Lagringskonton och säkerhet

  • Artikel

Azure Storage-konton är idealiska för arbetsbelastningar som kräver snabba och konsekventa svarstider, eller som har ett stort antal åtgärder för indatautdata (IOP) per sekund. Lagringskonton innehåller alla dina Azure Storage-dataobjekt, bland annat:

  • Blobar
  • Filresurser
  • Köer
  • Tabeller
  • Diskar

Lagringskonton ger ett unikt namnområde för dina data som är tillgängliga var som helst över HTTP eller HTTPS.

Mer information om de olika typerna av lagringskonton som stöder olika funktioner finns i Typer av lagringskonton.

Information om hur ett Azure Storage-konto ökar säkerheten för din programarbetsbelastning finns i följande artiklar:

Följande avsnitt innehåller designöverväganden, en checklista för konfiguration och rekommenderade konfigurationsalternativ som är specifika för Azure Storage-konton och säkerhet.

Designöverväganden

Azure Storage-konton omfattar följande designöverväganden:

  • Lagringskontonamn måste innehålla mellan tre och 24 tecken och får endast innehålla siffror och gemener.
  • För aktuella SLA-specifikationer, referens-SLA för lagringskonton.
  • Gå till Azure Storage-redundans för att avgöra vilket redundansalternativ som passar bäst för ett specifikt scenario.
  • Lagringskontonamn måste vara unika i Azure. Det får inte finnas två lagringskonton med samma namn.

Checklista

Har du konfigurerat ditt Azure Storage-konto med säkerhet i åtanke?

  • Aktivera Azure Defender för alla dina lagringskonton.
  • Aktivera mjuk borttagning för blobdata.
  • Använd Microsoft Entra-ID för att auktorisera åtkomst till blobdata.
  • Överväg principen om lägsta behörighet när du tilldelar behörigheter till ett Microsoft Entra säkerhetsobjekt via Azure RBAC.
  • Använd hanterade identiteter för att få åtkomst till blob- och ködata.
  • Använd blobversionshantering eller oföränderliga blobar för att lagra affärskritiska data.
  • Begränsa standardåtkomsten till Internet för lagringskonton.
  • Aktivera brandväggsregler.
  • Begränsa nätverksåtkomsten till specifika nätverk.
  • Tillåt betrodda Microsoft-tjänster att komma åt lagringskontot.
  • Aktivera alternativet Säker överföring krävs för alla dina lagringskonton.
  • Begränsa sas-token (signatur för delad åtkomst) till HTTPS endast anslutningar.
  • Undvik och förhindra att auktorisering med delad nyckel används för åtkomst till lagringskonton.
  • Återskapa dina kontonycklar med jämna mellanrum.
  • Skapa en återkallningsplan och ha den på plats för alla SAS som du utfärdar till klienter.
  • Använd förfallotid på kort sikt på en improviserad SAS, tjänst-SAS eller konto-SAS.

Konfigurationsrekommendationer

Tänk på följande rekommendationer för att optimera säkerheten när du konfigurerar ditt Azure Storage-konto:

Rekommendation Description
Aktivera Azure Defender för alla dina lagringskonton. Azure Defender för Azure Storage ger ett extra lager med säkerhetsinformation som identifierar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja lagringskonton. Säkerhetsaviseringar utlöses i Azure Security Center när avvikelser i aktiviteten inträffar. Aviseringar skickas också via e-post till prenumerationsadministratörer, med information om misstänkt aktivitet och rekommendationer om hur du undersöker och åtgärdar hot. Mer information finns i Konfigurera Azure Defender för Azure Storage.
Aktivera mjuk borttagning för blobdata. Med mjuk borttagning för Azure Storage-blobar kan du återställa blobdata när de har tagits bort.
Använd Microsoft Entra-ID för att auktorisera åtkomst till blobdata. Microsoft Entra-ID ger överlägsen säkerhet och användarvänlighet över delad nyckel för att auktorisera begäranden till bloblagring. Vi rekommenderar att du använder Microsoft Entra auktorisering med dina blob- och köprogram när det är möjligt för att minimera potentiella säkerhetsrisker i delade nycklar. Mer information finns i Auktorisera åtkomst till Azure-blobar och köer med hjälp av Microsoft Entra-ID.
Överväg principen om lägsta behörighet när du tilldelar behörigheter till ett Microsoft Entra säkerhetsobjekt via Azure RBAC. När du tilldelar en roll till en användare, grupp eller ett program beviljar du säkerhetsobjektet endast de behörigheter som krävs för att de ska kunna utföra sina uppgifter. Genom att begränsa åtkomsten till resurser kan du förhindra både oavsiktligt och skadligt missbruk av dina data.
Använd hanterade identiteter för att få åtkomst till blob- och ködata. Azure Blob- och Queue Storage stöder Microsoft Entra autentisering med hanterade identiteter för Azure-resurser. Hanterade identiteter för Azure-resurser kan auktorisera åtkomst till blob- och ködata med hjälp av Microsoft Entra autentiseringsuppgifter från program som körs på virtuella Azure-datorer (VM), funktionsappar, VM-skalningsuppsättningar och andra tjänster. Genom att använda hanterade identiteter för Azure-resurser tillsammans med Microsoft Entra autentisering kan du undvika att lagra autentiseringsuppgifter med dina program som körs i molnet och problem med att tjänstens huvudnamn upphör att gälla. Mer information finns i Auktorisera åtkomst till blob- och ködata med hanterade identiteter för Azure-resurser .
Använd blobversionshantering eller oföränderliga blobar för att lagra affärskritiska data. Överväg att använda blobversionshantering för att underhålla tidigare versioner av ett objekt eller användningen av bevarande av juridiska skäl och tidsbaserade kvarhållningsprinciper för att lagra blobdata i ett WORM-tillstånd (Write Once, Read Many). Oföränderliga blobar kan läsas, men kan inte ändras eller tas bort under kvarhållningsintervallet. Mer information finns i Lagra affärskritiska blobdata med oföränderlig lagring.
Begränsa standardåtkomsten till Internet för lagringskonton. Som standard är nätverksåtkomsten till lagringskonton inte begränsad och är öppen för all trafik som kommer från Internet. Åtkomst till lagringskonton bör endast beviljas till specifika virtuella Azure-nätverk när det är möjligt eller använda privata slutpunkter för att tillåta klienter i ett virtuellt nätverk (VNet) att komma åt data på ett säkert sätt över en Private Link. Mer information finns i Använda privata slutpunkter för Azure Storage . Undantag kan göras för lagringskonton som måste vara tillgängliga via Internet.
Aktivera brandväggsregler. Konfigurera brandväggsregler för att begränsa åtkomsten till ditt lagringskonto till begäranden som kommer från angivna IP-adresser eller intervall, eller från en lista över undernät i ett Azure Virtual Network (VNet). Mer information om hur du konfigurerar brandväggsregler finns i Konfigurera Azure Storage-brandväggar och virtuella nätverk.
Begränsa nätverksåtkomsten till specifika nätverk. Att begränsa nätverksåtkomsten till nätverk som är värd för klienter som kräver åtkomst minskar exponeringen av dina resurser för nätverksattacker, antingen med hjälp av den inbyggda brandväggen och virtuella nätverk eller genom att använda privata slutpunkter.
Tillåt betrodda Microsoft-tjänster att komma åt lagringskontot. Om du aktiverar brandväggsregler för lagringskonton blockeras inkommande begäranden om data som standard, såvida inte begäranden kommer från en tjänst som körs inom ett Azure Virtual Network (VNet) eller från tillåtna offentliga IP-adresser. Blockerade begäranden inkluderar dessa begäranden från andra Azure-tjänster, från Azure Portal, från loggnings- och måtttjänster och så vidare. Du kan tillåta begäranden från andra Azure-tjänster genom att lägga till ett undantag så att betrodda Microsoft-tjänster får åtkomst till lagringskontot. Mer information om hur du lägger till ett undantag för betrodda Microsoft-tjänster finns i Konfigurera Azure Storage-brandväggar och virtuella nätverk.
Aktivera alternativet Säker överföring krävs för alla dina lagringskonton. När du aktiverar alternativet Säker överföring krävs måste alla begäranden som görs mot lagringskontot ske via säkra anslutningar. Alla begäranden som görs via HTTP misslyckas. Mer information finns i Kräv säker överföring i Azure Storage.
Begränsa sas-token (signatur för delad åtkomst) till HTTPS endast anslutningar. Att kräva HTTPS när en klient använder en SAS-token för att komma åt blobdata hjälper till att minimera risken för avlyssning. Mer information finns i Bevilja begränsad åtkomst till Azure Storage-resurser med hjälp av signaturer för delad åtkomst (SAS).
Undvik och förhindra att auktorisering med delad nyckel används för åtkomst till lagringskonton. Vi rekommenderar att du använder Microsoft Entra-ID för att auktorisera begäranden till Azure Storage och för att förhindra auktorisering av delad nyckel. För scenarier som kräver auktorisering av delad nyckel föredrar du alltid SAS-token framför distribution av den delade nyckeln.
Återskapa dina kontonycklar med jämna mellanrum. Om du roterar kontonycklarna med jämna mellanrum minskar risken för att exponera dina data för skadliga aktörer.
Skapa en återkallningsplan och ha den på plats för alla SAS som du utfärdar till klienter. Om en SAS komprometteras vill du återkalla sas omedelbart. Om du vill återkalla en SAS för användardelegering återkallar du användardelegeringsnyckeln för att snabbt ogiltigförklara alla signaturer som är associerade med nyckeln. Om du vill återkalla en tjänst-SAS som är associerad med en lagrad åtkomstprincip kan du ta bort den lagrade åtkomstprincipen, byta namn på principen eller ändra dess förfallotid till en tidigare tidpunkt.
Använd förfallotid på kort sikt på en improviserad SAS, tjänst-SAS eller konto-SAS. Om en SAS komprometteras är den endast giltig under en kort tid. Den här metoden är särskilt viktig om du inte kan referera till en lagrad åtkomstprincip. Närtidsförfallotider begränsar också mängden data som kan skrivas till en blob genom att begränsa den tid som är tillgänglig för uppladdning till den. Klienter bör förnya SAS långt före förfallodatumet för att ge tid för återförsök om tjänsten som tillhandahåller SAS inte är tillgänglig.

Nästa steg

Lagringskonton och kostnadsoptimering