Den här artikeln innehåller säkerhetsrekommendationer för Blob Storage. Genom att implementera dessa rekommendationer kan du uppfylla dina säkerhetsskyldigheter enligt beskrivningen i vår modell för delat ansvar. Mer information om hur Microsoft uppfyller tjänstleverantörsansvar finns i Delat ansvar i molnet.
Några av rekommendationerna i den här artikeln kan övervakas automatiskt av Microsoft Defender för molnet, vilket är den första försvarslinjen för att skydda dina resurser i Azure. Information om Microsoft Defender för molnet finns i Vad är Microsoft Defender för molnet?
Microsoft Defender för molnet analyserar regelbundet säkerhetstillståndet för dina Azure-resurser för att identifiera potentiella säkerhetsrisker. Sedan får du rekommendationer om hur du hanterar dem. Mer information om Microsoft Defender för molnet rekommendationer finns i Granska dina säkerhetsrekommendationer.
Dataskydd
Rekommendation
Kommentarer
Defender för molnet
Använda Azure Resource Manager-distributionsmodellen
Skapa nya lagringskonton med hjälp av Azure Resource Manager-distributionsmodellen för viktiga säkerhetsförbättringar, inklusive överlägsen rollbaserad åtkomstkontroll i Azure (Azure RBAC) och granskning, Resource Manager-baserad distribution och styrning, åtkomst till hanterade identiteter, åtkomst till Azure Key Vault för hemligheter och Microsoft Entra-autentisering och auktorisering för åtkomst till Azure Storage-data och resurser. Migrera om möjligt befintliga lagringskonton som använder den klassiska distributionsmodellen för att använda Azure Resource Manager. Mer information om Azure Resource Manager finns i Översikt över Azure Resource Manager.
-
Aktivera Microsoft Defender för alla dina lagringskonton
Microsoft Defender för Storage tillhandahåller ytterligare ett lager med säkerhetsinformation som identifierar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja lagringskonton. Säkerhetsaviseringar utlöses i Microsoft Defender för molnet när avvikelser i aktiviteten inträffar och skickas också via e-post till prenumerationsadministratörer, med information om misstänkt aktivitet och rekommendationer om hur du undersöker och åtgärdar hot. Mer information finns i Konfigurera Microsoft Defender för lagring.
Med mjuk borttagning för blobar kan du återställa blobdata när de har tagits bort. Mer information om mjuk borttagning för blobar finns i Mjuk borttagning för Azure Storage-blobar.
-
Aktivera mjuk borttagning för containrar
Med mjuk borttagning för containrar kan du återställa en container när den har tagits bort. Mer information om mjuk borttagning för containrar finns i Mjuk borttagning för containrar.
-
Lås lagringskontot för att förhindra oavsiktlig eller skadlig borttagning eller konfigurationsändringar
Använd ett Azure Resource Manager-lås på ditt lagringskonto för att skydda kontot från oavsiktlig eller skadlig borttagning eller konfigurationsändring. Att låsa ett lagringskonto förhindrar inte att data i kontot tas bort. Det förhindrar bara att själva kontot tas bort. Mer information finns i Tillämpa ett Azure Resource Manager-lås på ett lagringskonto.
Lagra affärskritiska data i oföränderliga blobar
Konfigurera juridiska undantag och tidsbaserade kvarhållningsprinciper för att lagra blobdata i ett WORM-tillstånd (Skriv en gång, Läs många). Blobar som lagras oföränderligt kan läsas, men kan inte ändras eller tas bort under kvarhållningsintervallet. Mer information finns i Lagra affärskritiska blobdata med oföränderlig lagring.
-
Kräv säker överföring (HTTPS) till lagringskontot
När du behöver säker överföring för ett lagringskonto måste alla begäranden till lagringskontot göras via HTTPS. Alla begäranden som görs via HTTP avvisas. Microsoft rekommenderar att du alltid behöver säker överföring för alla dina lagringskonton. Mer information finns i Kräv säker överföring för att säkerställa säkra anslutningar.
-
Begränsa endast SAS-token (signatur för delad åtkomst) till HTTPS-anslutningar
Tillåt inte replikering av objekt mellan klientorganisationer
Som standard tillåts en behörig användare att konfigurera en princip för objektreplikering där källkontot finns i en Microsoft Entra-klientorganisation och målkontot finns i en annan klientorganisation. Tillåt inte replikering av objekt mellan klientorganisationer för att kräva att käll- och målkontona som ingår i en objektreplikeringsprincip finns i samma klientorganisation. Mer information finns i Förhindra objektreplikering mellan Microsoft Entra-klienter.
-
Identitets- och åtkomsthantering
Rekommendation
Kommentarer
Defender för molnet
Använda Microsoft Entra-ID för att auktorisera åtkomst till blobdata
Tänk på principen om lägsta behörighet när du tilldelar behörigheter till ett Microsoft Entra-säkerhetsobjekt via Azure RBAC
När du tilldelar en roll till en användare, grupp eller ett program beviljar du endast det säkerhetsobjektet de behörigheter som krävs för att de ska kunna utföra sina uppgifter. Genom att begränsa åtkomsten till resurser kan du förhindra både oavsiktligt och skadligt missbruk av dina data.
-
Använda en SAS för användardelegering för att bevilja begränsad åtkomst till blobdata till klienter
Skydda dina kontoåtkomstnycklar med Azure Key Vault
Microsoft rekommenderar att du använder Microsoft Entra-ID för att auktorisera begäranden till Azure Storage. Men om du måste använda auktorisering av delad nyckel kan du skydda dina kontonycklar med Azure Key Vault. Du kan hämta nycklarna från nyckelvalvet vid körning i stället för att spara dem med ditt program. Mer information om Azure Key Vault finns i Översikt över Azure Key Vault.
-
Återskapa dina kontonycklar regelbundet
Om du roterar kontonycklarna med jämna mellanrum minskar risken för att exponera dina data för skadliga aktörer.
-
Tillåt inte auktorisering av delad nyckel
När du inte tillåter auktorisering av delad nyckel för ett lagringskonto avvisar Azure Storage alla efterföljande begäranden till kontot som är auktoriserade med kontoåtkomstnycklarna. Endast skyddade begäranden som är auktoriserade med Microsoft Entra-ID kommer att lyckas. Mer information finns i Förhindra auktorisering av delad nyckel för ett Azure Storage-konto.
-
Tänk på principen om lägsta behörighet när du tilldelar behörigheter till en SAS
När du skapar en SAS anger du endast de behörigheter som krävs av klienten för att utföra dess funktion. Genom att begränsa åtkomsten till resurser kan du förhindra både oavsiktligt och skadligt missbruk av dina data.
-
Ha en återkallelseplan på plats för alla SAS som du utfärdar till klienter
Om en SAS komprometteras vill du återkalla sas så snart som möjligt. Återkalla en SAS för användardelegering genom att återkalla användardelegeringsnyckeln för att snabbt ogiltigförklara alla signaturer som är associerade med den nyckeln. Om du vill återkalla en tjänst-SAS som är associerad med en lagrad åtkomstprincip kan du ta bort den lagrade åtkomstprincipen, byta namn på principen eller ändra dess förfallotid till en tidpunkt som är tidigare. Mer information finns i Bevilja begränsad åtkomst till Azure Storage-resurser med hjälp av signaturer för delad åtkomst (SAS).
-
Om en tjänst-SAS inte är associerad med en lagrad åtkomstprincip anger du förfallotiden till en timme eller mindre
En tjänst-SAS som inte är associerad med en lagrad åtkomstprincip kan inte återkallas. Därför rekommenderas att begränsa förfallotiden så att SAS är giltig i en timme eller mindre.
-
Inaktivera anonym läsåtkomst till containrar och blobar
anonym läsåtkomst till en container och dess blobar ger skrivskyddad åtkomst till dessa resurser till alla klienter. Undvik att aktivera anonym läsåtkomst om inte ditt scenario kräver det. Information om hur du inaktiverar anonym åtkomst för ett lagringskonto finns i Översikt: Åtgärda anonym läsåtkomst för blobdata.
-
Nätverk
Rekommendation
Kommentarer
Defender för molnet
Konfigurera den lägsta nödvändiga versionen av TLS (Transport Layer Security) för ett lagringskonto.
Aktivera alternativet Säker överföring krävs för alla dina lagringskonton
När du aktiverar alternativet Säker överföring krävs måste alla begäranden som görs mot lagringskontot ske via säkra anslutningar. Alla begäranden som görs via HTTP misslyckas. Mer information finns i Kräv säker överföring i Azure Storage.
Konfigurera brandväggsregler för att begränsa åtkomsten till ditt lagringskonto till begäranden som kommer från angivna IP-adresser eller intervall, eller från en lista över undernät i ett virtuellt Azure-nätverk (VNet). Mer information om hur du konfigurerar brandväggsregler finns i Konfigurera Azure Storage-brandväggar och virtuella nätverk.
-
Tillåt betrodda Microsoft-tjänster att komma åt lagringskontot
Om du aktiverar brandväggsregler för ditt lagringskonto blockeras inkommande begäranden om data som standard, såvida inte begäranden kommer från en tjänst som körs i ett virtuellt Azure-nätverk (VNet) eller från tillåtna offentliga IP-adresser. Begäranden som blockeras inkluderar sådana från andra Azure-tjänster, från Azure Portal, från loggnings- och måtttjänster och så vidare. Du kan tillåta begäranden från andra Azure-tjänster genom att lägga till ett undantag så att betrodda Microsoft-tjänster får åtkomst till lagringskontot. Mer information om hur du lägger till ett undantag för betrodda Microsoft-tjänster finns i Konfigurera Azure Storage-brandväggar och virtuella nätverk.
-
Använda privata slutpunkter
En privat slutpunkt tilldelar en privat IP-adress från ditt virtuella Azure-nätverk (VNet) till lagringskontot. Den skyddar all trafik mellan ditt virtuella nätverk och lagringskontot via en privat länk. Mer information om privata slutpunkter finns i Ansluta privat till ett lagringskonto med azure private endpoint.
-
Använda VNet-tjänsttaggar
En tjänsttagg representerar en grupp IP-adressprefix från en viss Azure-tjänst. Microsoft hanterar adressprefixen som omfattas av tjänsttaggen och uppdaterar automatiskt tjänsttaggen när adresserna ändras. Mer information om tjänsttaggar som stöds av Azure Storage finns i Översikt över Azure-tjänsttaggar. En självstudiekurs som visar hur du använder tjänsttaggar för att skapa regler för utgående nätverk finns i Begränsa åtkomst till PaaS-resurser.
-
Begränsa nätverksåtkomst till specifika nätverk
Att begränsa nätverksåtkomsten till nätverk som är värd för klienter som kräver åtkomst minskar exponeringen av dina resurser för nätverksattacker.
Du kan konfigurera inställningar för nätverksroutning för ditt Azure Storage-konto för att ange hur nätverkstrafik dirigeras till ditt konto från klienter via Internet med microsofts globala nätverk eller Internetroutning. Mer information finns i Konfigurera inställningar för nätverksroutning för Azure Storage.
Konfigurera loggaviseringar för att utvärdera resursloggar med en angivna frekvens och utlösa en avisering baserat på resultaten. Mer information finns i Logga aviseringar i Azure Monitor.