Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Это важно
Эта базовая база безопасности основана на предыдущей версии Microsoft Cloud Security Benchmark (версии 1.0) и может содержать устаревшие рекомендации. Последние рекомендации по безопасности см. в документации по хранилищу.
Этот базовый уровень безопасности применяет руководства из Microsoft Cloud Security Benchmark версии 1.0 к хранилищу. Тест безопасности облака Майкрософт предоставляет рекомендации по защите облачных решений в Azure. Содержимое сгруппировано элементами управления безопасностью, определенными тестом безопасности Microsoft Cloud Security, и соответствующим руководством, применимым к хранилищу.
Вы можете отслеживать эти базовые показатели безопасности и их рекомендации с помощью Microsoft Defender для облака. Определения политики Azure будут перечислены в разделе "Соответствие нормативным требованиям" на странице портала Microsoft Defender для облака.
Если функция имеет соответствующие определения политики Azure, они перечислены в этом базовом плане, чтобы помочь вам оценить соответствие требованиям средств управления и рекомендаций microsoft cloud security benchmark. Для некоторых рекомендаций может потребоваться платный план Microsoft Defender для включения определенных сценариев безопасности.
Замечание
Функции , неприменимые к хранилищу, были исключены. Чтобы узнать, как хранилище полностью сопоставляется с эталонным показателем безопасности Microsoft Cloud Security, см. полный файл сопоставления базовых показателей безопасности хранилища.
Профиль безопасности
Профиль безопасности обобщает серьезные воздействия поведения хранилища, которые могут привести к усилению внимания к вопросам безопасности.
| Атрибут поведения службы | Ценность |
|---|---|
| Категория продукта | Storage |
| Клиент может получить доступ к HOST / OS | Нет доступа |
| Служба может быть развернута в виртуальной сети клиента | True |
| Сохраняет содержимое данных клиента в состоянии покоя | True |
Сетевая безопасность
Дополнительные сведения см. в эталоне безопасности облака Майкрософт: сетевая безопасность.
NS-1. Установка границ сегментации сети
Функции
Интеграция виртуальной сети
Описание. Служба поддерживает развертывание в частной виртуальной сети клиента. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Не применимо | Не применимо |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
NS-2. Защита облачных служб с помощью сетевых элементов управления
Функции
Приватный канал Azure
Описание. Возможность фильтрации ip-адресов в собственном коде службы для фильтрации сетевого трафика (не следует путать с NSG или брандмауэром Azure). Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Клиент |
Руководство по настройке. Развертывание частных конечных точек для службы хранилища Azure для создания частной точки доступа для ресурсов.
Справочник. Использование частных конечных точек для службы хранилища Azure
Отключение доступа к общедоступной сети
Описание. Служба поддерживает отключение доступа к общедоступной сети с помощью правила фильтрации IP-адресов уровня обслуживания (не NSG или брандмауэра Azure) или переключателя переключателя "Отключить доступ к общедоступной сети". Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Клиент |
Руководство по настройке. Отключите доступ к общедоступной сети, используя фильтрацию IP на уровне службы Azure Storage с помощью списков управления доступом (ACL) или переключатель для доступа к общедоступной сети.
Справочник. Изменение правила доступа к сети по умолчанию
Управление идентичностью
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Управление удостоверениями.
IM-1. Использование централизованной системы идентификации и проверки подлинности
Функции
Требуется проверка подлинности Azure AD для доступа к плоскости управления данными.
Описание. Служба поддерживает проверку подлинности Azure AD для доступа к плоскости данных. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | True | Microsoft |
Заметки о функциях. Хранилище предлагает несколько способов авторизации в плоскости данных. Azure обеспечивает управление доступом на основе ролей Azure (Azure RBAC) для точного контроля доступа клиента к ресурсам в учетной записи хранения. Используйте учетные данные Azure AD, если это возможно, в целях повышения безопасности вместо использования ключа учетной записи, который может быть легче скомпрометирован. Если для разработки приложения требуются подписанные URL-адреса для совместного доступа к хранилищу BLOB-объектов, используйте учетные данные Azure AD для создания делегированных подписанных URL-адресов пользователей (SAS), если это возможно для обеспечения повышенной безопасности.
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.
Справочник.Авторизация доступа к данным в службе хранилища Azure
Методы локальной аутентификации для доступа к плоскости данных
Описание. Локальные методы проверки подлинности, поддерживаемые для доступа к плоскости данных, например локальное имя пользователя и пароль. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Клиент |
Заметки о функциях. Избегайте использования локальных методов проверки подлинности или учетных записей, их следует отключить везде, где это возможно. Вместо этого используйте Azure AD для проверки подлинности по возможности.
Руководство по настройке. Ограничение использования локальных методов проверки подлинности для доступа к плоскости данных. Вместо этого используйте Azure Active Directory (Azure AD) в качестве метода проверки подлинности по умолчанию для управления доступом к плоскости данных.
Справочник. Модель разрешений SFTP
IM-3. Безопасное и автоматическое управление идентичностями приложений
Функции
Управляемые учётные записи
Описание: Действия плоскости данных поддерживают проверку подлинности с помощью управляемых удостоверений. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Клиент |
Руководство по настройке: Используйте управляемые удостоверения Azure вместо учетных записей службы, которые могут аутентифицировать в службах и ресурсах Azure, поддерживающих аутентификацию в Azure Active Directory (Azure AD). Учетные данные управляемой идентификации полностью управляются, обновляются и защищаются платформой, исключая необходимость жестко прописанных учетных данных в исходном коде или файлах конфигурации.
Справочник. Авторизация доступа к данным BLOB-объектов с помощью управляемых удостоверений для ресурсов Azure
Субъекты-службы
Описание: Плоскость данных поддерживает аутентификацию с использованием служебных принципов. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Клиент |
Дополнительные рекомендации. С помощью Azure AD можно использовать управление доступом на основе ролей Azure (Azure RBAC) для предоставления разрешений субъекту безопасности, который может быть пользователем, группой или субъектом-службой приложений. Субъект безопасности проходит проверку подлинности Azure AD для возврата токена OAuth 2.0. Затем токен можно использовать для авторизации запроса к службе Blob.
Справочник. Авторизация доступа к BLOB-объектам с помощью Azure Active Directory
IM-7. Ограничение доступа к ресурсам в зависимости от условий
Функции
Условный доступ к каналу данных
Описание. Доступ к плоскости данных можно контролировать с помощью политик условного доступа Azure AD. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Клиент |
Руководство по настройке. Определите применимые условия и критерии условного доступа Azure Active Directory (Azure AD) в рабочей нагрузке. Рассмотрим распространенные варианты использования, такие как блокировка или предоставление доступа из определенных расположений, блокировка рискованного входа или требование устройств, управляемых организацией для конкретных приложений.
Справочник. Запретить авторизацию общего ключа для использования условного доступа Azure AD
IM-8. Ограничение раскрытия учетных данных и секретов
Функции
Поддержка интеграции и хранения учетных данных службы и секретов в Azure Key Vault
Описание: Плоскость данных поддерживает нативное использование Azure Key Vault в качестве хранилища учетных данных и секретов. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Клиент |
Руководство по настройке. Убедитесь, что секреты и учетные данные хранятся в безопасных расположениях, таких как Azure Key Vault, вместо внедрения их в файлы кода или конфигурации.
Справочник. Управление ключами учетной записи хранения с помощью Key Vault и Azure CLI
Привилегированный доступ
Дополнительные сведения см. в эталоне безопасности облака Майкрософт: привилегированный доступ.
PA-1. Разделение и ограничение высоко привилегированных или административных пользователей
Функции
Учетные записи локального администратора
Описание. Служба имеет концепцию локальной административной учетной записи. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Не применимо | Не применимо |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
PA-7. Следуйте принципу достаточного уровня администрирования (принцип наименьших привилегий)
Функции
Azure RBAC для плоскости данных
Описание: Управление доступом на основе роли в Azure (Azure RBAC) можно использовать для управления доступом к действиям уровня плоскости данных службы. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Клиент |
Руководство по настройке. Служба хранилища Azure поддерживает использование Azure Active Directory (Azure AD) для авторизации запросов к данным BLOB-объектов. С помощью Azure AD можно использовать управление доступом на основе ролей Azure (Azure RBAC) для предоставления разрешений субъекту безопасности, который может быть пользователем, группой или субъектом-службой приложений.
Авторизация запросов к службе хранилища Azure с помощью Azure AD обеспечивает более высокую безопасность и простоту использования при авторизации общего ключа. Корпорация Майкрософт рекомендует использовать авторизацию Azure AD с приложениями Blob, по возможности, чтобы обеспечить доступ с минимально необходимыми привилегиями.
Справочник. Авторизация доступа к BLOB-объектам с помощью Azure Active Directory
PA-8. Определение процесса доступа для поддержки поставщика облачных служб
Функции
Сервис "Контроль доступа клиентов"
Описание. Для доступа в службу поддержки Майкрософт можно использовать папку "Блокировка клиента". Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Клиент |
Руководство по настройке. В сценариях поддержки, в которых корпорация Майкрософт должна получить доступ к данным, используйте блокировку клиента для проверки, а затем утвердить или отклонить все запросы на доступ к данным Майкрософт.
Ссылка: Customer Lockbox
Защита данных
Дополнительные сведения см. в эталоне безопасности облака Майкрософт: защита данных.
DP-1: обнаружение, классификация и метка конфиденциальных данных
Функции
Обнаружение конфиденциальных данных и классификация
Описание. Средства (например, Azure Purview или Azure Information Protection) можно использовать для обнаружения и классификации данных в службе. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Клиент |
Заметки о функциях. Интеграция хранилища с Azure purview в настоящее время находится в закрытой предварительной версии.
Руководство по настройке. Используйте Azure Purview для сканирования, классификации и метки всех конфиденциальных данных, находящихся в службе хранилища Azure.
Справочник.Подключение к хранилищу BLOB-объектов Azure в Microsoft Purview
DP-2. Мониторинг аномалий и угроз, нацеленных на конфиденциальные данные
Функции
Защита от утечки и потери данных
Описание: Служба поддерживает решение DLP для мониторинга перемещения конфиденциальных данных (в содержимом клиента). Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Клиент |
Руководство по настройке. Defender для хранилища постоянно анализирует поток телеметрии, созданный службами хранилища BLOB-объектов Azure и служб файлов Azure. При обнаружении потенциально вредоносных действий создаются оповещения системы безопасности. Эти оповещения отображаются в Microsoft Defender для облака вместе с подробными сведениями о подозрительных действиях, а также о соответствующими шагами расследования, действиями по исправлению и рекомендациями по безопасности.
Microsoft Defender для хранилища встроен в Microsoft Defender для облака. При включении расширенных функций безопасности Microsoft Defender для облака в подписке Microsoft Defender для хранилища автоматически включается для всех учетных записей хранения. Вы можете включить или отключить Защитник для хранилищ для отдельных учетных записей хранилищ в пределах определенной подписки.
Справочник. Настройка Microsoft Defender для хранилища
DP-3. Шифрование конфиденциальных данных при передаче
Функции
Шифрование данных при передаче
Описание. Служба поддерживает шифрование данных в транзитном режиме для плоскости данных. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | True | Microsoft |
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.
Справочник.Применение минимальной требуемой версии протокола TLS для запросов к учетной записи хранения
DP-4. Включение шифрования неактивных данных по умолчанию
Функции
Шифрование неактивных данных с помощью ключей платформы
Описание. Шифрование неактивных данных с помощью ключей платформы поддерживается, любое содержимое клиента, неактивное, шифруется с помощью этих управляемых корпорацией Майкрософт ключей. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | True | Microsoft |
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.
Справочник. Шифрование службы хранилища Azure для неактивных данных
DP-5. Использование параметра ключа, управляемого клиентом, в неактивных шифрованиях данных при необходимости
Функции
Шифрование неактивных данных с помощью CMK
Описание. Шифрование неактивных данных с помощью ключей, управляемых клиентом, поддерживается для содержимого клиента, хранящегося службой. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Клиент |
Руководство по настройке. Если требуется для соответствия нормативным требованиям, определите вариант использования и область обслуживания, где требуется шифрование с помощью ключей, управляемых клиентом. Включение и реализация шифрования неактивных данных для данных в области с помощью ключа, управляемого клиентом для службы хранилища Azure.
Справочник. Управляемые клиентом ключи для шифрования службы хранилища Azure
DP-6. Использование процесса безопасного управления ключами
Функции
Управление ключами в Azure Key Vault
Описание. Служба поддерживает интеграцию Azure Key Vault для любых ключей клиентов, секретов или сертификатов. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Клиент |
Руководство по настройке. Используйте Azure Key Vault для создания и управления жизненным циклом ключей шифрования, включая создание ключей, распространение и хранение. Ротация и аннулирование ключей в Azure Key Vault и вашей службе на основе установленного расписания или при завершении срока действия или компрометации ключей. Если необходимо использовать управляемый клиентом ключ (CMK) в рабочей нагрузке, службе или на уровне приложения, убедитесь, что вы следуйте рекомендациям по управлению ключами: используйте иерархию ключей для создания отдельного ключа шифрования данных (DEK) с ключом шифрования ключей (KEK) в хранилище ключей. Убедитесь, что ключи зарегистрированы в Azure Key Vault и ссылаются с помощью идентификаторов ключей из службы или приложения. Если вам нужно перенести собственный ключ (BYOK) в службу (например, импорт ключей, защищенных HSM, из локальных HSM в Azure Key Vault), следуйте рекомендациям по выполнению первоначального создания ключей и передачи ключей.
Справочник. Управление ключами учетной записи хранения с помощью Key Vault и Azure CLI
Управление активами
Для получения дополнительной информации см. Microsoft Cloud Security Benchmark: управление активами.
AM-2. Использование только утвержденных служб
Функции
Поддержка политик Azure
Описание. Конфигурации служб можно отслеживать и применять с помощью политики Azure. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Клиент |
Руководство по настройке. Определение и реализация стандартных конфигураций безопасности для сетевых ресурсов, связанных с учетной записью хранения Azure, с политикой Azure. Используйте псевдонимы политики Azure в пространствах имен Microsoft.Storage и Microsoft.Network, чтобы создавать настраиваемые политики для аудита или принудительного применения конфигурации сети ресурсов учетной записи хранения.
Можно также использовать встроенные определения политик, связанные с учетной записью хранения, например: учетные записи хранения должны использовать конечную точку службы виртуальной сети.
Справочник. Встроенные определения политики Azure для службы хранилища Azure
Ведение журнала и обнаружение угроз
Дополнительные сведения см. в тестовом тесте облачной безопасности Майкрософт: ведение журнала и обнаружение угроз.
LT-1. Включение возможностей обнаружения угроз
Функции
Microsoft Defender для сервисов и продуктовых предложений
Описание. Служба имеет решение Microsoft Defender для мониторинга и оповещения о проблемах безопасности. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Клиент |
Руководство по настройке. Использование Microsoft Defender для хранилища для предоставления дополнительного уровня аналитики безопасности, который обнаруживает необычные и потенциально опасные попытки доступа к учетным записям хранения или эксплойтирования. Он использует расширенные возможности обнаружения угроз и данные Microsoft Threat Intelligence для предоставления контекстных оповещений системы безопасности. Эти оповещения также включают действия по устранению обнаруженных угроз и предотвращению атак в будущем.
Справочник. Введение в Microsoft Defender для хранилища
LT-4. Включить ведение журнала для расследования инцидентов безопасности
Функции
Журналы ресурсов Azure
Описание. Служба создает журналы ресурсов, которые могут предоставлять расширенные метрики и ведение журнала для конкретной службы. Клиент может настроить эти журналы ресурсов и отправить их в собственный приемник данных, например учетную запись хранения или рабочую область Log Analytics. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Клиент |
Руководство по настройке: Прием журналов через Azure Monitor для агрегирования данных безопасности, созданных конечными устройствами, сетевыми ресурсами и другими системами безопасности. В Azure Monitor используйте рабочие области Log Analytics для запросов и выполнения аналитики, а аккаунты хранилища Azure — для долгосрочного или архивного хранения, при необходимости с функциями безопасности, такими как неизменяемое хранилище и принудительное удержание данных.
Справочник.Мониторинг хранилища BLOB-объектов Azure
Резервное копирование и восстановление
Дополнительные сведения см. в эталоне безопасности облака Майкрософт: резервное копирование и восстановление.
BR-1. Обеспечение регулярного автоматического резервного копирования
Функции
Azure Backup
Описание: Служба может быть защищена с помощью Azure Backup. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Клиент |
Заметки о функциях. Azure Backup в настоящее время поддерживается только для хранилища BLOB-объектов Azure. Данные очереди и таблицы можно сделать резервную копию с помощью инструмента командной строки AzCopy.
Руководство по настройке. Включение Azure Backup и настройка источника резервного копирования на требуемой частоте и с требуемым периодом хранения. Azure Backup позволяет легко настроить операционное резервное копирование для защиты блочных BLOB-объектов в учетных записях хранения. Резервное копирование блобов настраивается на уровне учетной записи хранения. Таким образом, все объекты BLOB в учетной записи хранения защищены с помощью оперативного резервного копирования.
Вы можете настроить резервное копирование для нескольких учетных записей хранения с помощью Центра резервного копирования. Вы также можете настроить резервное копирование для учетной записи хранения с помощью свойств защиты данных учетной записи хранения.
СправочникОбзор операционного резервного копирования для объектов BLOB Azure
Встроенная возможность резервного копирования службы
Описание. Служба поддерживает собственные возможности резервного копирования (если не используется Azure Backup). Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Клиент |
Дополнительное руководство. Оперативное резервное копирование больших двоичных объектов — это локальное решение для резервного копирования. Поэтому данные резервного копирования не передаются в хранилище резервных копий, а хранятся в учетной записи исходного хранилища. Однако хранилище резервных копий по-прежнему выступает в качестве единицы управления резервными копиями. Кроме того, это решение для непрерывного резервного копирования, которое означает, что вам не нужно планировать резервное копирование и все изменения будут сохранены и восстановлены из состояния в выбранный момент времени.
СправочникОбзор операционного резервного копирования для объектов BLOB Azure
Дальнейшие шаги
- Ознакомьтесь с обзором Microsoft Cloud Security Benchmark
- Дополнительные сведения о базовых показателях безопасности Azure