Сводка

Завершено

В этом модуле вы узнали, как спланировать и реализовать меры безопасности для службы хранилища Azure с учетом принципов нулевого доверия и глубинных стратегий защиты.

Основные понятия, описанные

Проверка подлинности и авторизация. Вы изучили современные методы проверки подлинности для службы хранилища Azure с акцентом на идентификатор Microsoft Entra в качестве предпочтительного подхода к общим ключам доступа. Вы узнали, как реализовать Azure RBAC для хранилища больших двоичных объектов, очередей и таблиц, а также когда использовать управляемые удостоверения для приложений по сравнению с другими методами проверки подлинности. Вы также узнали правильное управление ключами доступа к учетной записи хранилища, включая безопасное хранилище в Azure Key Vault и ротационные стратегии для минимизации рисков безопасности.

Безопасность, специфичная для службы. Вы изучили методы авторизации, адаптированные для каждой службы хранилища Azure.

  • Файлы Azure: настройка проверки подлинности на основе удостоверений с помощью доменных служб Microsoft Entra или доменных служб Active Directory, а также реализация разрешений на уровне общего доступа и файлов
  • Хранилище BLOB-объектов: использование идентификатора Microsoft Entra для безопасного доступа с соответствующими встроенными и настраиваемыми ролями RBAC
  • Хранилище таблиц: реализация авторизации идентификатора Microsoft Entra с соответствующими назначениями ролей
  • Хранилище очередей: Авторизация доступа через портал Azure и программно, используя учетные данные Microsoft Entra ID

Защита данных и восстановление. Вы узнали комплексные стратегии защиты данных, включая мягкое удаление контейнеров и больших двоичных объектов, версионирование BLOB-объектов для отслеживания изменений, возможности восстановления на определенный момент времени и неизменяемые политики хранения в целях соответствия. Эти механизмы защиты обеспечивают защиту от случайного удаления, вредоносных изменений и атак программ-шантажистов.

Дополнительные параметры шифрования. Вы изучили расширенные возможности шифрования для регулируемых и высокобезопасных сред:

  • Перенос собственного ключа (BYOK): обеспечение контроля над жизненным циклом ключа шифрования путем безопасного импорта ключей из локальных HSM в Azure Key Vault
  • Шифрование инфраструктуры. Включение двойного шифрования на уровнях службы и инфраструктуры для организаций с строгими требованиями к соответствию

Основные принципы безопасности

На протяжении всего этого модуля были усилены несколько важных принципов безопасности:

  • Подход нулевого доверия: никогда не доверяйте, всегда проверяйте— предпочитайте проверку подлинности на основе удостоверений по ключам и маркерам доступа.
  • Глубинная защита: реализация нескольких уровней элементов управления безопасностью, включая проверку подлинности, авторизацию, шифрование и защиту данных
  • Минимальный доступ к привилегиям: предоставление только минимальных разрешений, необходимых пользователям и приложениям для выполнения необходимых задач.
  • Разделение обязанностей. Использование разных ключей и механизмов на разных уровнях шифрования для минимизации риска компрометации
  • Готовность к соответствию требованиям. Использование встроенных возможностей, таких как политики неизменяемости, BYOK и шифрование инфраструктуры в соответствии с нормативными требованиями

Применяя эти понятия и рекомендации, вы можете разрабатывать и реализовывать надежные архитектуры безопасности для службы хранилища Azure, которые защищают данные на протяжении всего жизненного цикла, сохраняя операционную эффективность и выполнение обязательств по соответствию требованиям.