obter mais informações sobre exclusão suave para blobs, consulte Exclusão suave para blobs de Armazenamento do Azure.
-
Ativar exclusão suave para contêineres
A exclusão suave para contêineres permite que você recupere um contêiner depois que ele tiver sido excluído. Para obter mais informações sobre exclusão suave para contêineres, consulte Exclusão suave para contêineres.
-
Bloquear conta de armazenamento para evitar exclusões acidentais ou maliciosas ou alterações de configuração
Aplique um bloqueio do Azure Resource Manager à sua conta de armazenamento para proteger a conta contra exclusão acidental ou maliciosa ou alteração de configuração. O bloqueio de uma conta de armazenamento não impede que os dados dessa conta sejam excluídos. Apenas impede que a própria conta seja eliminada. Para obter mais informações, consulte Aplicar um bloqueio do Azure Resource Manager a uma conta de armazenamento.
Armazene dados críticos para os negócios em blobs imutáveis
Configure retenções legais e políticas de retenção baseadas no tempo para armazenar dados de blob em um estado WORM (Write Once, Read Many). Os blobs armazenados imutavelmente podem ser lidos, mas não podem ser modificados ou excluídos durante o intervalo de retenção. Para obter mais informações, consulte Armazenar dados de blob críticos para os negócios com armazenamento imutável.
-
Exigir transferência segura (HTTPS) para a conta de armazenamento
Quando você precisa de uma transferência segura para uma conta de armazenamento, todas as solicitações para a conta de armazenamento devem ser feitas por HTTPS. Todas as solicitações feitas por HTTP são rejeitadas. A Microsoft recomenda que você sempre exija uma transferência segura para todas as suas contas de armazenamento. Para obter mais informações, consulte Exigir transferência segura para garantir conexões seguras.
-
Limitar tokens de assinatura de acesso compartilhado (SAS) apenas a conexões HTTPS
Não permitir replicação de objeto entre locatários
Por padrão, um usuário autorizado tem permissão para configurar uma política de replicação de objeto em que a conta de origem está em um locatário do Microsoft Entra e a conta de destino está em um locatário diferente. Não permitir que a replicação de objeto entre locatários exija que as contas de origem e de destino que participam de uma política de replicação de objeto estejam no mesmo locatário. Para obter mais informações, consulte Impedir a replicação de objetos entre locatários do Microsoft Entra.
-
Gestão de identidades e acessos
Recomendação
Comentários
Defender para a Cloud
Usar o Microsoft Entra ID para autorizar o acesso a dados de blob
O Microsoft Entra ID oferece segurança superior e facilidade de uso em relação à Chave Compartilhada para autorizar solicitações para armazenamento de Blob. Para obter mais informações, consulte Autorizar o acesso a dados no Armazenamento do Azure.
-
Lembre-se do princípio de menor privilégio ao atribuir permissões a uma entidade de segurança do Microsoft Entra por meio do RBAC do Azure
Ao atribuir uma função a um usuário, grupo ou aplicativo, conceda a essa entidade de segurança apenas as permissões necessárias para que ela execute suas tarefas. Limitar o acesso aos recursos ajuda a evitar o uso indevido não intencional e mal-intencionado de seus dados.
-
Usar uma SAS de delegação de usuário para conceder acesso limitado aos dados de blob aos clientes
Proteja as chaves de acesso da sua conta com o Azure Key Vault
A Microsoft recomenda o uso do Microsoft Entra ID para autorizar solicitações ao Armazenamento do Azure. No entanto, se tiver de utilizar a autorização de Chave Partilhada, proteja as chaves da sua conta com o Cofre de Chaves do Azure. Você pode recuperar as chaves do cofre de chaves em tempo de execução, em vez de salvá-las com seu aplicativo. Para obter mais informações sobre o Azure Key Vault, consulte Visão geral do Azure Key Vault.
-
Regenere as chaves da sua conta periodicamente
Girar as chaves da conta periodicamente reduz o risco de expor seus dados a agentes mal-intencionados.
-
Não permitir autorização de chave compartilhada
Quando você não permite a autorização de Chave Compartilhada para uma conta de armazenamento, o Armazenamento do Azure rejeita todas as solicitações subsequentes a essa conta que são autorizadas com as chaves de acesso da conta. Somente solicitações seguras autorizadas com o Microsoft Entra ID serão bem-sucedidas. Para obter mais informações, consulte Impedir autorização de chave compartilhada para uma conta de armazenamento do Azure.
-
Tenha em mente o princípio do menor privilégio ao atribuir permissões a uma SAS
Ao criar uma SAS, especifique apenas as permissões que são exigidas pelo cliente para executar sua função. Limitar o acesso aos recursos ajuda a evitar o uso indevido não intencional e mal-intencionado de seus dados.
-
Ter um plano de revogação em vigor para qualquer SAS que você emitir para clientes
Se um SAS for comprometido, você desejará revogá-lo o mais rápido possível. Para revogar uma SAS de delegação de usuário, revogue a chave de delegação de usuário para invalidar rapidamente todas as assinaturas associadas a essa chave. Para revogar uma SAS de serviço associada a uma política de acesso armazenado, você pode excluir a política de acesso armazenado, renomear a política ou alterar seu tempo de expiração para uma hora que está no passado. Para obter mais informações, consulte Conceder acesso limitado aos recursos do Armazenamento do Azure usando assinaturas de acesso compartilhado (SAS).
-
Se uma SAS de serviço não estiver associada a uma política de acesso armazenado, defina o tempo de expiração para uma hora ou menos
Uma SAS de serviço que não está associada a uma política de acesso armazenado não pode ser revogada. Por este motivo, recomenda-se limitar o tempo de expiração para que o SAS seja válido por uma hora ou menos.
-
Desabilitar o acesso de leitura anônima a contêineres e blobs
O acesso de leitura anônimo a um contêiner e seus blobs concede acesso somente leitura a esses recursos a qualquer cliente. Evite habilitar o acesso de leitura anônimo, a menos que seu cenário o exija. Para saber como desabilitar o acesso anônimo para uma conta de armazenamento, consulte Visão geral: corrigindo o acesso de leitura anônimo para dados de blob.
-
Rede
Recomendação
Comentários
Defender para a Cloud
Configure a versão mínima necessária do Transport Layer Security (TLS) para uma conta de armazenamento.
Habilite a opção Transferência segura necessária em todas as suas contas de armazenamento
Quando você habilita a opção Transferência segura necessária , todas as solicitações feitas na conta de armazenamento devem ocorrer em conexões seguras. Todas as solicitações feitas por HTTP falharão. Para obter mais informações, consulte Exigir transferência segura no Armazenamento do Azure.
Configure regras de firewall para limitar o acesso à sua conta de armazenamento a solicitações originadas de endereços IP ou intervalos especificados ou de uma lista de sub-redes em uma Rede Virtual do Azure (VNet). Para obter mais informações sobre como configurar regras de firewall, consulte Configurar firewalls de armazenamento do Azure e redes virtuais.
-
Permitir que serviços confiáveis da Microsoft acessem a conta de armazenamento
Ativar regras de firewall para sua conta de armazenamento bloqueia solicitações de entrada de dados por padrão, a menos que as solicitações sejam originadas de um serviço que opera em uma Rede Virtual do Azure (VNet) ou de endereços IP públicos permitidos. As solicitações bloqueadas incluem as de outros serviços do Azure, do portal do Azure, de serviços de registro em log e métricas e assim por diante. Você pode permitir solicitações de outros serviços do Azure adicionando uma exceção para permitir que serviços confiáveis da Microsoft acessem a conta de armazenamento. Para obter mais informações sobre como adicionar uma exceção para serviços confiáveis da Microsoft, consulte Configurar firewalls de armazenamento do Azure e redes virtuais.
-
Utilizar pontos finais privados
Um ponto de extremidade privado atribui um endereço IP privado da sua Rede Virtual do Azure (VNet) à conta de armazenamento. Protege todo o tráfego entre a sua rede virtual e a conta de armazenamento através de uma ligação privada. Para obter mais informações sobre pontos de extremidade privados, consulte Conectar-se de forma privada a uma conta de armazenamento usando o Ponto de Extremidade Privado do Azure.
-
Usar tags de serviço VNet
Uma marca de serviço representa um grupo de prefixos de endereço IP de um determinado serviço do Azure. A Microsoft gerencia os prefixos de endereço incluídos pela etiqueta de serviço e atualiza automaticamente a etiqueta de serviço à medida que os endereços mudam. Para obter mais informações sobre marcas de serviço suportadas pelo Armazenamento do Azure, consulte Visão geral das marcas de serviço do Azure. Para obter um tutorial que mostra como usar tags de serviço para criar regras de rede de saída, consulte Restringir o acesso a recursos de PaaS.
-
Limitar o acesso à rede a redes específicas
Limitar o acesso à rede a redes que hospedam clientes que precisam de acesso reduz a exposição de seus recursos a ataques de rede.
Você pode configurar a preferência de roteamento de rede para sua conta de armazenamento do Azure para especificar como o tráfego de rede é roteado para sua conta de clientes pela Internet usando a rede global da Microsoft ou o roteamento da Internet. Para obter mais informações, consulte Configurar preferência de roteamento de rede para o Armazenamento do Azure.
Configure alertas de log para avaliar logs de recursos em uma frequência definida e dispare um alerta com base nos resultados. Para obter mais informações, consulte Registrar alertas no Azure Monitor.