Utforska Azure Storage-säkerhetsfunktioner
Contoso förlitar sig mycket på de enorma mängder data som finns i Azure Storage. Alla deras program förlitar sig på blobar, ostrukturerad tabellagring, Azure Data Lake och SMB-baserade (Server Message Block) filresurser.
När Contosos konkurrent har råkat ut för ett dataintrång, ber Contoso nätverksadministratören att kontrollera företagets datasäkerhet. Som datakonsult åt Contoso försäkrar du nätverksadministratören att Azure Storage-konton har flera säkerhetsfördelar på hög nivå för data i molnet:
- Skyddar vilande data
- Skyddar data under överföring
- Har stöd för korsdomänåtkomst för webbläsare
- Styr vilka som har åtkomst till data
- Granskar lagringsåtkomst
Kryptering i vila
Alla data som skrivs till Azure Storage krypteras automatiskt med hjälp av en kryptering för lagringstjänst (SSE) med 256-bitars AES-chiffrering (Advanced Encryption Standard), och de uppfyller FIPS 140-2. SSE krypterar automatiskt data när de skrivs till Azure Storage. När du läser data från Azure Storage så dekrypterar Azure Storage dessa data innan de returneras. I den här processen tillkommer inga extra avgifter och prestandan försämras inte. Den kan inte inaktiveras.
Om du har virtuella datorer kan du med Azure kryptera virtuella hårddiskar (VHD) med hjälp av Azure Disk Encryption. Den här krypteringen använder BitLocker för Windows-avbildningar och använder dm-crypt för Linux.
Nycklarna lagras i Azure Key Vault automatiskt, där du kan kontrollera och hantera diskkrypteringsnycklar och hemligheter. Så även om någon får tillgång till VHD-avbildningen och hämtar den så har användaren ingen åtkomst till informationen på den virtuella hårddisken.
Kryptering vid överföring
Låt dina data förbli skyddade genom att aktivera säkerhet på transportnivå mellan Azure och klienten. Använd alltid HTTPS för säker kommunikation via offentligt Internet. När du anropar REST API:er för att få åtkomst till objekt på lagringskonton, kan du använda HTTPS genom att kräva säker överföring för lagringskontot. När du har aktiverat säker överföring kommer anslutningar som använder HTTP att nekas. Denna flagga tillämpar även säker överföring via SMB genom att kräva att SMB 3.0 används för alla filresursmonteringar.
CORS-stöd
Contoso lagrar flera typer av webbplatstillgångar i Azure Storage. Dessa typer inkluderar bilder och videor. För att skydda webbläsarna låser Contoso GET-begäranden till vissa domäner.
Azure Storage stöder resursdelning för korsande ursprung (CORS) över flera domäner. CORS använder HTTP-huvuden för att låta en webbapp som körs på en domän få åtkomst till resurser från en server i en annan domän. Genom att använda CORS kan webbapparna se till att de bara läser in auktoriserat innehåll från auktoriserade källor.
Stöd för CORS är en valfri flagga som du kan aktivera på Storage-konton. Flaggan lägger till lämpliga huvuden när du använder HTTP GET-begäranden för att hämta resurser från Storage-kontot.
Rollbaserad åtkomstkontroll
För att få åtkomst till data på ett lagringskonto gör klienten en begäran via HTTP eller HTTPS. Varje begäran till en säker resurs måste auktoriseras. Tjänsten säkerställer att klienten har de behörigheter som krävs för att få åtkomst till informationen. Du kan välja mellan flera åtkomstalternativ. Det mest flexibla alternativet är utan tvekan rollbaserad åtkomst.
Azure Storage stöder Microsoft Entra-ID och rollbaserad åtkomstkontroll (RBAC) för både resurshantering och dataåtgärder. För säkerhetsobjekt kan du tilldela RBAC-roller som är begränsade till lagringskontot. Du kan använda Active Directory för att auktorisera resurshanteringsåtgärder, till exempel konfiguration. Dessutom stöds Active Directory för dataåtgärder i Blob- och Queue-lagring.
Du kan tilldela RBAC-roller till ett säkerhetsobjekt eller en hanterad identitet för Azure-resurser som är begränsade till en prenumeration, en resursgrupp, ett lagringskonto eller en enskild container eller kö.
Granska åtkomst
Granskning är en annan del av åtkomstkontrollen. Du kan granska åtkomsten till Azure Storage med hjälp av den inbyggda lagringsanalystjänsten.
Alla åtgärder i lagringsanalysen loggas i realtid och du kan söka i lagringsanalysloggarna efter specifika begäranden. Du kan filtrera baserat på autentiseringsmekanismen, åtgärdens framgång eller resursen som användes.